Isotools

Empresa
Excelente
Los mejores artculos publicados
por ISOTools Excellence en
enero de 2015
ISOTools Excellence. Software ISO

Estrategia, Procesos, Personas. Resultados Excelentes
ISO 14001
Ms informacin en nuestra web www.isotools.org
El camino hacia
la Excelencia
ISOTools Empresa Excelente

Los mejores artculos publicados por
ISOTools Excellence en enero de 2015
NDICE DE CONTENIDOS
Contenidos enero 2014

QUINES SOMOS Y QU HACEMOS?
LA PLATAFORMA TECNOLGICA
ISO 14001: Planificacin estratgica
ISO 27001: Seguridad informtica y seguridad de la informacin
ISO 9001:2015, desarrollo e implementacin de la estrategia
12
ISO 14001: Los planes de formacin para un Sistema de Gestin Ambiental
14
OHSAS 18001: Idoneidad, eficacia y adecuacin para una Revisin por la Direccin
16
ISO 9001:2015, COSO como metodologa de gestin de riesgo
18
ISO 27001: Pilares fundamentales de un SGSI
20
ISO 14001: Estructura de la documentacin de un Sistema de Gestin Ambiental
22
OHSAS 18001: Auditora en los Sistemas de Gestin de Seguridad y Salud en el Trabajo
24
ISO 9001:2015, metodologa COSO III para la gestin de riesgos
27
ISO 14001: La verificacin en el Sistema de Gestin Ambiental
29
La familia de normas ISO 27000
31
OHSAS 18001: Tipos de auditoria para las organizaciones
33
ISO 9001:2015, los principios de la ISO 31000 para adecuar la Gestin de Riesgos
35
ISO 14001: Cmo controlar riesgos, hacer una auditora interna y una revisin por la direccin
37
ISO 27001: Gestin de Seguridad de la Informacin mediante el modelo de pirmide
39
OHSAS 18001: Planificacin de auditoras
41

QUINES SOMOS Y QU HACEMOS
Quin est detrs del software

para la gestin de la excelencia
n 1 a nivel mundial?
Somos ISOTools Excellence, una consultora que ayuda a
las organizaciones comprometidas con la calidad y la excelencia a optimizar sus modelos y sistemas de gestin,
aportando soluciones innovadoras para la gestin de la
estrategia, los procesos y las personas, facilitando su aplicacin, hacindolos accesibles, giles y medibles, y aportando resultados en el corto plazo, gracias a una plataforma tecnolgica de desarrollo propio llamada ISOTools.
Consultora Estratgica
Innovacin Tecnolgica
Expertos consultores al servicio de los clientes, que

muestran de manera personalizada a cada organizacin,
la alternativa ms sencilla y prctica de operar generando
un impacto real en los resultados y proporcionando una
ventaja competitiva sostenible en el tiempo.
ISOTools apoya la labor de consultora en su plataforma

tecnolgica, a travs de la cual ofrece soluciones integrales, aplicando continuamente la innovacin tecnolgica
como medio de adaptacin a las necesidades del mercado, requisitos normativos y tipologa de organizacin.

Software ISO, BSC y BPM

Desarrollada en entorno Web con el objetivo de cumplir
los requisitos de las normas ISO y de modelos de Acreditacin y Excelencia, ISOTools resulta una herramienta
ideal para implantar, mantener y mejorar continuamente
los Sistemas de Calidad, Medio Ambiente, Riesgos Laborales, Seguridad de la Informacin, Seguridad Alimentaria,
Modelos de Acreditacin, Modelos de Excelencia como
EFQM, Modelos de Planificacin Estratgica: Balanced
Scorecard, entre otros.
SOLUCIONES PARA TODOS LOS SECTORES
SISTEMAS DE GESTIN
NORMALIZADOS
MODELOS DE GESTIN
Y EXCELENCIA
MDULO BASE
Por qu elegir ISOTools?
Cmo es ISOTools?
> Resultados Excelentes: Ese es el principal beneficio

que se obtiene del uso de ISOTools, el motivo por el
que fue creado y el motor que impulsa a todos los que
se encuentran detrs de la herramienta.
> Fcil de usar. ISOTools es, ante todo, usable e intuitivo.

Diseado para ser fcil. Cuenta con potentes funciones
de roles y personalizacin.
> Eficacia y Efectividad. La informacin se encuentra

centralizada, lo que aumenta la eficacia en la gestin.
> Mximo retorno de la inversin: Invertir en ISOTools
es invertir en mejora, y la mejora siempre deriva en beneficios.
> Impacto positivo en el medio ambiente: Reduciendo
el consumo de papel se respetan los recursos naturales.
> Facilidad en la toma de decisiones: La herramienta
ofrece una visin global de la organizacin que facilita
la toma de toma de decisiones y las hace ms certeras.
> Gestin del conocimiento y mejora continua:
ISOTools fortalece la retencin del conocimiento sobre
la propia organizacin y ayuda a las organizaciones
a gestionar su informacin, de una manera
sistemtica y eficiente, permitiendo de esta forma el
establecimiento de programas de mejora continua.
> Ahorro de tiempo y costes: Se le puede dedicar ms
tiempo y recursos a lo que verdaderamente importa.
> Mejora del trabajo en equipo: Y eso se ve reflejado en
los resultados.
> Satisfaccin de los clientes: Los clientes son lo ms importante de su negocio. Con las mejoras obtenidas por
el uso de ISOTools la satisfaccin de los clientes est
garantizada.
> Flexible. Sea cual sea el tamao de su organizacin o

sector, ISOTools puede configurarse para satisfacer sus
necesidades.
> Funcional. En pocas palabras, esta aplicacin lder posee mltiples funcionalidades y caractersticas.
> Accesible. En su modalidad de contratacin Cloud, ISOTools le permite llevar a cabo sus gestiones desde cualquier lugar con conexin a internet.
> Integrable. ISOTools es un sistema de mdulos fcilmente integrables que le convierten en una herramienta escalable y adaptable.
> Confiable. ISOTools garantiza la integridad, seguridad
y confidencialidad de los datos, salvaguardndolos mediante copias de seguridad.
> Fiable. ISOTools es una herramienta con un gran bagaje, lo que la convierte en una solucin de confianza
ampliamente testeada.
> Multidispositivo. Posibilita la gestin 360 de su organizacin desde cualquier lugar utilizando dispositivos
mviles, ordenadores de sobremesa o tablets.
> Asequible. No es necesaria una gran inversin. ISOTools es una de las soluciones ms rentables del mercado en su rea.
> Multilige. Toda la informacin de la plataforma est
disponible en varios idiomas

ISO 14001:
Planificacin estratgica
El elemento esencial de un Sistema de Gestin Ambiental
basado en la norma ISO 14001 es, sin obtener ninguna
duda, la identificacin y evaluacin de los aspectos ambientales. Incluso, este requisito de la norma nos facilitar sentar las bases para distintos requisitos, entre los
que se encuentra la propia poltica ambiental, metas y
programas, el establecimiento de objetivos, competencia, formacin y toma de conciencia, control operacional,
preparacin y respuesta ante emergencias, seguimiento y
medicin, y evaluacin del cumplimiento legal.
nados, entre otras, con alguna de las siguientes cuestiones:
Centrndonos en este requisito de la norma ISO-14001,

identificacin y evaluacin de aspectos ambientales, la organizacin debe establecer un primer mtodo de identificacin de los aspectos ambientales derivados de sus actividades, procesos, productos y servicios, y posteriormente
otro para efectuar una correcta evaluacin, y clasificarlos
a la importancia de su impacto ambiental asociado.
Emisiones atmosfricas
En el momento en el que un aspecto ambiental produce

un impacto tal que debe ser considerado por la organizacin, ste se dice que es significativo.
Los aspectos ambientales significativos detectados en
una organizacin deben tenerse en cuenta en el establecimiento posterior de los objetivos, metas y programas del
Sistema de Gestin Ambiental.
Los aspectos e impactos medioambientales estn relacio-

Uso de agua
Uso de energa
Utilizacin de productos qumicos
Uso de materias primas y empleo de recursos naturales
Almacenaje
Vertidos
Generacin de residuos
Contaminacin y degradacin del suelo
Riesgo de accidentes
Otros (vibraciones, ruido, olores, etc.)
Para implantar un Sistema de Gestin Medioambiental
una organizacin deber disponer de uno o varios procedimientos para identificar y evaluar sus aspectos ambientales.
Una forma sencilla de cumplir con este requisito de la norma es la conocida como el mtodo de los procesos de
flujo, en el cual cada actividad, proceso, producto o servicio de una organizacin es analizado individualmente para
determinar cules son sus aspectos ambientales. El mto-
do podra estructurarse en los siguientes pasos:

La organizacin deber identificar, de manera detallada,
cada una de las actividades, procesos, productos o servicios con los que cuenta y adems realizar un listado
de las instalaciones, para posteriormente ir analizndolo todo.
Identificar los aspectos ambientales relacionados con
cada una de las actividades, etapas de los procesos productivos, servicios, productos o instalaciones auxiliares
de la organizacin.
Finalmente, la organizacin deber identificar los impactos ambientales asociados a cada uno de los aspectos.
Una vez identificados todos los aspectos e impactos ambientales de una organizacin, se hace necesaria la evaluacin de cada uno de ellos para establecer su grado de
significacin conforme al Sistema de Gestin Ambiental
basado en la norma ISO14001.
La organizacin debe identificar los aspectos ambientales
significativos
Para contribuir en la implementacin de un SGA, se expone un modelo que establece 5 criterios para calcular
la significacin de los impactos ambientales de una organizacin:
Relevancia del impacto identificado.
Gravedad.
Probabilidad.
Duracin.
Reversibilidad.
Todos los aspectos ambientales de una organizacin debern ser evaluados atendiendo a estos criterios.
Los aspectos ambientales calificados como significativos
servirn para sentar las bases sobre las que se desarrolle
el Sistema de Gestin Ambiental.
La organizacin
debe identificar
los aspectos
ambientales
significativos
Reglamentos, directivas, decisiones, recomendaciones y
dictmenes procedentes de la Unin Europea.
Leyes, reales decretos legislativos, reales decretos ley,
reales decretos, rdenes ministeriales y resoluciones
procedentes del Estado espaol.
Las leyes y decretos procedentes de las distintas comunidades autnomas.
Las ordenanzas municipales.
Autorizaciones, permisos, declaraciones administrativas, etc. relacionado con el medio ambiente.
Con el trmino otros requisitos se pretende ampliar este
punto de la norma ISO-14001 a todos aquellos requisitos
de carcter no legal que sean de aplicacin en la organizacin.
En consecuencia, para que el Sistema de Gestin Ambiental sea efectivo ser necesario incluir la identificacin
de todas las regulaciones y acuerdos vinculantes de carcter no legal, incluyendo:
Requisitos o especificaciones de clientes, accionistas,
etc.
Cdigos de buenas prcticas ambientales.
Requisitos legales y otros requisitos
Acuerdos con la Administracin, etc.
Para poder implementar un Sistema de Gestin Medioambiental, una organizacin debe asegurar que ha identificado y tiene acceso a los requisitos legales y otros requisitos
que pueda suscribir en relacin con sus aspectos ambientales.
La organizacin que ha identificado adecuadamente todos los requisitos, deber adems establecer una sistemtica para actualizar de forma peridica toda la informacin relacionada con ellos.
Ser necesario describir la manera en la que la organizacin accede a los requisitos de carcter legal que le son
de aplicacin, relacionados con sus aspectos ambientales
considerando todas las figuras legales posibles:
Con toda la informacin obtenida, la organizacin deber

elaborar y actualizar peridicamente:
Una lista con los requisitos legales aplicables y otros
requisitos, clasificados por aspectos ambientales, la referencia legal o fuente de los mismos, el artculo o art-

culos pertinentes, las reas de la empresa a las que se

aplica y las posibles observaciones.
Los requisitos legales y otros requisitos aplicables.

Los aspectos/impactos ambientales significativos.
Un listado de las autorizaciones y licencias administrativas, indicando la referencia legal, el organismo encargado de su concesin, fecha y periodo de validez, as como
observaciones en las que se incluya la documentacin
necesaria u otros requisitos para su concesin.
Las opciones tecnolgicas.
Objetivos, Metas y Programas
Resultados de revisiones y auditoras anteriores.
La organizacin, con el fin de implantar correctamente un

Sistema de Gestin Ambiental, establecer, implementar
y mantendr al da objetivos y metas ambientales adecuados a los niveles y funciones de la organizacin, as como
uno o varios programas para alcanzar dichos objetivos y
metas.
Una vez definidos los objetivos y las metas ambientales, la

organizacin debe dar un paso ms y establecer las responsabilidades, plazos de consecucin de objetivos y metas, observaciones y fechas de consecucin, conformando
un programa de gestin ambiental de esta manera.
Una vez identificados los aspectos e impactos ambientales significativos de la organizacin, es necesario establecer unas lneas de actuacin para llevar a cabo un proceso
de mejora continua de carcter ambiental.
Los objetivos permiten a la organizacin marcar el nivel de
mejora de la gestin ambiental para un periodo de tiempo
determinado, proporcionando un marco para definir las
actuaciones asociadas a la mejora del sistema.
Las organizaciones debern tener en cuenta a la hora de
establecer sus objetivos respecto al SGA los siguientes
puntos:
Los condicionantes econmicos, financieros, operacionales y comerciales.

La opinin de las partes interesadas.
Las acciones especficas contenidas en los programas de

gestin debern reflejar el orden de prioridad de los aspectos significativos de la empresa.
Es necesario que las organizaciones integren y asuman
dentro de su propia planificacin estratgica los programas de gestin ambiental contemplando todos los objetivos y metas propuestos.
La revisin de los programas debe realizarse peridicamente para comprobar si se han alcanzado los objetivos y
metas propuestos para la implantacin de un Sistema de
Gestin Ambiental.
VERSIN ONLINE
http://www.isotools.org/2015/01/01/iso-14001-planificacion-estrategica/

ISO 27001:
Seguridad informtica
y Seguridad de la informacin
A lo largo de este artculo veremos la diferencia que existe

entre seguridad informtica y seguridad de la informacin.
La norma ISO 27001 nos posibilita conocer la seguridad de
la informacin gracias a la implantacin de un Sistema de
Gestin de Seguridad de la Informacin.
las vulnerabilidades de estos activos. Expuesto lo anterior,

s podemos realizar la determinacin de los riesgos teniendo como referencia:
Seguridad informtica
Amenazas: rango de 3 a 5.
La totalidad de los especialistas en seguridad basan sus

conocimientos y experticias sobre el aspecto tcnico tradicional de la seguridad, esto es en las reas IT, aunque
bastantes de ellos consideran las cuestiones propias como
el nuevo aspecto en las comunicaciones y que hace que
actualmente se hable de TIC.
En el caso de que ms tarde se pretenda determinar qu

hacer con los distintos riesgos, en el mayor nmero de casos se persigue mitigar hasta conseguir un nivel aceptable,
por lo que habr que implantar las medidas de seguridad
que se consideren oportunas para tal efecto.
Adems de tener un enfoque tcnico prcticamente, los

especialistas nicamente se manejan con las vulnerabilidades y en parte con amenazas en forma de ataques, todo lo
dicho no se considera suficiente para hablar de los riesgos
correspondientes.
Con el fin de establecer una evaluacin de riesgos, se necesita realizar una evaluacin a los activos, adems de identificar cualquier amenaza que pueda aprovechar y explotar
Activos: con un rango de 5 a 8.

Vulnerabilidades: rango de 3.
Si encontramos riesgos con caractersticas tcnicas, el enfoque ms eficaz es llevar a cabo un anlisis gracias a los
estndares tcnicos o bien gracias a las normas internacionales, como la ISO 27002, en la que se realizan todos los
controles necesarios y se determina el nivel en que se tiene
que implantar para minimizar los riesgos que se encuentren a niveles aceptables.
Hasta llegado este punto hablamos de seguridad informtica. Este trmino es una traduccin del ingls, information

security, el sentido que recoge dicha problemtica se aproxima ms a trminos como pueden ser computer security
o network security.
Seguridad de la informacin
Estamos ante un proceso en que se est produciendo modificaciones, por lo que el trmino Seguridad de la Informacin est tomando una traduccin ms acertada sobre
information security. Aunque an hay muchos especialistas
que siguen nombrndolo segn el enfoque tcnico que hemos comentado anteriormente.
La evaluacin de los activos no se encuentra al alcance de

la mayora de los tcnicos. Los propietarios de los procesos de negocio son quienes pueden determinar un valor
correcto de los mismos y de all derivar a los valores de los
activos que se utilizan en las distintas funciones que componen cada caso.
La Seguridad de la Informacin es muy extensa, por lo que

no es slo una cuestin tcnica sino que supone una responsabilidad de la alta direccin de la empresa, as como
de sus directivos.
Seguridad de la Informacin y
Seguridad Informtica
Tenemos que tomar en cuenta que el ambiente TIC est

orientado al servicio y a la actuacin en funcin de los procesos de negocio. Se diferencia de los procesos centrales
de la misma empresa que constituyen el ncleo de los negocios de la empresa.
El desarrollo que se ha experimentado en cuanto a seguridad informtica al de seguridad de la informacin, implica

incrementar el campo de visin del marco de riesgos de
negocio respectos a la perspectiva tradicional de seguridad
tcnica, fundamentada en las vulnerabilidades.
En el caso de no involucrarse las unidades activas y los lderes de negocio, como podran ser, ejecutivos, directivos,
etc. de las entidades, no podr existir un plan de Seguridad
de la Informacin, a partir de todos los riesgos determinados. Todo ello se lleva a cabo en el seno del sistema de
direccin y control propio del gobierno corporativo.
En el entorno de la seguridad de la informacin los riesgos

de negocio incluyen, no slo las vulnerabilidades y las amenazas, sino que incluyen tambin el conjunto de factores
que determinan los riesgos:
Se tiene que considerar los sujetos, los procesos y las funciones de negocio, adems de la proteccin de todos los
activos/recursos de la entidad impulsora, propietaria y beneficiaria de la Seguridad de la Informacin, dentro de un
marco de responsabilidades compartidas.
Amenazas
Se tienen que considerar la totalidad de los riesgos tcnicos de TIC, adems de que la seguridad se desarrolle por
toda la empresa, es decir, son riesgos organizacionales,
operacionales y fsicos.
Los riesgos operacionales son hoy en da ms cruciales en
lo referente a Seguridad de la Informacin. Las vulnerabilidades de este tipo de riesgo se expanden durante una
amplia gama de grises, en conexin con el comportamiento
humano y los juicios subjetivos de las personas, la resistencia al cambio, la cultura empresarial, la forma de comunicarse, etc.
Establecer las distintas vulnerabilidades de una empresa es
un proceso muy distinto a las mediciones o lecturas tomadas con los ordenadores, servidores, rters, etc. como normalmente no se disponen de datos histricos suficientes,
realizar un anlisis exacto se hace muy complicado. El an-
10
lisis es completado con informacin que se puede recabar

y que corresponda con la informacin subjetiva surgida de
las opiniones distintas. Dichas opiniones pueden ser identificadas y analizadas a travs del mtodo de investigacin
prospectiva, seguido muy de cerca por entrevistas personales que establecen el valor de estas opiniones.

Activos
Vulnerabilidades
Los riesgos de negocio que incluyen los riesgos organizacionales, operacionales, fsicos y de sistemas TIC.
Podemos conseguir un enfoque completo de seguridad
de la informacin en la parte en la cual se considera los
recursos necesarios para minimizar los riesgos dentro de
un plan de seguridad, no se puede considerar un gasto
sino una inversin para la empresa. Solicita de un anlisis
y determinar de una manera cuantificable el retorno de las
inversiones en seguridad.
Sistema de Gestin de Seguridad de la Informacin
La implantacin de un Sistema de Gestin de Seguridad de
la Informacin en las empresas supone un paso ms para
garantizar a los usuarios que la informacin manipulada
por dicha empresa se realiza bajo la mxima seguridad.
VERSIN ONLINE
http://www.isotools.org/2015/01/05/iso-27001-seguridad-informatica-seguridad-informacion/
Se imagina un software
capaz de convertir su sistema
o modelo de gestin en algo
sumamente gil y sencillo?

11
ISO 9001:2015, desarrollo e

implementacin de la estrategia
ISO 9001:2015 presenta unas novedades, las cuales tiene
expectantes a los profesionales de mbito de la calidad.
el resultado deseado de su Sistema de Gestin de la Calidad.
El anlisis del contexto de nuestra entidad es una de las

novedades mencionadas anteriormente. Se considera razonable que sepamos no hacer bien las cosas, sino hacerlas adecuadamente.
Este apartado lo podemos traducir en que cualquier entidad tendr que concentrarse en sus factores estratgicos
internos y externos, en aquello que es relevante para su
propsito y tienen que deshacerse de cualquier barrera
que no permita alcanzar los resultados requeridos.
La estrategia de nuestra entidad tiene que estar incluida

en nuestro Sistema de Gestin de la Calidad. Dicho enfoque estratgico incrementar la eficacia del sistema que
estamos liderando, nos ayuda a estructurar nuestros objetivos principales y a concentrarnos en actividades que
nos conducirn al cumplimiento de los resultados que
deseamos obtener.
Esto se produce gracias a que comprendemos y entendemos la situacin en la que nos situamos. El entorno de
una entidad est constituido por factores internos y externos y por otros diferentes aspectos que pueden perjudicar a la misma entidad, A los productos o servicios, a las
inversiones y a las partes interesadas.
El ISO/DIS 9001, en su prrafo 4.1 Comprender la organizacin y su contexto, determina:
La organizacin debe determinar los factores internos y
externos que son relevantes para su propsito y su direccin estratgica y que afecta a su capacidad para lograr
12

Los factores internos los podemos identificar como, entre

otros, la cultura organizacional, la estructura organizativa, directrices aplicables a la organizacin, los productos
y servicios, normas, roles y responsabilidades, flujos de
informacin, polticas y objetivos, activos, capacidades de
recursos y conocimiento, sistemas de informacin, procesos de toma de decisiones, etc.
En cuanto a los factores externos los podemos identificar actitudes del consumidor, cuestiones climatolgicas,
factores sociales, la tecnologa, polticas gubernamentales,
impuestos, financiacin, clientes, factores especficos del
sector, guerras o conflictos, cuestiones monetarias, comercio internacional, entre otros.
Se considera de bastante importancia que la entidad tenga claro e identifique cules son los factores a considerar
en la implantacin y planificacin del Sistema de Gestin
de la Calidad.
En el caso de no tomar en cuenta o dejarnos atrs algn

factor de los ms importantes puede afectar a la capacidad de la empresa para alcanzar los resultados esperados.
Algunos ejemplos de factores internos y externos que
perjudican al Sistema de Gestin de la Calidad basado en
la ISO9001 podran ser:
Clientes.
Empleados.
Qu factores se deben
considerar en el desarrollo e implementacin de la estrategia?
Proveedores.
Inversionistas.
Medios de comunicacin.
Competidores.
En cuanto al anlisis de contexto que propone ISO
9001:2015, supone una ayuda para tomar las decisiones
estratgicas en la empresa con respecto al Sistema de
Gestin de la Calidad.
El proceso de trazado de la estrategia del Sistema de Gestin de Calidad engloba dos fases: desarrollo e implementacin de la estrategia.
Si nos centramos en el desarrollo de la estrategia tenemos que tener en cuenta estos cuatro elementos:
Qu vamos a hacer, qu productos y servicios vamos a
ofrecer.
Para quin lo vamos a hacer, a qu clientes y mercados
serviremos.
Por qu los usuarios nos comprarn, qu ventajas competitivas tendremos.
Dnde incidiremos, cules sern nuestros mercados
prioritarios.
Respecto a la implantacin de la estrategia tenemos que
tener en cuenta:
Cmo vamos a conseguir lo anterior, es decir el qu, el
para quin, el por qu y el dnde.
En el momento de tomar en cuenta decisiones estratgicas podemos plantear una serie de cuestiones que nos
posibiliten este proceso, dichas cuestiones pueden ser:
Qu factores externos sustentan nuestra estrategia
y nuestro Sistema de Gestin de la Calidad segn ISO
9001?
Cmo nos vemos en el futuro?
Qu medidas tendremos que emplear para evaluar
la eficacia de nuestro Sistema de Gestin de la Calidad

baso en la ISO 9001?
Qu criterios emplearemos para evaluar las oportunidades que tendrn nuestros nuevos productos o servicios?
Qu valores orientarn a nuestro negocio?
En cules de nuestras reas de mercado tendremos
que prestar una mayor atencin o invertir ms recursos?
De qu modo el plan de implementacin del Sistema
de Gestin de Calidad que tenemos diseado garantiza
que los objetivos de la organizacin, de los procesos y
personales dan apoyo a la estrategia?
Qu tipo de clientes nuevos tendremos y cules de los
ya existentes permanecern con nosotros?
Qu factores son los ms significativos para nuestros
clientes?
Qu factores representan para nosotros una ventaja
competitiva?
En qu reas nuevas de mercado habr que prestar
una mayor atencin o invertir ms recursos?
Son cuestiones muy relevantes para que la empresa
vaya hacia un buen trnsito. En post siguientes plantearemos algunos de los mecanismos que existen con el fin
de conocer el contexto de la entidad, puede que la ms
conocida para nosotros sea la matriz FODA (Fortalezas,
Oportunidades, Debilidades y Amenazas), pero se pueden
encontrar muchas ms.
VERSIN ONLINE
http://www.isotools.org/2015/01/06/iso-9001-2015-desarrollo-implementacion-estrategia/

13
ISO 14001: Los planes de

formacin para un Sistema
de Gestin Ambiental
Para implementar un Sistema de Gestin Ambiental fundamentado en la norma ISO 14001, la direccin tendr
que garantizar siempre la disponibilidad de recursos que
faciliten establecer, implementar, mantener y mejorar dicho sistema.
El trmino recursos lo podemos interpretar, dependiendo
de la madurez del sistema, recursos humanos, conocimientos especializados, equipos de medida y control, servicios financieros, contratacin de servicios externos, etc.
Este mbito de la norma ISO14001 cobra mucha importancia, por lo que en l se puede apreciar el verdadero
inters de la direccin en el Sistema de Gestin Ambiental
o SGA.
Tiene que estar definidos documentalmente y con detalle
por parte de la direccin de la organizacin los puestos
relevantes, desde el punto de vista del Sistema de Gestin
Medioambiental. La direccin definir uno (ante pequeas o medianas empresas) o varios representantes (frente
a grandes o complejas organizaciones), los cuales, independientemente de diversas responsabilidades dentro de
la entidad, tendrn perfectamente definidas y documentadas sus funciones, responsabilidades y lmites de autoridad con el fin de:
Garantizar da a da que el sistema sigue siendo conforme al modelo de esta norma internacional.
Informar a la direccin acerca del grado de aceptabilidad con que funciona el sistema, para que sta, a lo
largo del proceso de revisin, pueda incluir mejoras.
14

Se considera muy significativo que, aparte de definir adecuadamente las responsabilidades y funciones clave del
SGA, la alta direccin comunique esto a la totalidad de sujetos que trabajen en la empresa o en su nombre.
Por otro lado, la entidad tiene que realizar las acciones de
sensibilizacin y formacin necesarias con el fin de que
todo el personal asuma sus funciones en el desarrollo del
Los trabajadores o cualquier sujeto que realice tareas
para la empresa tienen que poseer los conocimientos necesarios sobre los impactos ambientales que puedan ocasionar, para poder actuar adecuadamente en cualquier
momento. Para ello, es necesario que el personal haya
recibido formacin adecuada.
Todos los trabajadores de la entidad tienen que ser conscientes de la importancia de cumplir todas las obligaciones del Sistema de Gestin Ambiental, de los beneficios
para el medio ambiente derivados de sus actuaciones, de
los inconvenientes de no hacerlo, as como su papel como
elemento integrante del sistema.
Todos los puestos de trabajo no son iguales, existen unos
puestos de trabajo llamados puestos clave. Segn el nivel
de responsabilidad en las decisiones a tomar o las actividades que puedan generar en relacin con los impactos
ambientales la entidad identificar esos puestos clave,
cuya formacin ser ms especfica.
Se considera necesario identificar cualquier necesidad de
formacin relacionada con los aspectos ambientales y el
propio SGA, y analizar si los sujetos necesitan conocimientos y experiencia especfica para llevar a cabo sus puestos.
La entidad tiene que posibilitar la formacin que identifique como necesaria para eliminar los impactos ambientales eludibles y tiene que mantener los registros asociados.
La entidad, en el desarrollo de este apartado de la norma,
ha de contar con una sistemtica documentada que d
respuestas a:
La manera de identificar las necesidades de formacin
del personal.
La manera de documentar los mtodos de formacin
seleccionados para cumplir con las necesidades detectadas y su alcance.
La entidad se ocupar, aparte de definir los requisitos de
formacin y experiencia requerida para la realizacin de
funciones que puedan influir en la gestin ambiental, asegurndose de que el personal que ocupa esos puestos
cumple efectivamente con los requisitos necesarios.
A los trabajadores o sujetos que trabajen en nombre de la
entidad, se les tiene que comunicar:
La poltica ambiental y la importancia de mantener una
conformidad con ella y con los procedimientos y requisitos del Sistema de Gestin Ambiental.
Los aspectos ambientales significativos, los impactos
reales o potenciales asociados con su trabajo y las ventajas ambientales derivadas de su comportamiento,
Su responsabilidad en el seno del SGA.
Las consecuencias derivadas de la falta de cumplimiento de los procedimientos.
De esta manera, cada sujeto sabr en cualquier momento
qu tiene que hacer en conexin con la gestin ambiental
de la empresa, pudiendo verificarlo, comprobarlo e incluso corregirlo.
La empresa, con el fin de poner en prctica los contenidos
de este apartado de la norma, puede realizar un plan de
formacin que le ayude a llevar un control de las actividades formativas indicando los objetivos, tipos de formacin, los plazos de consecucin, el seguimiento, las fechas
de control, colectivo receptos, recursos y la periodicidad
de la actuacin.
La formacin puede provenir de distintas fuentes. Entre
los mtodos de formacin ms destacados se encuentran
los relacionados con el puesto de trabajo (formacin directa por un superior o a travs de rotacin de oficios de
igual nivel y responsabilidad) o con los externos (sustitu-
La entidad dar
formacin a
los empleados
para mitigar o
eliminar impactos
ambientales
cin temporal y conferencias, seminarios, cursos, etc.).
La entidad tiene que establecer las vas de comunicacin
necesarias para garantizar que toda la informacin relacionada con sus aspectos ambientales y con el propio Sistema de Gestin Ambiental se transmite correctamente a
todas las partes interesadas.
En este punto hay dos tipos de comunicacin en la empresa: la interna y la externa. Estos dos tipos de comunicacin
tendrn que quedar plasmados en uno o varios procedimientos, teniendo en cuenta la comunicacin interna
entre las distintas reas, accionistas, departamentos, etc.
de la empresa y la externa entre las partes interesadas
(administracin, sociedad, etc.), reparando en el alcance
de sta.
Para que la informacin de naturaleza ambiental llegue a
quien la precisa a fin de decidir o actuar en el seno de la
empresa, se tienen que prever y hacer funcionar mtodos
de comunicacin interna.
El procedimiento o los procedimientos, en el caso que
sean varios, que la empresa desarrolle para alcanzar con
este objetivo tendrn que incluir el mecanismo por el que
la empresa comunica internamente, a cualquier nivel, la
informacin relativa a los aspectos ambientales y el Sistema de Gestin Ambiental. Tambin, se tendr que indicar
cmo se conservarn evidencias de dicha comunicacin,
las que pasarn a ser registros del sistema.
VERSIN ONLINE
http://www.isotools.org/2015/01/07/iso-14001-planes-formacion-sistema-gestion-ambiental/

15
OHSAS 18001: Idoneidad,

eficacia y adecuacin para
una Revisin por la Direccin
El Sistema de Gestin de Seguridad y Salud Laboral basado en la norma OHSAS 18001 tiene como ltimo elemento la Revisin por la Direccin. Es el elemento que pone
fin al ciclo de mejora continua, a travs de Actuar (A). Lo
podemos definir como un examen de la entidad en el
cual se analizan los datos y la informacin que suministra
el sistema.
Se considera un elemento de elevada utilidad ya que sirve para conseguir conclusiones que posibilitan la toma
de decisiones dirigidas hacia la obtencin de acciones de
mejora.
La alta direccin es la responsable de esta revisin, y se
ocupar de revisar el Sistema de Seguridad y Salud en el
Trabajo segn la OHSAS-18001 de la entidad para asegurar su adecuacin, conveniencia y eficacia.
Dicha revisin tendr como elementos de entrada los siguientes:
Resultados de auditoras y dems evaluaciones. Auditoras tanto internas como externas y evaluaciones como
las relativas al cumplimiento de requisitos legales, reglamentarios y normativos aplicables.
Resultados de procesos de participacin y consulta con
los empleados.
Comunicaciones procedentes de las partes interesadas.
El desempeo de la Seguridad y Salud en el Trabajo de
la misma entidad.
Grado de cumplimiento de los objetivos.
16

Estado de acciones correctivas y preventivas.

Estado de las investigaciones de incidentes.
Seguimiento de las acciones nacidas de las revisiones
por la direccin anteriores.
Cualquier otra modificacin en las circunstancias. Cambios como la evolucin de los requisitos legales y cualquier otro relacionado con la Seguridad y Salud Laboral
y las oportunidades de mejora.
Resultado de auditoras
El resultado de auditoras es uno de los elementos de
entrada, tanto internas como externas. Estas auditoras
ofrecen una serie de resultados que tendremos que analizar, sin limitarnos solamente a las No Conformidades. Los
aspectos a analizar seran:
Causas.
Acciones repetitivas.
Gravedad de las no conformidades y sus efectos.
reas en las que se produjeron.
Comunicaciones de las partes interesadas

Es fundamental tener en cuenta en la revisin las comunicaciones obtenidas por las partes interesadas, ya sean
proveedores, vecinos, gobernacin, etc.
Se tendr que incidir sobre aquellas comunicaciones de
carcter legal, especialmente sin son infracciones legales
que en las que haya incurrido la entidad e impliquen la
apertura de expedientes sancionadores.

Este tipo de comunicaciones pueden llevar a la necesidad
de implementar metodologas que requieran inversiones
para obtenerlas.
Acciones correctivas y preventivas

Tanto las acciones preventivas como las acciones correctivas son mecanismos que aportan mejoras importantes en
la empresa, por lo que tienen que ser impulsadas desde
la direccin.
Tiene que existir un responsable de seguimiento de la totalidad de acciones emprendidas que, aparte de impulsarlas, apoye a todas las reas de la entidad en su implantacin, seguimiento y anlisis.
Con el fin de definir estas acciones se suelen usar unas
fuentes de informacin, pudiendo variar de una entidad a
otra, siendo las ms usuales:
Incidentes y accidentes.
La importancia
de la Revisin
por la Direccin
en los Sistemas
de Gestin de
Seguridad y Salud.
Propuestas de mejora.
Es un mecanismo til para desarrollar una comparativa

entre dos ejercicios. Lo que se busca es identificar derivas
posibles del Sistema de Gestin de Seguridad y Salud en
el Trabajo basado en la norma OHSAS 18001.
Variaciones previstas o ya producidas.
Anlisis de cambios
Resultado de auditoras.
Los responsables principales tienen que participar en esta

revisin por la direccin, de tal manera que se le permita
la identificacin de los mismos al nivel de toda la empresa.
Comunicaciones externas.
Anlisis de objetivos de Seguridad y Salud Ocupacional.
Revisiones del sistema medioambiental.

Tienen que prevalecer las actuaciones orientadas a anticiparse a todo problema a otras que se ejecutan para
corregirlos. Esto se traduce en que es preferible potenciar
la instauracin de medidas preventivas respecto a las medidas correctivas.
Analizando estas acciones extraeremos informacin
como:
Nivel de eficacia de las acciones propuestas.
Costos provenidos de las incidencias, al igual que beneficios derivados de las acciones a ejecutar.
Grado de cumplimiento asignados en un principio a
cada accin.
Departamentos afectados.
Resulta fundamental la identificacin de las modificaciones previstas con el fin de planificar la implementacin de
los mismos.
Los resultados de una revisin por la direccin, tienen
que ser afines con el compromiso de mejora continua de
la empresa e incluso aadir la totalidad de decisiones y
acciones relativas a cambios en el desempeo de la Seguridad y Salud Ocupacional, los objetivos de poltica de
Seguridad y Salud Laboral y los recursos y otros elementos distintos del propio Sistema de Gestin de Seguridad
y Salud en el Trabajo.
Toda revisin tendra que centrarse en la idoneidad, eficacia y adecuacin del Sistema de Gestin.
Causas, especificadas por tipologa y carcter preventivo.
Seguimiento de revisiones anteriores

De la revisin por la direccin resultar un informe que se
utilizar en las siguientes revisiones del sistema.
VERSIN ONLINE
http://www.isotools.org/2015/01/08/ohsas-18001-idoneidad-eficacia-adecuacion-revision-direccion/

17
ISO 9001:2015, COSO como

metodologa de gestin de riesgo
En la nueva norma ISO 9001:2015 la innovacin que ms
est llamando la atencin a los usuarios del Sistema de
Gestin de Calidad es la gestin de riesgos.
Numerosos profesionales se preparan para hacer frente a
este nuevo proyecto de norma y puede ser que estn revisando estndares para la gestin de cualquier riesgo. En
este artculo hablaremos de uno de estos estndares de
riesgo, este es COSO.
Podemos desglosar COSO como el Committee os Sponsoring Organization og Treadway Commission, y se crea en
1985 como consecuencia de las malas prcticas empresariales y los aos anteriores de crisis. Lo que se pretenda
con esta inicitica era llevar a cabo un liderazgo intelectual
para la gestin de riesgo empresarial, la disuasin del fraude y el control interno.
En el ao 1992, se publica el denominado COSO I con el
fin de ayudar a las organizaciones a evaluar y mejorar sus
sistemas de control interno. Dicho informe defini al control interno como un proceso generado por la direccin y
dems trabajadores de una entidad y diseado para proporcionar un grado de seguridad adecuado para la consecucin de objetivos respecto a:
Confiabilidad de cualquier informacin financiera de la
organizacin.
Cumplimiento de la normativa aplicable.
Pasamos a tener de 5 componentes en COSO I, a 8 en

COSO II, siendo stos:
Ambiente de control
Trata de los valores y filosofa de la entidad, este aspecto
influye en la visin de los empleados de los riesgos y sus actividades de control. Es la base de sobre la que posicionan
al resto de elementos, e influye fundamentalmente en los
objetivos y en la estrategia.
Establecimiento de objetivos
Se lleva a cabo el establecimiento de objetivos tanto estratgicos como operativos, de informacin y de cumplimiento. Tiene que establecerse antes de la identificacin
de posibles acontecimientos que dificulten su consecucin.
Tienen que alinearse con la estrategia de la empresa.
Identificacin de eventos
Nos interesa todo evento que pueda tener impacto sobre
el cumplimiento de objetivos, pudiendo ser tanto negativos
como positivos.
Evaluacin de Riesgos
Actividades de control.
Se basa en la identificacin y anlisis de los riesgos fundamentales en la consecucin de objetivos. Es necesario para
poder determinar el efecto que podran tener, de materializarse, en la consecucin de objetivos. Se llevaran a cabo
tcnicas cuantitativas y cualitativas. La evaluacin del riesgo
primero se centrar en el riesgo inherente y, a continuacin
de ste, en el riesgo residual.
Informacin y comunicacin.
Respuesta a los Riesgos
Supervisin.
La respuesta al riesgo ser evaluada en base a cuatro clases:

evitar, reducir, compartir y aceptar. En el momento que se
tenga la respuesta al riesgo ms correcta para una situacin
en cuestin, se efectuar otra evaluacin del riesgo residual.
Eficacia y eficiencia en operaciones.

Dicho estndar se dispona dividido en 5 captulos:
Ambiente de control.
Evaluacin de Riesgos.
En 2004, se publica COSO II o tambin, Enterprise Risk

Management Integrated Framework (ERM). Nosotros lo
18
conocemos como Marco Integrado de Riesgos, el que extendi el concepto de control interno de COSO I a la gestin
de riesgos en la que se implica a la totalidad de la plantilla
de la entidad.

Actividades de control
Objetivos relativos a la informacin suministrada a terceros
Se trata de polticas y procedimientos que aseguran la

adecuada ejecucin de acciones contra riesgos. Dichas actividades sern generadas en toda la entidad, a todos los
niveles y funciones.
Son objetivos que perjudican a la efectividad del reporting

de informacin suministrada.
Informacin y comunicacin
La informacin tiene que estar disponible para la totalidad
de niveles de la empresa, para no cometer errores en la
identificacin, evaluacin al riesgo y no comprometa la consecucin de objetivos.
Supervisin
La supervisin consiste en el seguimiento de la metodologa con el fin de garantizar que funciona adecuadamente y
que est ofreciendo datos de calidad.
COSO II es una metodologa capaz de abordar la gestin
de riesgos en las empresas desde un enfoque integrador y
que signifique una gran oportunidad para crear valor para
sus partes interesadas o stakeholders.
COSO II define la gestin de riesgos corporativos de la siguiente manera: La gestin de riesgos corporativos es un
proceso efectuado por el consejo de administracin de una
entidad, su direccin y restante personal, aplicable a la definicin de estrategias en toda la organizacin y diseado
para identificar eventos potenciales que puedan perjudicar
a sta, gestionar sus riesgos dentro del riesgo aceptado y
proporcionar una seguridad razonable sobre el logro de los
objetivos.
Objetivos relativos al cumplimiento regulatorio

Incluye cualquier objetivo relacionado con el cumplimiento,
por parte de la empresa, de todos los requisitos legales,
reglamentarios y normativos y aplicables.
COSO II interrelaciona cada uno de los objetivos antes descritos con los ocho elementos que lo llevan a cabo y que
ms arriba definimos.
En ltimo lugar es necesario nombrar los beneficios que
aporta la aplicacin de este modelo, cabe destacar:
Ayuda a las exigencias normativas en la gestin y control
de riesgos.
Permite una respuesta ms rpida y mejor a los cambios
del entorno, a los mercados y a las partes interesadas.
Permite obtener un conocimiento ntegro de los riesgos
de la organizacin.
Mejora la reputacin de la organizacin.
Aumenta la probabilidad de xito en la implantacin de
la estrategia.
Proporciona un notable aumento de la credibilidad y
confianza entre los mercados y grupos de inters.
Hace de la toma de decisiones un proceso ms seguro.
La definicin se caracteriza por:
Asigna mejor y ms eficientemente los recursos para la

gestin de riesgos y oportunidades.
Proporciona seguridad.
Ofrece una gestin eficaz del control sobre los riesgos.
Ser un proceso continuo.
Identificacin proactiva y aprovechamiento de oportunidades.
Se orienta hacia la consecucin de unos objetivos.

Estar diseada para identificar peligros potenciales y gestionar los riesgos.
Se traslada a todos los niveles de la organizacin.
En este mbito, el modelo clasifica los objetivos de toda entidad en cuatro:
Objetivos estratgicos
Son los objetivos generados desde el mayor nivel de la empresa y estn conectados con la misin y visin de la misma.
Permite prever mejor los impactos de los riesgos que

afectan a una organizacin.
Como hemos podido observar, COSO II se orienta a la gestin del riesgo, materia que preocupa en el mundo de la
calidad. La norma ISO9001:2015 no nos impondr a usar
ninguna metodologa para este tema, por lo que evaluaremos esta opcin entre otras y adoptaremos la que ms nos
convenga.
Objetivos operativos
Los objetivos operativos son aquellos relacionados con la
eficacia y eficiencia de las operaciones de la entidad, sin olvidar los relativos al desempeo y la rentabilidad.
VERSIN ONLINE
http://www.isotools.org/2015/01/12/iso-90012015-coso-como-metodologia-gestion-riesgo/

19
ISO 27001:
Pilares fundamentales de un SGSI
El estndar ISO 27001 establece todos los requisitos necesarios a la hora de implementar un Sistema de Gestin
de Seguridad de la Informacin (SGSI) en cualquier tipo
de empresa.
La parte ms importante de una empresa es la informacin. Evidentemente, la empresa contar con otro tipo de
activos que tambin tendrn una destacada importancia,
pero si la organizacin tiene algn problema en la Seguridad de la Informacin, sta no podr recuperarla. Esa es
la principal razn por la que las empresas deben dedicar
parte de su esfuerzo en garantizar la seguridad de la informacin corporativa.
Habitualmente, la gestin de la Seguridad de la Informacin en una empresa se encuentra desorganizada, por
lo que no cuenta con un criterio comn, es decir, cada
departamento de la organizacin cuenta con sus propios
procedimientos y polticas, que han sido constituidas sin
contar con las necesidades generales de la empresa e incluso podemos hablar de que se encuentran alejadas de
los objetivos del negocio.
Implementar un Sistema de Gestin de Seguridad de la
Informacin basado en la norma ISO 27001 es la manera
ms eficiente de poder conseguir la coordinacin y gestin necesaria para alcanzar los objetivos de la organizacin y adems puede conseguir que la organizacin salga
mucho ms reforzada.
20

Un Sistema de Gestin de Seguridad de la Informacin segn la ISO27001 genera una garanta con la que sabemos
que poder realizar una adecuada gestin de la seguridad
de la informacin en la organizacin. Para ello, se debe
realizar un tratamiento segn los diferentes niveles de
riesgos cosechados como consecuencia de considerar los
distintos efectos que se pueden producir sobre la informacin de la organizacin.
El Sistema de Gestin de Seguridad de la Informacin segn la norma ISO-27001 genera un proceso de mejora
continua y de gran flexibilidad frente a los cambios que se
pueden producir en la empresa refirindonos a los procesos de negocio y a la tecnologa, ya que sta avanza a una
gran velocidad.
El SGSI se basa en tres pilares fundamentales:
Confidencialidad: es la garanta de acceso a la informacin de los usuarios que se encuentran autorizados
para tal fin.
Integridad: es la preservacin de la informacin completa y exacta.
Disponibilidad: es la garanta de que el usuario accede
a la informacin que necesita en ese preciso momento.
El Sistema de Gestin de Seguridad de la Informacin
tiene que tener en cuenta los tres pilares fundamentales
para realizar el tratamiento de los riesgos de la organiza-
cin ya que la implementacin de los controles de seguridad son los activos de la organizacin.
Sistema de Gestin de Seguridad de la Informacin
Implantar un Sistema de Gestin de Seguridad de la Informacin se encuentra basado en la norma ISO-27001. Este
estndar internacional presenta un sistema de gestin
basado en el ciclo de Deming: Planificar, Hacer, Verificar y
Actuar, cuyas siglas en ingls son PHVA. El ciclo Deming o
ciclo PHVA, supone la implementacin de un Sistema de
Gestin que se centra en la mejora continua que requiere
de una constate evolucin para adaptarse a los cambios
que se producen en la organizacin e intentar conseguir
el mayor nivel de eficacia operativa.
Procedemos a describir todas las actividades que realizan
en cada una de las cuatro fases del ciclo Deming (PHVA):
1. Planificar: durante esta fase tiene lugar la creacin de
un Sistema de Gestin de Seguridad de la Informacin,
con la definicin del alcance y la poltica de seguridad. Para
comenzar debemos realizar una anlisis de riesgos que
refleje la situacin actual de la entidad. Una vez realizado
el anlisis obtendremos unos resultados que definirn el
plan de tratamiento de riesgos que conlleva la implementacin en la empresa de unos controles de seguridad con
el objetivo de mitigar los diferentes riesgos no asumidos
por la direccin.
2. Hacer: durante esta fase de la implementacin nos
centramos en el plan de tratamiento de riesgos, es decir,
su ejecucin. Se debe incluir la formacin y la conciencias
de los trabajadores de la organizacin en materia de seguridad y deben conocer la definicin de mtricas e indicadores que se utilizarn para evaluar la eficacia de los
diferentes controles implementados.
3. Verificar: esta fase conlleva la realizacin de diferentes
tipos de revisin en los que se comprobarn la correcta implementacin del Sistema de Gestin de Seguridad
de la Informacin segn ISO 27001. Para ello, se deben
realizar auditoras internas independientes y objetivas,
adems de llevar a cabo una revisin global del Sistema
de Gestin de Seguridad de la Informacin por la alta direccin de la empresa, persiguiendo el fin de marcarse
nuevas metas a cumplir durante el prximo ciclo del SGSI.
4. Actuar: El resultado obtenido de las revisiones debe
quedar reflejado en la definicin e implementacin de las
diferentes acciones correctivas, preventivas o de mejora
con las que se consigue avanzar en la consecucin del Sistema de Gestin de Seguridad de la Informacin siendo
un sistema eficaz y eficiente.
El ciclo PHVA
en un Sistema
de Gestin de
Seguridad de la
Informacin
Para implementar un Sistema de Gestin de Seguridad de
la Informacin que se deben utilizar las dos normas, es
decir, la ISO 27001 en la que se describe el ciclo PHVA de
gestin de sistemas y el estndar internacional ISO27002
en la que encontramos la gua de implantacin de los diferentes tipos de controles de seguridad.
La norma tiene 11 dominios diferentes de controles que
pretenden cubrir todos los mbitos de una entidad donde
debe existir la seguridad de la informacin. Los dominios
se encuentran divididos en 39 objetivos de control que, a
su vez, abarcan 133 controles de seguridad.
Se deben seleccionar los diferentes controles que se deben llevar a cabo para definir el plan de tratamiento de
riesgos, se debe nutrir de los 133 controles que encontramos en la norma ISO 27002. El anexo A del estndar
internacional ISO27001 engloba una lista con los diferentes controles que sirven de unin entre ambas normas
internacionales.
SGSI
La Seguridad de la Informacin en las organizaciones se
ha convertido en un motivo de preocupacin y compromiso.
VERSIN ONLINE
http://www.isotools.org/2015/01/13/iso-27001-pilares-fundamentales-sgsi/

21
ISO 14001: Estructura de la

documentacin de un Sistema
de Gestin Ambiental
Cualquier entidad tendr que crear, almacenar y mantener actualizada la totalidad de documentacin que se estima necesaria para su Sistema de Gestin Ambiental (SGA)
fundamentado en la norma ISO 14001. Habitualmente, la
organizacin incluye en un manual de gestin ambiental,
todos los elementos bsicos e importantes del sistema.
Dicho manual es el elemento bsico del Sistema de Gestin Ambiental, y en l se describe las responsabilidades,
obligaciones, el alcance del propio sistema, as como la
estructura organizativa. Adems, se recogen todos los recursos y mtodos especficos, generales, conocimientos,
procedimientos o todo aquel documento que desarrolle
las exigencias del sistema o sea necesario para el mismo.
Incluso, el manual incluir la poltica ambiental, los objetivos y fines de la entidad.
El manual responder a la totalidad de preguntas ligadas
con el Sistema de Gestin Medioambiental ya que en este
documento se cuenta con toda la informacin importante y destacada para saber lo que se necesitara hacer, el
cmo, cundo y a quin se le pueden pedir las responsabilidades al respecto.
Toda la documentacin tendr que aparecer muy especificada, lo bastante como para describir los elementos
referentes y centrales del SGA, sus interacciones y proporcionar orientacin acerca de dnde obtener informacin ms especfica respecto a una operacin puntual del
Sistema de Gestin Ambiental basado en la ISO14001.
Dependiendo de la entidad, la documentacin se podr
guardar tanto en papel como en formato digital.
Normalmente, la forma de estructurar la documentacin
del sistema es en forma piramidal.
Nivel I:
Se conforma del manual del Sistema de Gestin Medioam-
22

biental. En dicho texto, se detalla la poltica ambiental y

se utiliza como gua para as documentar las responsabilidades y funciones principales, especificar las relaciones
del sistema, los objetivos generales y ofrecer orientacin
acerca de la documentacin de referencia. En este escrito
se reflejan la totalidad de los documentos que conforman
el sistema y sirve de base para el desarrollo de los procedimientos especficos y generales.
Nivel II:
En el segundo nivel de esta pirmide se encuentran los
procedimientos. En este documento se detallan los mtodos a aplicar y los criterios a seguir para alcanzar con
los requisitos necesarios para implantar adecuadamente
un SGA. Cada uno de los captulos de este manual est
desarrollado por uno o varios procedimientos, e incluso
en cada captulo se tiene que hacer referencia a los procedimientos que lleva a cabo.
Nivel III:
En el tercer nivel se recogen los procedimientos especficos del sistema y orientaciones tcnicas. Se trata de documentos de un nivel ms concreto acerca de aspectos
puntuales del funcionamiento del Sistema de Gestin Ambiental.
Nivel IV:
Por otra parte, en este apartado se detalla toda la documentacin que tiene que formar parte del SGA segn
ISO-14001 y que no se encuentra recogida en ninguno de
los niveles anteriormente mencionados. Destacan los registros del Sistema de Gestin Ambiental que proceden
del uso de los formatos incluidos en los procedimientos o
planes de actuacin (de auditora, plan de formacin, etc.).
En el momento en el que se desarrollen los cuatro niveles
de la empresa de la documentacin del Sistema de Ges-
tin Ambiental, se tiene que hablar acerca del control de

la misma cuya responsabilidad cae en la misma empresa
que tendr que determinar y mantener al da uno o varios
procedimientos con el fin de controlar la documentacin
de su SGA.
de la lista de aspectos ambientales:
Es necesario que la documentacin de un Sistema de

Gestin Ambiental fundamentado en la norma ISO14001
se encuentre localizada, se apruebe y revise cuando sea
conveniente y retirada cuando se encuentre ambigua u
obsoleta. La documentacin tiene que identificarse fcilmente (nombre, nmero o referencia de los documentos), encontrarse accesible en el momento que se precise
(distribuyendo copias en los lugares detallados), aadir
fechas de edicin, adems de estar revisada y actualizada
totalmente.
Utilizacin de productos qumicos.
En algunos casos, el archivo del documento ya antiguo sirve para satisfacer un requisito legal. En dicho caso, este
texto tiene que identificarse de una manera adecuada.
La organizacin tiene el deber de explicar los procedimientos a seguir para saber cmo se efectuar la distribucin, revisin y aprobacin, identificacin y retirada de los
documentos obsoletos. Un sujeto tiene que encargarse
de esta gestin documental para revisar los textos y garantizar que no se contradicen con algn requisito o requerimiento de la norma y, posteriormente, llevar a cabo
su aprobacin. El archivo de los documentos se mantendr, a lo largo de al menos tres aos de vigencia del certificado ISO 14001, aunque alguno de ellos se quede en
situacin de desuso.
Cualquier documentacin que se produzca y genere
como consecuencia de la aplicacin de los procedimientos del Sistema de Gestin Ambiental que no establezca
registros del sistema y aquella documentacin externa
que perjudique a la gestin ambiental, sern controlados,
as como analizados.
El fin que se persigue en el control de la documentacin
es determinar los controles necesarios para garantizar
que los aspectos ambientales se trabajan correctamente, minimizando los impactos ambientales relacionados,
identificando las actividades que pueda n ocasionar colisin con el medio ambiente tanto en los servicios como en
los procesos de produccin.
La organizacin tendr que determinar las actividades y
operaciones que se encuentren ligadas con los aspectos
ambientales representativos para llevar a cabo un correcto control, de acuerdo con su poltica ambiental, objetivos
y fines. Para contribuir a ello, la entidad podr hacer uso
Almacenaje.
Vertidos.
Uso de energa.
Riesgos de accidentes.
Uso de agua.
Generacin de residuos.
Uso de materias primas y empleo de recursos naturales.
Emisiones atmosfricas.
Contaminacin y degradacin del suelo.
Otros (ruido, olores, vibraciones, impacto visual, biodiversidad, etc.).
Continuamente, se tendrn que describir la manera en la
que llevarn a cabo estas actividades y actuaciones para
que los impactos ambientales que produzcan se pudieran considerar controlados o no lleguen a generarse. Para
ello, se debera realizar una planificacin, elaborar los criterios necesarios para decidir si se estn desenvolviendo
en base a lo planeado y determinar mtodos de correccin.
El control de las operaciones tiene que englobar a las
operaciones de mantenimiento, as como a proveedores
y subcontratistas en sus actividades ligadas a la organizacin en particular. Adems, es importante que los procedimientos de control operacional se informen a cualquier
proveedor y subcontratista, as como el mantenimiento de
un registro de tal comunicacin.
Asimismo, si la organizacin ve necesario incluir a los
proveedores y subcontratistas ambientales en el procedimiento de evaluacin, tendr que establecer los criterios
medioambientales que se exigen y tener control del anlisis y de su mantenimiento.
Algunas actividades en las que se requiere un control operacional pueden ser: los vertidos, las emisiones atmosfricas, proveedores, subcontratistas, la gestin de residuos,
el almacenamiento de productos qumicos, etc.
VERSIN ONLINE
http://www.isotools.org/2015/01/14/iso-14001-estructura-documentacion-sistema-gestion-ambiental/

23
OHSAS 18001: Auditora en

los Sistemas de Gestin de
Seguridad y Salud en el Trabajo
OHSAS 18001 se considera una norma auditable. El concepto de auditor aparece en la norma ISO 19011:202 descrita cono la persona con la competencia (atributos personales y aptitud demostrada para aplicar conocimientos
y habilidades) para llevar a cabo una auditora.
Habilidades en el esquema de seguridad y salud laboral,

OHSAS18001.
Hay que distinguir entre auditoras internas y externas de

OHSAS18001, teniendo en cuenta:
Saber identificar y entender los requerimientos legales

y reglamentarios ligados con las instalaciones y actividades de la organizacin.
Auditores internos, son los auditores que forman parte de la organizacin que va a ser auditada. Se trata de
empleados que, independientemente de las funciones
que desarrollan en su empresa, asumen el cargo de auditores internos respecto de aquellas reas, funciones y
departamentos en los cuales no tienen responsabilidad
alguna.
24
Competencia para comprender los procedimientos especficos relacionados (capacidad tcnica).
Adems, es importante tener en cuenta las siguientes aptitudes:

Aceptacin por parte del auditado.
Desarrollo profesional.
Auditores externos, son los auditores que no pertenecen a la entidad del auditado. Nos estamos refiriendo
a entidades o a individuos que son contratados por el
usuario para que realicen una auditoria en su misma
entidad, o bien en la entidad de uno de sus subcontratistas o proveedores en su representacin.
Imparcialidad e independencia.
Con el fin de seleccionar un equipo auditor OHSAS 18001,

se tendr que garantizar que el equipo seleccionado
cuente con todas las competencias incluyendo:
Conocimiento del lenguaje de la auditora.
Conocimientos generales sobre el desarrollo de auditoras.
Las funciones y obligaciones del auditor del Sistema de

Gestin de Seguridad y Salud en el Trabajo basado en la

Cuestiones culturales.
Disponibilidad.
Capacidad de trabajo en equipo.
Formacin necesaria.
norma OHSAS-18001 son las que mencionamos a continuacin:

Comunicar los resultados de las observaciones de la auditora tanto de forma oral como escrita.
Cumplir con los requisitos de la auditora y realizar la
gestin de sta segn los procedimientos del cliente y
al plan de auditora acordados.
Mantener la documentacin necesaria de la auditoria.
Actuar de modo tico.
Estar atento en todas aquellas situaciones donde la evaluacin del cumplimiento requiera mayor anlisis.
Conoces las
responsabilidades
de un auditor lder
OHSAS 18001?
Trabajar dentro de las tareas asignadas y del marco del

alcance de la auditora.
Recopilar y analizar las evidencias necesarias para valorar el cumplimiento del Sistema de Gestin de la Seguridad y Salud en el Trabajo OHSAS18001 (SST) con los
criterios de auditora.
Inspeccionar las observaciones de la auditora.
Conservar la confidencialidad.
Planificar y desempear de manera eficiente y eficaz las
responsabilidades asignadas.
Comunicar y aclarar los requisitos de la auditora, as
como a los auditados.
Ayudar a entender los requisitos de OHSAS 18001 como
Sistema de Gestin de la SST u otros documentos que
determinen los criterios de auditora.
Comprobar la eficiencia de las operaciones de correccin desarrolladas como consecuencia de la auditora,
siempre que sean necesarias.
Ayudar y cooperar con el auditor lder.
Responsabilidades adicionales del auditor lder

OHSAS 18001 (lder del equipo auditor)
Se llama auditor lder OHSAS 18001 al responsable de todos los procesos de la auditora y tiene que comprobar
que todos los objetivos de la auditora se han llevado a
cabo. Adems, es el encargado de gestionar toda la auditora, y por esa misma razn, tiene que contar con la
competencia de liderazgo y gestin. Es el responsable de
las decisiones finales ligado al desarrollo de la auditora y
la distribucin y categorizacin de los hallazgos al tiempo
que proporcionar las recomendaciones finales.
Por ello, las responsabilidades adicionales del auditor lder OHSAS18001 aaden:
Englobar toda la informacin destacable requerida para

llevar a cabo la auditoria.
Trabajar en la seleccin de componentes del equipo
auditor.
Preparar el plan de auditora y asignar las tareas a cada
uno de los miembros del equipo.
Comprobar que la totalidad de documentos del trabajo
requerido estn preparados.
Revisar que los documentos del Sistema de Gestin de
Seguridad y Salud en el Trabajo son los acordes con lo
que estamos trabajando.
Representar al equipo auditor ante el cliente que va a
ser auditado.
Presidir las reuniones de apertura y cierre.
Garantizar que el proceso de auditora se desarrolla segn lo previsto, incluyendo la necesidad de incluir nuevas personas en el equipo si fuera necesario.
Garantizar que el equipo auditor realiza reuniones organizadas y coordinadas regularmente.
Asegurar que se comunica con transparencia los resultados de las auditoras y de sus conclusiones (incluyendo aquellos hallazgos de una No Conformidad crtica).
Presentacin del informe final de la auditora.
El perfil ideal del auditor OHSAS 18001

Entre los caracteres ideales del auditor destacan los siguientes:
Diplomtico.
Paciente.

25
Dialogante.
Formado.
Autocrtico.
Honesto.
Analtico.
A los auditores de OHSAS18001, se le pueden sumar
otros colaboradores, como: auditores en prcticas, traductores e intrpretes, o incluso, observadores. Estos ltimos habitualmente suelen ser:
Personal de la entidad auditora cuya intencin es evaluar al auditor con vistas a su registro y cualificacin.
Personas de la misma organizacin auditada que han
manifestado su deseo de participar en la auditora para
su formacin personal y profesional.
Personas representantes de algn comprador.
Estos observadores tienen que mantenerse imparciales
en lo que se refiere al desarrollo de la auditora y no interferir en su ejecucin. Su presencia tiene que estar autorizada por la direccin de la entidad auditada.
y deteccin de errores), comportamiento social (honestidad, autocrtica, sentido de la responsabilidad, discrecin

firmeza, entereza, disciplina, carcter, espritu de equipo,
iniciativa, decisin, sociabilidad, espritu de progreso y formacin) y aptitudes fsicas (salud, presencia, dinamismo y
resistencia).
Bases fundamentales del auditor para el xito de una auditora del Sistema de Gestin de Seguridad y Salud en el
Trabajo
Para abordar adecuadamente una auditora del Sistema
de Gestin de la SST segn OHSAS 18001, el auditor tiene
que tener en cuenta unas premisas que tienen que ser
perseguidas a lo largo de la ejecucin de la misma:
Preparacin: La calidad de la preparacin determina la
calidad de la auditora:
Analizar la documentacin.
Preparar las listas de comprobacin.
Estar formado.
Saber expresarse: Para que entiendan sus preguntas,
razonamientos y opiniones.
Evaluacin de las caractersticas del auditor OHSAS

18001
Saber escuchar: Saber pensar y callarse en nuestra opinin y en nuestra respuesta.
Dicha evaluacin se hace efectiva a travs de una serie

de parmetros que engloban aptitudes profesionales (cultura, bases tcnicas, formacin especfica y experiencia
previas), aptitudes intelectuales (comprensin, memoria,
intuicin, capacidad de juicio, sentido de la organizacin
Ser conscientes de nuestras actitudes, comportamientos e influencia.

Saber hacer hablar: Para poder profundizar, reenfocar y
detallar los temas de inters.
VERSIN ONLINE
http://www.isotools.org/2015/01/15/ohsas-18001-auditoria-sistemas-gestion-seguridad-salud-trabajo/
26

ISO 9001:2015,
metodologa COSO III para la
gestin de riesgos
La nueva norma ISO 9001:2015 habla especialmente acerca de la gestin de riesgos, que es una de las novedades
ms destacadas en los crculos profesionales de la calidad.
Entorno de control
En artculos anteriores hemos comentado de una de los

mecanismos o metodologas que podremos emplear para
llevar a cabo esta gestin, haciendo referencia a COSO I y
COSO II.
Nos encontramos con cinco principios que detallan: la

importancia de la integridad y valores ticos, la importancia del modo de operar de la administracin y su filosofa,
la relevancia de contar con una estructura organizativa,
una adecuada asignacin de responsabilidades y el valor
de las polticas de recursos humanos.
La tercera versin, COSO III, se public en el ao 2013. Este

renovado Marco Integrado de Gestin de Riesgos incluye
novedades como estas:
Se aclaran las relaciones entre los elementos que componen el control interno para subrayar la relevancia del
entorno de control.
Aumenta la confianza en cuanto a la eliminacin de riesgos y consecucin de objetivos.
Se incrementa la informacin sobre el gobierno corporativo de una entidad, apreciando diferencias en estructuras, requisitos, sectores y tipos de entidades.
Mejora la agilidad de los Sistemas de Gestin de Riesgos

en su adaptacin con los entornos.
Aporta mayor claridad referente a la comunicacin y la
informacin.
Dicho Marco Integrado COSO III, proporciona mayor cobertura de riesgos en las entidades. Las modificaciones ms
significativas son las que cuenta, desde COSO II son, estructuradas por componentes:
Se refuerza la supervisin del riesgo, as como la relacin

entre el riesgo y su respuesta.
Evaluacin de riesgos
- Se ampla la categora de objetivos de reporte.
- Se seala que la evaluacin de riesgos incluye: identificacin, anlisis y respuesta a los riesgos.

27
Se incluyen conceptos como velocidad y persistencia de

riesgos, como criterios de evaluacin.
control interno, ya que se encuentran integrados. Esto se

podra decir tambin en sentido inverso.
Se tiene en cuenta la tolerancia al riesgo en la evaluacin de

niveles aceptables de riesgo.
COSO III se publica 9 aos despus de COSO II, una versin

actualizada y mejorada. Esta revisin de la metodologa
admite cualquier cambio y mejora que se introdujeron en
COSO II, salvo que los elementos quedan reducidos a cinco,
por lo que dejan de hacer referencia explcita a:
Se considera el tipo de riesgo conectado a las fusiones, adquisiciones y externalizaciones.

Se ampla la consideracin de riesgo al fraude.
Actividades de control
Se seala que las actividades de control vienen determinadas por procedimientos y polticas.
Establecimiento de objetivos.
Identificacin de eventos.
Respuesta a los riesgos.
Se tiene en cuenta el rpido cambio y la evolucin de la

tecnologa.
Sin embargo, el elemento correspondiente a evaluacin de

riesgos, s admite de forma indiscutible que la dicha evaluacin tendr que incluir:
Se acenta la diferenciacin entre controles automticos

y controles generales de tecnologa.
Identificacin de cada uno de los riesgos.
Informacin y comunicacin
Respuesta precisa a los riesgos.
Se puntualiza la importancia de la calidad de la informacin dentro del sistema de control interno.

Se penetra en la necesidad de informacin y comunicacin entre la entidad y terceras partes.
Se exalta el impacto de los requisitos legales sobre seguridad y proteccin de la informacin.
Se muestra el impacto de la tecnologa y otros medios
de comunicacin en la rapidez y calidad del flujo de informacin.
Actividades de monitoreo y supervisin

Se hace ms clara la terminologa, a travs de la definicin de dos categoras de actividades de monitoreo: evaluaciones independientes y evaluaciones continuas.
Se ahonda en la relevancia del uso de proveedores de
servicios externos y la tecnologa.
La administracin de riesgos en la versin anterior era uno
de los elementos bsicos del control interno con el que podamos alcanzar una eficacia y eficiencia de las operaciones, el cumplimiento de las leyes, normas y/o reglamentos
y la confiabilidad de los reportes. Esto es porque el sistema
de Gestin de Riesgos no es independiente del sistema de
Anlisis de riesgos.
Asimismo, como elemento novedoso, se da protagonismo
a conceptos como puede ser la tolerancia al riesgo en la
evaluacin de niveles aceptables de riesgo, y se incluyen
otros como la velocidad y persistencia de los riesgos, siendo motivos para evaluar la criticidad de los mismos.
Por otra parte, cuando se hablan de mejoras de este Marco
actualizado, se manifiesta que se encuentra acompaado
de dos nuevos documentos: el relativo al control interno
de la informacin financiera externa (ICEFR) y los mecanismos de evaluacin a utilizar para poder valorar la eficacia
del control interno.
Esto ltimo parece olvidar que en 2006 COSO public el
documento Control Interno para la informacin financiera
para pequeas y medianas empresas cotizadas, as como
en 2009, la Gua para la Supervisin de Sistemas de Control Interno.
Las empresas que se encuentren trabajando con COSO
tienen que saber que esta versin de la metodologa de
gestin de riesgos es la vigente en la actualidad, quedando
derogadas las versiones anteriores, del mismo modo que
las entidades al implementar ISO 9001:2015 quieran utilizar este mecanismo para aplicar la gestin de riesgos que
exige la norma.
VERSIN ONLINE
http://www.isotools.org/2015/01/19/iso-90012015-metodologia-coso-iii-gestion-riesgos/
28

ISO 14001: La verificacin en el

Sistema de Gestin Ambiental
En este texto vamos a hablar sobre el procedimiento desarrollado por la empresa para realizar la verificacin de
la norma ISO 14001 a la hora de implantar un Sistema de
Gestin Ambiental.
Seguimiento y medicin
El objetivo que se persigue con la verificacin en la norma
ISO14001 a la hora de implementar un Sistema de Gestin
Ambiental es la instauracin de todos los procedimientos
necesarios para poder medir, de forma segura y regular,
todas las caractersticas que existen en las actividades y
operaciones que puedan generar un impacto negativo sobre el medio ambiente. Adems, se intenta fijar las normas
que tienen que cumplirse para llevar a cabo la calibracin y
el mantenimiento de los distintos equipos de medicin con
los que cuenta la empresa.
que se deben contemplar todas las variables clave de las

distintas actividades relacionadas con el correcto funcionamiento y los aspectos significativos de todas las instalaciones. Adems, el proceso de medicin y seguimiento debe
quedar contemplado con el acondicionamiento de todos
los controles operacionales que se llevan a cabo gracias a
los aspectos significativos, es decir, el estado de las metas
ambientales, los objetivos y el cumplimiento de los requisitos legales aplicables.
Los procesos de medicin con los que cuenta la empresa

deben reunir los suficientes parmetros para que sea fiable
el seguimiento del cumplimiento de la legislacin y el proceso de mejora continua.
La entidad o empresa es la encargada de elaborar los documentos que controlen el proceso de calibracin y mantenimiento de los equipos de medida relacionados con las
actividades que estn sujetas a los procesos de seguimiento y medicin. Los documentos especifican la periodicidad
de los seguimientos, las mediciones y las calibraciones, adems de la metodologa empleada para llevarlas a cabo y los
responsables de dichos procedimientos que debern realizar un informe final. El periodo de tiempo en que se deben
realizar los seguimientos y las mediciones debe ser coherente con los requisitos legales que se les pueden aplicar.
La empresa desarrolla uno o varios procedimientos en los
Los registros obtenidos por las empresas durante el pro-

29
Cmo hacer el
seguimiento y medicin
de un Sistema de
Gestin Ambiental
ceso de seguimiento y medicin de la norma ISO14001
deben incluir siempre el resultado de las mediciones y de
las calibraciones que, en su caso, debern contener como
mnimo la calibracin del equipo, la incertidumbre de las
medidas realizadas y la identificacin inequvoca del equipo
utilizado para llevar a cabo la medicin.
Cuando la empresa utiliza sus propios medios para llevar a
cabo la medida y el registro debe contener, adems, todos
los datos de su trazabilidad y los patrones aceptados.
Si las medidas se realizan por parte de las entidades acreditadas tiene que obtenerse una evidencia de la acreditacin
para poder realizar anlisis contrastados en todo momento. Por lo que en este caso, se toma por bueno el procedimiento de calibracin y la trazabilidad de todos los patrones para llevar a cabo el anlisis para lo que est acreditada
la empresa.
Los registros que se obtienen se utilizarn en la empresa
para poder identificar los diferentes indicadores de comportamiento y usarlos a la hora de implementar las acciones correctivas y preventivas impuestas por la norma ISO14001, estimando el cumplimiento de los objetivos y las
metas del Sistema de Gestin Ambiental. Adems podrn
conocer si est mejorando el desempeo ambiental de la
organizacin.
Evaluacin del cumplimiento legal

La organizacin tiene que llevar a cabo diferentes procedimientos para poder demostrar que cumple irrefutablemente con el compromiso de cumplir con todos los requisitos legales y otros requisitos legales que les son aplicables.
La empresa debe realizar evaluaciones cada cierto tiempo
con el fin de mantener todos sus registros actualizados con
los resultados que va obteniendo.
La evaluacin del cumplimiento legal guarda mucha similitud en la norma ISO 14001 con el seguimiento y la medicin, aunque se establecen necesidades diferenciadas en
30

cada procedimiento para cada requisito que puede encontrarse documentado o no.
Cuando los procedimientos de seguimiento y medicin de
la ISO 14001, se encuentran relacionados con los requisitos
legales u otros requisitos, la empresa tendr que poner especial atencin en demostrar que cumplen todos los requisitos. Para ellos, se puede editar un formato que contenga
toda la lista de requisitos legales y otros requisitos y contemplar todos los indicadores que te dicen cundo, dnde
y quin los ha verificado.
No Conformidad, Accin Correctiva y Accin Preventiva

La organizacin tiene que establecer una sistemtica que
le facilite la identificacin, la comunicacin y la gestin adecuada de todos los fallos reales que se producen en el Sistema de Gestin Ambiental basado en la norma ISO14001,
adems de aplicar las acciones preventivas o correctivas,
segn sea el caso, para evitar o corregir los fallos potenciales.
Una No Conformidad se puede entender como todo tipo
de incumplimiento de lo exigido por cualquiera de los requisitos que genera el Sistema de Gestin Ambiental o que
infrinja los principios en los que nos basamos.
La forma de actuar ante una No Conformidad es la siguiente: la organizacin debe poner remedio a todos los daos
ambientales producidos, adems deber solucionar las
causas que generaron dicho dao (Accin Correctiva) y si
es posible se debe evitar que tal situacin se produzca nuevamente (Accin Preventiva).
La empresa tiene que disponer de uno o varios procedimientos escritos donde se describe el origen y la deteccin
de las No Conformidad, el tratamiento que se les debe dar,
y los anlisis y las resoluciones de las no conformidades.
Una vez realizado esto, la empresa puede establecer las Accin Correctiva y Accin Preventiva que estime oportunas,
adems de realizar el seguimiento necesario para comprobar la eficacia y comunicarla.
Adems, el registro de evidencias se debe mantener ya
que demuestra el cumplimiento de las pautas descritas.
VERSIN ONLINE
http://www.isotools.org/2015/01/20/iso-14001-verificacion-sistema-gestion-ambiental/
La familia de normas ISO 27000
La Organizacin Internacional de Estandarizacin (ISO) recoge un extenso nmero de normas dentro de la familia de
ISO 27000.
Cada norma tiene reservado una nmero dentro de una serie que van desde 27000 hasta 27019 y de 27030 a 27044.
Vamos a realizar un repaso por todas las normas de la serie:
Esta estandarizacin contiene las definiciones y los trminos que se utilizarn durante toda la serie 27000. Para aplicar cualquier normativa necesita conocer un vocabulario
perfectamente definido, por lo que as evitaremos cualquier
mala interpretacin de conceptos tcnicos y gestin. Esta
norma es gratuita a diferencia de las dems de la serie de
normas que s que suponen un coste para su implementacin.
ISO 27001
La ltima versin de esta norma fue publicada en el ao
2013. Es la norma principal de toda la serie ya que incluye
todos los requisitos del Sistema de Gestin de Seguridad de
la Informacin en las organizaciones. La ISO 27001 sustituye
a la BS 7799-2 estableciendo unas condiciones de adaptacin para aquellas empresas que se encuentren certificadas
bajo esta ltima. En el Anexo A se enumeran los objetivos
de control y los anlisis que desarrolla la norma ISO27001
para que se puedan seleccionar las empresas durante el
progreso de sus Sistemas de Gestin de Seguridad de la
Informacin. La empresa podr argumentar el hecho de no
aplicar los controles que no se encuentren implementados
ya que no es obligatorio.
ISO 27002
Es un manual de buenas prcticas en la que se describen

los objetivos de control y las evaluaciones recomendables
en cuanto a la seguridad de la informacin. Esta norma no
es certificable. En ella podemos encontrar 39 objetivos de
control y 133 controles agrupados en 11 dominios diferentes. Como se ha mencionado anteriormente, la norma ISO
27001 incluye un anexo que resume todos los controles
que podemos encontrar en la norma ISO 27002.
ISO 27003
Es un manual para implementar un Sistema de Gestin de
Seguridad de la Informacin y adems, nos da la informacin necesaria para la utilizacin del ciclo PHVA (viene de las
siglas Planificar, Hacer, Verificar y Actuar, en ingls Plan, Do,
Check, Act) y todos los requerimientos de sus diferentes fases. El origen de esta norma se encuentra en el Anexo B de
la norma BS7799-2 y en la serie de documentos publicados
a lo largo de diferentes aos con recomendaciones y gua
de implementacin.
ISO 27004
En este estndar se especifican las tcnicas de medida y las
mtricas que son aplicables a la determinacin de la eficacia
de un Sistema de Gestin de Seguridad de la Informacin y
los controles relacionados. Las mtricas se utilizan para la
medicin de los componentes de las fases implementar y
utilizar del ciclo deming.
ISO 27005
Esta normativa establece las diferentes directrices para la
gestin de los Riesgos en la Seguridad de la Informacin. Se

31
trata de una norma de apoyo a los conceptos generales que

vienen especificados en la ISO 27001 y se encuentra diseada para ayudar a aplicar, de una forma satisfactoria, la seguridad de la informacin basada en un enfoque de gestin
de riesgos. Para comprender a la perfeccin esta norma es
necesario conocer todos los conceptos, modelos, procesos
y trminos descritos en la norma ISO-27001 e ISO 27002.
Dicha norma se puede aplicar a todo tipo de organizaciones
que tienen la intencin de gestionar todos los riesgos que
se puedan dar en la empresa en temas de seguridad de la
informacin.
ISO 27032
Es un texto relativo a la ciber-seguridad. Se trata de un estndar que garantiza directrices de seguridad que desde la
organizacin ISO han asegurado que proporcionar una
colaboracin general entre las mltiples partes interesadas
para reducir riesgos en Internet. Ms concretamente, ISO/
IEC 27032 proporciona un marco seguro para el intercambio de informacin, el manejo de incidentes y la coordinacin para hacer ms seguros los procesos.
ISO 27006
ISO 27033
Este estndar especfica todos los requisitos para lograr la

acreditacin de las entidades de auditora y certificacin de
Sistema de Gestin de Seguridad de la Informacin. ISO
27006 se trata de una versin revisada de la EA-7/03 (requisitos para la acreditacin de entidades) que aade a la ISO/
IEC 17021 (requisitos para entidades de auditora y certificacin de Sistemas de Gestin), los requisitos especficos de
la ISO 27001 y los del Sistema de Gestin de Seguridad de
la Informacin. Asimismo, esta norma ayuda a interpretar
todos los criterios de acreditacin de ISO/IEC 17021 cuando
se aplican en organismos de certificacin de la norma ISO
27001, pero no se trata de una norma de acreditacin por
s misma.
Es una norma derivada de la norma de seguridad ISO/IEC

18028 de la red. Esta norma da una visin general de seguridad de la red y de los conceptos asociados. Explica las
definiciones relacionadas y aporta orientacin de la gestin
de la seguridad de la red.
ISO 27007
Es un manual de auditora de un Sistema de Gestin de
Seguridad de la Informacin. Es un estndar Internacional
el cual ha sido creado para proporcionar un modelo para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestin de Seguridad de la
Informacin (SGSI).
ISO 27011
Es una gua de gestin de seguridad de la informacin especfica para telecomunicaciones Ha sido elaborada conjuntamente con la Unin Internacional de Telecomunicaciones
(ITU).
ISO 27031
Es una gua de continuidad de negocio basada en las tecnologas de la informacin y las comunicaciones. Explica los
principios y conceptos de la tecnologa de informacin y comunicacin (TIC), la preparacin para que contine el negocio, y la descripcin de los procesos y mtodos necesarios
para sealar e identificar todos los aspectos que sirvan para
mejorar la preparacin de las TIC de una empresa con la
32
finalidad de garantizar la continuidad del negocio.

Consiste en 7 partes:
Gestin de seguridad de redes
Arquitectura de seguridad de redes
Marcos de redes de referencia
Aseguramiento de las comunicaciones entre redes mediante gateways
Acceso remoto
Salvaguardia de comunicaciones en redes mediante VPNs
Diseo e implementacin de seguridad en redes.
ISO 37034
Es una gua de seguridad en aplicaciones.
ISO 27799
Se trata de un estndar de Gestin de Seguridad de la Informacin dentro del sector sanitario aplicado a la norma ISO
17799 (actual ISO 27002). Dicha norma no es desarrollada
por el subcomit JTC1/SC27 sino que la lleva a cabo el comit tcnico TC 215. Esta normativa define las directrices
necesarias para apoyar la interpretacin y la aplicacin en
la salud informtica de la norma ISO 27002 y es un complemento a dicha norma. Esta especifica un conjunto detallado
de controles y directrices de buenas prcticas para la gestin de la seguridad de la informacin por las empresas del
sector sanitario.
VERSIN ONLINE
http://www.isotools.org/2015/01/21/familia-normas-iso-27000/
OHSAS 18001:
Tipos de auditoria para las organizaciones
La norma OHSAS 18001 determina los requerimientos

para un Sistema de Gestin de la Seguridad y Salud en el
Trabajo (SST), destinados a permitir que una empresa controle sus riesgos para la SST y mejore su ejercicio de la SST.
Certificar e implantar un Sistema de Gestin de la Seguridad y Salud en el Trabajo segn OHSAS 18001 permite a
las empresas:
Cumplir la legislacin en materia de prevencin, integrando sta ltima en los procesos de la empresa, lo
que conlleva una disminucin de los costos y sanciones
administrativas derivadas de su incumplimiento, adems
de una mejora de la gestin interna de la empresa y de
la comunicacin entre organizacin con el trabajador, las
administraciones y partes interesadas.
Reducir la frecuencia de siniestros laborales y aumentar
la productividad, controlando, evaluando y analizando los
riesgos asociados a cada puesto de trabajo, y evitando
las causas que originan los accidentes y las enfermedades en el trabajo. La percepcin de un entorno laboral
ms seguro por los trabajadores conlleva una disminucin de las enfermedades, bajas o absentismo laboral,
una reduccin progresiva de la siniestralidad, un aumento de la productividad y un descenso de sanciones y gastos innecesarios.
Promover una cultura preventiva mediante la integracin
de la prevencin en el sistema general de la empresa
(exigido por ley) y el compromiso de todos los trabajadores con la mejora continua en el desempeo de la SST.
El estndar OHSAS 18001 puede ser examinado segn tres
tipos de auditoras que comentaremos en este post.

Hablamos de auditoras de primera parte, de segunda y de
tercera parte.
Auditora OHSAS 18001 de primera parte

Son conocidas igualmente como auditoras internas y en la
mayora de casos son realizadas por la empresa, aunque
tambin es una actividad que se puede sub-contratar. Consisten en auditoras de una organizacin o parte de ella que
se ejecutan segn los requisitos establecidos en la clusula
4.5.5 de la norma OHSAS-18001.
En este captulo, la normativa expresa que la empresa debe
asegurarse de que las auditoras internas del Sistema de
Gestin de Seguridad y Salud en el Trabajo (SST) llevadas
a cabo en la organizacin se realizan peridicamente para:
Determinar si nuestro Sistema de Gestin de SST OHSAS18001:
Se adapta a las disposiciones planificadas para la gestin
de la SST, incluyendo los requisitos de la norma.
Ha sido instaurado correctamente y se mantiene igual.
Es lo suficientemente eficiente para cumplir con los objetivos y la poltica de la organizacin.
Proporcionar informacin sobre el resultado obtenido en
la auditora.
Estos resultados sirven para establecer, implementar, planificar y mantener programas de auditora, sin olvidar tener
en cuenta adems las evaluaciones de riesgos de las actividades de la organizacin.

33
Por otro lado, OHSAS 18001 tambin indica que es necesario contar con uno o varios procedimientos de auditora
que traten sobre:
Requisitos, responsabilidades y competencias para proyectar y ejecutar estas auditoras, comunicar los resultados y
mantener los registros ligados a dichas auditoras.
La especificacin de los criterios de auditora, el alcance de
la misma, la frecuencia y los mtodos empleados.
Este tipo de auditoras son planificadas para trabajar, como
hemos citado arriba, sobre la base de un programa establecido en los distintos departamentos de la entidad. El
objetivo de todo esto es garantizar que se respetan las actividades del Sistema de Gestin de Seguridad y Salud en el
Trabajo y los requisitos de la norma OHSAS-18001. Como
ltimo fin es promover la mejora continua del sistema.
Auditora OHSAS 18001 de segunda parte

Son tambin conocidas como auditoras a proveedores.
Las realiza el cliente sobre stos. El objetivo principal de
este tipo de auditoras es minimizar los riesgos del negocio
ligados a las compras, subcontrataciones, out-sourcing y la
gestin de la cadena de suministro.
Normalmente, una empresa acepta el hecho de que su
proveedor tiene el certificado del Sistema de Gestin de Seguridad y Salud en el Trabajo segn la norma OHSAS18001
como prueba del cumplimiento con los requisitos de la SST,
y no realiza ningn tipo de auditora. Pero si el proveedor
posee un Sistema de Gestin de Seguridad y Salud Ocupacional que no est certificado, es aconsejable que la organizacin ejecute las auditoras correspondientes, contando
con el equipo auditor cualificado pertinente.
Estas auditoras tambin necesitan de la preparacin de
un programa. De ellas resultan acciones correctivas que el
auditado tendr que aceptar e implantar. En este caso, la
empresa auditada debera aceptar las acciones correctivas
propuestas por el auditor ya que de l depende la valoracin del proveedor.
Auditora OHSAS 18001 de tercera parte

Tambin conocidas como auditoras de certificacin. Son
ejecutadas por una entidad auditora independiente, ajena
a la organizacin auditada. Este tercer tipo de auditora es
mucho ms formal y se realiza para obtener el certificado
de conformidad con los requisitos del estndar OHSAS
18001.
En este caso, el auditor no puede aconsejar a la organizacin auditada sobre las acciones correctivas que deben
tomar.
34

Existen dos fases en las que se divide el desarrollo de este

tipo de auditora:
Fase primera o fase inicial.

En esta primera fase se realiza la planificacin de la auditora. Sirve, adems, como evaluacin para comprobar si
el sistema es slido y si tiene la madurez suficiente para
conseguir el certificado. Suele ser una etapa fcil, pues
normalmente este tipo de auditoras siguen una rutina ya
modelada.
Fase segunda o fase principal.

Consiste en una auditora completa del sistema. Se enfoca
en valorar la adecuacin, capacidad y eficacia del Sistema
de Gestin de Seguridad y Salud Laboral segn el estndar
OHSAS-18001.
Estas auditoras, incluyendo los tres tipos, siempre se desarrollan para lograr unos propsitos, entre ellos destacamos:
Para seleccionar un subcontratista.
Para comprobar el funcionamiento de un subcontratista
a lo largo de la duracin del contrato o del desarrollo de
un proyecto.
Para comprobar el funcionamiento y las mejoras del sistema.
Para resolver un problema. Las actividades de esta auditora son examinadas para aclarar e identificar las causas
de un problema en el Sistema de Gestin de Seguridad
y Salud en el Trabajo basado en la norma OHSAS18001.
Para obtener la certificacin del sistema OHSAS 18001.
Las actividades de auditora, incluyendo los tres tipos anteriormente mencionados, del Sistema de Gestin de Seguridad y Salud en el Trabajo segn OHSAS 18001 van a estar
alineadas en cumplir con unos objetivos:
Determinar reas de mejora.
Eficacia del Sistema de Gestin de SST.
Conformidad del Sistema de Gestin de Seguridad y Salud Ocupacional.
Cumplir con los requisitos legales.
Evaluar subcontratistas.
VERSIN ONLINE
http://www.isotools.org/2015/01/22/ohsas-18001-tipos-de-auditoria-para-las-organizaciones/
ISO 9001:2015, los principios

de la ISO 31000 para adecuar la
Gestin de Riesgos
En la prxima versin de la ISO 9001 que sale a la luz este

ao exigir una gestin de riesgos como se est trabajando
durante estos ltimos meses.
Uno de los estndares que se puede utilizar es la ISO
31000 que es una norma que establece los principios para
implementar, disear y mantener una gestin de riesgos
ordenada y transparente de cualquier forma de riesgo y en
cualquier entorno o contexto.
La norma ISO 31000 define al riesgo refirindose tanto a
las situaciones positivas de riesgo (oportunidades) como
negativas (prdidas).
En este sentido y como hemos podido comprobar, la ISO
31000 puede adaptarse a cualquier tipo de riesgo ya sea de
infraestructura, financiero, operacin o de mercado.
Esta generalizacin de riesgos supone que esta norma no
est enfocada para otro tipo de Sistema de Gestin ni para
un grupo de organizaciones o sector puntal. Realmente ha
sido pensada para ofrecer una estructura de mejores prcticas para aquellas actuaciones vinculadas con la gestin
del riesgo.
Asimismo, para las organizaciones que tienen que usar una
metodologa de gestin de riesgos, es una herramienta
muy til porque les permite aadir numerosos Sistemas de
Gestin.
El objetivo de ISO 31000 es el de facultar todas las tareas

estratgicas, de gestin y operaciones de una empresa a
travs de funciones, proyectos y procesos alineados a un
conjunto comn de fines sobre gestin de riesgos.
La estructura de esta norma est compuesta de tres elementos clave para que la gestin de riesgos sea transparente, sistemtica, efectiva y creble. Los elementos de los
que hablamos son:
Elementos principales de la gestin de riesgos.
Entorno de trabajo para la gestin de riesgos.
Desarrollo de gestin de riesgos.
Principios de ISO 31000 para la gestin de riesgos
Originar y cuidar el valor.
Incluirse en todos los proceso de la empresa.
Formar parte de todos los procesos de toma de decisiones.
Englobar totalmente la incertidumbre.
Tratarse de un mtodo sistemtico, estructurado y oportuno.
Basarse en la mejor informacin de la que se disponga.
Relacionarse tanto al contexto como al perfil de riesgos

35
de la empresa.
Tener en cuenta factores humanos y culturales.
Ser una normativa transparente e inclusiva.
Tratarse de un estndar dinmico, interactivo y sensible
al cambio.
Facilidad para llevar a cabo la mejora continua.
Marco de trabajo para la gestin de riesgos con ISO
31000
Este segundo elemento fundamental podemos llamarlo
marco de trabajo o marco de referencia, cuyo fin es incluir el proceso de gestin de riesgos en el corazn de la
empresa.
Segn la norma, se recomienda implementar, desarrollar
y mejorar de forma continuada este marco de referencia, para poder incluir y adaptar el proceso de gestin de
riesgos en la alta direccin, gestin, informes de procesos,
polticas, en la estrategia organizacional, en la planificacin,
cultura de la empresa y valores de la misma.
Este marco de trabajo sigue las directrices del ciclo PHVA,
precedido de una etapa de mandato y compromiso de la
direccin.
La norma cuenta con una serie de mandatos que la alta
gerencia debe cumplir para asegurar la eficacia en la gestin de riesgos. Para ello es fundamental que la gerencia
se comprometa y lleve a cabo una planificacin estratgica
rigurosa.
El tercer elemento clave de ISO 31000 es el proceso de gestin de riesgos. Este proceso cuenta con tres etapas: anlisis y evaluacin de riesgos, establecimiento del contexto,
evaluacin de riesgos, constituida por la identificacin y el
tratamiento de los riesgos.
La base fundamental en la que se sustenta la norma es el
establecimiento del contexto en el que opera la organizacin.
Hablamos de contexto tanto interno como externo. En este
sentido, se trata de los entornos correspondientes en los
que la entidad quiere alcanzar sus objetivos, establecer el
proceso de gestin de riesgos y definir los criterios de evaluacin de los mismos.
A la hora de seleccionar la opcin de tratamiento de riesgos, la norma ISO 31000 ofrece una lista de posibles elecciones, que se pueden aplicar de forma individual o concurrente. Se trata de:
Evitar el riesgo, tomando la decisin de no comenzar o
no continuar la actividad que desemboca en el riesgo en
cuestin.
Aceptar o aumentar el riesgo para poder concretar una
oportunidad.
Remover la fuente del riesgo.
Cambiar la probabilidad.
Cambiar las consecuencias o impactos.
Estos mandatos de los que hablamos pueden resumirse

en:
Compartir el riesgo con terceros, incluyendo contratos y

financiacin del riesgo.
Definir y firmar la poltica de gestin de riesgos.
Retener el riesgo por decisin propia.
Constituir unos indicadores de desarrollo que vayan alineados con los de la empresa en cuestin.
Este proceso de gestin de riesgos se cierra gracias a la

interconexin de las etapas mencionadas anteriormente
(establecimiento del contexto, evaluacin de riesgos, constituida por la identificacin, anlisis y evaluacin de riesgos,
y el tratamiento de los riesgos) y a la comunicacin y consulta por un lado y el monitoreo y revisin por otro.
Asegurar el alineamiento de los fines de la gestin de

riesgos con las estrategias y objetivos de la entidad.
Reafirmar las conformidades de tipo legal y regulatoria.
Designar responsabilidades en relacin a las diferentes
reas y niveles de la organizacin.
Asegurar que se disponen de todos los recursos necesarios para llevar a cabo correctamente la gestin de riesgos.
Comunicar los beneficios de la gestin de riesgos a todas
las partes interesadas.
Garantizar que se mantiene el marco de trabajo adecuado en la organizacin.
36
Proceso de gestin de riesgos

Para el caso de la gestin de riesgos inmersa en ISO

9001:2015, esta metodologa es una de las opciones propuestas. Cada organizacin decidir la que mejor se adapte
a sus necesidades. En el actual borrador de la norma ISO/
DIS 9001, no se exige ninguna metodologa en concreto.
VERSIN ONLINE
http://www.isotools.org/2015/01/26/iso-9001-principios-iso31000-para-adecuar-gestion-riesgos/
ISO 14001: Cmo controlar riesgos,

hacer una auditora interna y una
revisin por la direccin
La norma ISO 14001 proporciona todos los requisitos necesarios con el fin de implantar un Sistema de Gestin
Ambiental de manera satisfactoria, entre ellos podemos
encontrar, la auditora interna, la revisin por la direccin y
el control de riesgos.
La empresa, contiene distintos procedimientos redactados

en los que se especifica cmo se tiene que dar respuesta a
la identificacin, recuperacin, conservacin, proteccin, el
tiempo que tiene que estar archivada y la disposicin de los
registros del Sistema de Gestin Ambiental.
Control de riesgos
La sistemtica general es que los registros tienen que mantenerse a lo largo de un periodo de tiempo no inferior a
tres aos, como requisito para la certificacin ISO 14001,
o a lo largo de un periodo superior a estos tres aos en
el supuesto de que haya algn requisito legal aplicable ha
dicho registro (por ejemplo, los documentos ligados con el
control y el seguimiento de los residuos peligrosos tiene
que estar archivados durante cinco aos).
La organizacin debe definir las actuaciones que va a llevar

a cabo para identificar, conservar y eliminar la totalidad de
registros que demuestran la conformidad respecto a los
requisitos de la norma ISO14001 y su Sistema de Gestin
Ambiental.
Normalmente los registros se buscan como documentos de todo tipo. La accin que produce la evidencia del
cumplimiento de algn requisito que genera la norma ISO14001 del Sistema de Gestin Medioambiental se tiene que
generar en un registro nuevo.
Si la entidad ya ha implantado adecuadamente el Sistema
de Gestin Ambiental, a lo largo de la elaboracin de los distintos procedimientos que llevan a cabo cada captulo del
manual de gestin ambiental, se aaden dentro del punto
referido a los registros. La totalidad de registros junto con
toda la informacin que la organizacin crea conveniente,
tienen que tener un control que asegure el cumplimiento
del apartado de la norma ISO14001.
Auditora interna
La organizacin debe disear distintos programas que evalen de manera peridica el funcionamiento, la eficacia en
el seno del Sistema de Gestin Ambiental y la adecuacin
de los requisitos producidos por la norma ISO 14001.
La auditora interna es un proceso independiente, documentado y sistmico con el que se obtienen evidencias y
se evalan de una manera objetiva para determinar as el
nivel de cumplimiento de todos los criterios en los que se
fundamenta el Sistema de Gestin Ambiental obtenido por
la entidad.

37
La empresa es la encargad de garantizar las auditoras peridicamente, debe definir cul ser el alcance y el mtodo
de auditora que ser el conveniente para determinar si
el SGA cumple con todos los requisitos de la norma ISO14001 y se encuentra adecuadamente implantado, incluso
tiene que informar, en todo momento, acerca de los resultados obtenidos tras la auditora a la alta direccin de la
empresa.
El Sistema de Gestin Ambiental, para llevar a cabo las auditoras, se tiene que encontrar en un grado avanzado en
la implantacin, esto es, que haya superado la fase de diseo, siendo capaz la organizacin de utilizar o requerir listas
de comparacin, entrevistas personales con los distintos
trabajadores de la entidad, cuente con documentacin del
SGA, poltica ambiental, registros de datos, etc.
La entidad tiene que elaborar distintos procedimientos
de auditora en el que se tienen que determinar de forma
clara todos los requerimientos necesarios para la cualificacin del auditor o auditores, las personas responsables, la
planificacin, preparacin y realizacin de las auditoras, as
como de su conservacin y comunicacin de los resultados obtenidos de dichas auditoras.
El Sistema de Gestin Medioambiental fundamentado en la
norma ISO14001 tiene que ser objeto de la auditora en su
totalidad, aunque se puede llevar a cabo por partes, esto
es, dividiendo la empresa en distintas parcelas y auditando
por separado los diferentes aspectos y la gestin.
En el momento en el que se define el alcance de la auditora, la entidad puede determinar cules sern los emplazamientos, los elementos del sistema o las actividades que
considere oportunas.
Como mnimo ha de realizarse una auditora al ao, aunque no hay una frecuencia fija para llevarla a cabo, debiendo encontrarse perfectamente definida por la entidad
en funcin a los resultados de auditoras anteriores o del
grado de control existente acerca de los distintos aspectos
ambientales y el grado de implantacin de la totalidad del
A lo largo del proceso de seleccin de los auditores, la entidad tiene que optar por llevar a cabo la auditora con el
personal de la misma empresa, por lo que para garantizar
la objetividad y la imparcialidad a lo largo de todo el proceso, este tiene que estar libre de responsabilidades a lo
largo de su actividad como auditor. Sin embargo, si la empresa decide optar por contratar a personal de fuera de
la entidad, auditores externos, estos tendrn que tener las
competencias oportunas y poder llevar a cabo la auditora
38

de manera imparcial y objetiva.

Para llevar a cabo una auditora interna se pueden utilizar
personal de la misma entidad o se puede contratar a personal ajeno a sta. En cambio, para generar una auditora
externa debe ser realizada siempre por personas ajenas a
la entidad y se les denomina como auditores externos.
Con el fin de apoyar a las entidades en el momento de realizar auditoras pueden consultar la norma ISO 19011 Directrices para la auditora de los Sistemas de Gestin de la
Calidad y/o Ambiental.
Revisin por la direccin

La direccin de la empresa tiene que evaluar la efectividad
y el acondicionamiento del SGA a las necesidades de la entidad y modificarlo si fuera necesario.
La direccin puede recopilar la informacin requerida desde el punto de vista del funcionamiento del Sistema de Gestin Ambiental, para poder revisarlo a lo largo de intervalos planificados y garantizar su adecuada implementacin.
La informacin ms significativa puede venir dada por las
auditoras, las evaluaciones de cumplimiento legal y otros
requisitos, el cumplimiento de los objetivos y las metas, las
comunicaciones externas, el estado de mantenimiento de
las acciones correctivas y preventivas, etc.
La realizacin de la revisin por la direccin por parte de
la gerencia de la empresa tiene que contemplar la totalidad del Sistema de Gestin Ambiental y tiene que llevarse
a cabo en distintos periodos de tiempo. La frecuencia de
revisin del sistema tiene que contar con una periodicidad,
la cual de estar previamente establecida y documentada.
Una vez finalizada la revisin, se procede a la obtencin
de conclusiones y lneas de mejora dentro del mismo Sistema de Gestin Ambiental basado en la ISO 14001. Si la
gerencia de la empresa lo considera oportuno, podr llevar
a cabo cambios dentro del SGA. La revisin por la direccin
se convierte en uno de los mecanismos clave a lo largo del
proceso de mejora continua.
La organizacin tiene que mantener archivados la totalidad
de los registros que proporcionen evidencia de la realizacin de la revisin por la direccin.
VERSIN ONLINE
http://www.isotools.org/2015/01/27/iso-14001-como-controlar-riesgos-hacer-auditoria-interna-y-revision-direccion/
ISO 27001: Gestin de Seguridad

de la Informacin mediante
el modelo de pirmide
La abreviacin de SGSI corresponde al Sistema de Gestin

de Seguridad de la Informacin ISO 27001. Entendemos
como informacin a todo el conjunto de datos de suma importancia que estn organizados y salvaguardados por la
organizacin, independientemente de la forma en la que la
entidad guarde o transmita la informacin, el origen de la
misma y la fecha de elaboracin.
La Seguridad de la Informacin basada en la norma
ISO27001 se fundamenta en la preservacin de su confidencialidad, disponibilidad e integridad, adems de todos
los sistemas incluidos en su tratamiento, dentro de la organizacin. Adems, podemos contar con los siguientes trminos que constituyen la base sobre la que se fundamenta
todo el Sistema de Gestin de Seguridad de la Informacin:
Confidencialidad: la informacin no est a disposicin ni
debe ser revelada a ciertos individuos, entidades o procesos que no se encuentren autorizados.
Integridad: especificar la exactitud y la complejidad de la
informacin.
Disponibilidad: el acceso y la utilizacin de la informacin
y de los sistemas de tratamiento de la misma por parte
de los individuos, entidades o procesos que se encuentren autorizados.
Garantizar la seguridad de la informacin supone gestio-
narla correctamente, hacer una utilizacin del proceso sistemtico, documentado y conocido por toda la organizacin desde un enfoque de riesgo empresarial. Este proceso
es el que constituye un Sistema de Gestin de Seguridad de
la Informacin basada en la norma ISO-27001.
La informacin, los procesos y los sistemas que hacen uso
del Sistema de Gestin de Seguridad de la Informacin, son
unos activos muy importantes de la empresa. La confidencialidad, integridad y disponibilidad de la informacin son
esenciales para mantener a un alto nivel la rentabilidad,
competitividad, conformidad legal e imagen empresarial
necesarios para alcanzar los fines marcados por la entidad
y asegurar el beneficio econmico.
La empresa y sus Sistemas de Gestin de Seguridad de la
Informacin estn expuestos continuamente a un elevado
nmero de amenazas. Aprovechndose alguna de estas
vulnerabilidades, la empresa puede sufrir violaciones de la
informacin mediante espionaje, fraude, sabotaje o vandalismo.
Algunos ejemplos de estos casos son: los virus informticos, el hacking o los ataques de denegacin de servicio,
pero tambin consideramos riesgos el hecho de sufrir incidentes de seguridad de la informacin causados voluntaria
o involuntariamente por parte de la propia organizacin.
La adaptacin dinmica y puntual de las variaciones en las

39
condiciones del entorno, cumplir con la legalidad, la proteccin de los objetivos de negocio con el que poder asegurar el mximo beneficio o el aprovechamiento de nuevas
oportunidades de negocio, son algunos de los aspectos
fundamentales del Sistema de Gestin de Seguridad de la
Informacin segn la norma ISO 27001 que son de gran
ayuda durante la gestin de las empresas.
La seguridad alcanzada mediante los medios tcnicos es
insuficiente e ilimitada por s misma. La gestin de la seguridad tiene que contar con la presencia y participacin de
toda la organizacin, la alta direccin debe estar al frente
del proyecto teniendo en cuenta a los clientes y a los proveedores de bienes y servicios. En el modelo de gestin de
la seguridad de la informacin se deben contemplar unos
recursos adecuados y la implementacin y la planificacin
de controles de seguridad basada en una evaluacin de
riesgos y la medicin de la eficiencia de los mismos.
El Sistema de Gestin de Seguridad de la Informacin basado en la norma ISO 27001 establece todos los procedimientos y las polticas en relacin a los objetivos de negocio
de la organizacin con el fin de mantener a la organizacin
en el mnimo nivel de riesgo de exposicin.
En este sentido, en el SGSI, la organizacin conoce todos
los riesgos a los que se encuentra sometida su informacin,
las debe asumir e intentar reducir los riesgos manteniendo
y controlando la sistemtica definida, documentada y conocida por todos los componentes de la empresa. Adems, se
debe revidar y mejorar continuamente.
Podemos trasladar el modelo de pirmide de cuatro niveles desde el mbito de la Gestin de la Calidad segn la
norma ISO 9001, al modelo de Seguridad de la Informacin
basado en la norma ISO 27001 de la siguiente forma:
Nivel 1 Manual de Seguridad

Se trata del documento que sugiere y dirige todo el sistema, el que expone y determina todas las interacciones, el
alcance, las responsabilidades, las polticas, los objetivos y
directrices principales, etc. del Sistema de Gestin de Seguridad de la Informacin.
Nivel 2 Procedimientos
Son documentos a nivel operativo que aseguran que se lleve a cabo eficazmente la planificacin, operacin y el control de todos los procesos de seguridad de la informacin.
Nivel 3 Instrucciones, Checklists y Formularios

Hablamos de documentos que describen cmo se realizan
las tareas y las actividades especficas relacionadas con la
seguridad de la informacin.
Nivel 4 Registros
Son los documentos que proporcionan una evidencia objetiva del cumplimiento de los requisitos del Sistema de Gestin de Seguridad de la Informacin ya que se encuentran
relacionados a los documentos de los tres niveles anteriores.
Algunos conceptos bsicos que debemos conocer:
Alcance del SGSI: entorno de la empresa que queda sometido al Sistema de Gestin de Seguridad de la Informacin en que se incluye la identificacin de todas las
dependencias, lmites y relaciones que existen entre el
alcance y aquellas partes que no se hayan tenido en
cuenta.
Poltica y objetivos de seguridad de la informacin: hablamos de un documento con el contenido genrico que establece el compromiso de la direccin y el enfoque de la
empresa en la gestin de la Seguridad de la Informacin.
Procedimientos y mecanismos de control que soportan
el SGSI: son procedimientos que regulan el propio funcionamiento del SGSI.
Enfoque de evaluacin de riesgos: se describe la metodologa que se va a emplear.
Informe de evaluacin de riesgos: estudio proporcionado
de la aplicacin de la metodologa de evaluacin anteriormente mencionada a los activos de informacin de la
empresa.
Plan de tratamiento de riesgos: se trata del documento
en el que se identifican las acciones que tiene que llevar
a cabo la direccin, los RRHH, los responsables y las prioridades para gestionar los riesgos.
VERSIN ONLINE
http://www.isotools.org/2015/01/28/iso-27001-gestion-seguridad-informacion-mediante-modelo-piramide/
40

OHSAS 18001: Planificacin de auditoras
El estndar OHSAS 18001 es una de las normativas ms extendida por todo el mundo. Aunque se trata de un estndar
britnico, numerosos pases la han aplicado. La empresa
que implanta y certifica la OHSAS 18001 obtiene una buena
reputacin e imagen, entre otros aspectos destacables.
Igualmente, estamos hablando de un Sistema de Gestin
de la Seguridad y la Salud en el Trabajo (SST) que:
Posibilita la gestin preventiva en entidades localizadas
en distintos mbitos geogrficos.
Reduce el nmero de accidentes.
Aminora las sanciones, materiales perdidos y control de
riesgos en el trabajo.
Promueve una actitud proactiva y responsable.
Favorece y motiva la participacin de los miembros en
tareas preventivas.
Sostiene a la empresa viva y productiva en el anlisis de
riesgos.
Estos aspectos caractersticos suponen que la normativa
OHSAS 18001 sea sometida a una auditora y se certifique.
La planificacin del tipo que sea es un factor clave para
conseguir los objetivos previstos y deseados. Cuando hablamos de auditoras, si no existe una buena planificacin
puede que no se consigan resultados satisfactorios, ni lo-
gremos ejecutar una auditora con xito.

Por esta razn, vamos a ver qu pasos debemos seguir
para planificar una auditora de nuestro Sistema de Gestin
de Seguridad y Salud en el Trabajo OHSAS 18001.
Preparacin del plan

Lo primero que hay que hacer es fijar unas fechas que satisfagan a todo el personal involucrado en el proceso de certificacin OHSAS 18001 y que se les informe con suficiente
antelacin para poder llevarlo a cabo.
El plan de auditora debe ser lo suficientemente competente como para garantizar que los objetivos de la auditora
se van a alcanzar. Adems, debe elaborarse de tal forma
que especifique el mtodo que se va a utilizar a la hora de
realizar la auditora.
Este plan de auditora debe incluir la definicin de cada una
de las funciones y responsabilidades del equipo auditor as
como su asignacin. Se recomienda que el plan no sea demasiado exigente y severo en los tiempos.
Dos aspectos que deben tenerse en cuenta para desarrollar la planificacin de una auditora del Sistema de Gestin
de Seguridad y Salud en el Trabajo segn OHSAS-18001
son la complejidad y el tiempo. Son dos elementos muy
distintos cuando hablamos de auditoras iniciales, de seguimiento o si son auditoras internas o externas.

41
Sin embargo, hay ms aspectos a considerar. Estos son:
18001, la mayora de las organizaciones cuentan con l.
Objetivos de la auditora.
Adems del manual, los auditores solicitan tambin los procedimientos o documentos de las reas que van a auditar y
los informes de auditoras anteriores.
Criterios de auditora y documentos de referencia.

Alcance de auditora, considerando en este punto la estructura de la organizacin, la estructura preventiva y los
procesos de auditarse.
Fechas y lugares donde se realizarn las actividades de
auditora.
Estimacin de la duracin de las actividades de la auditora, teniendo en cuenta las reuniones con la alta direccin.
Reuniones de coordinacin.
Funciones y responsabilidades de cada uno de los miembros del equipo auditor.
Asignacin de recursos requeridos para las reas crticas
de auditora.
Preparacin de los documentos de trabajo

Adems de los documentos de trabajo que debemos preparar para una auditora del Sistema de Gestin de Seguridad y Salud en el Trabajo basado en la OHSAS18001, incluimos tambin los siguientes aspectos:
Realizacin de un listado de comprobacin o verificacin.
Preparacin de los formatos en los que registrar informacin, hallazgos, reuniones, etc.
Estndares y especificaciones correspondientes.
Directrices.
El auditado debe tener una copia del plan de auditora para
que cuente con la mayor cantidad posible de informacin
antes de someterse a la auditora. Se trata de un mecanismo que crea confianza y cooperacin entre auditor y auditado.
Ya que nos estamos preparando para la auditora del Sistema de Gestin de Seguridad y Salud en el Trabajo en funcin de la OHSAS 18001 podemos hablar sobre la documentacin que probablemente nos exijan.
Para comenzar a tomar contacto con el Sistema de Gestin de Seguridad y Salud en el Trabajo implantado bajo la
norma OHSAS 18001 del auditado es aconsejable solicitar
la documentacin bsica. Con esta informacin, el auditor
podr comenzar con el examen y valoracin del sistema.
Cuando hablamos de auditoras internas, comnmente se
solicita el manual de gestin de la Seguridad y Salud en el
Trabajo (SST) que, aunque no es obligatorio segn OHSAS
42

En la mayora de los casos, es recomendable, solicitar a

la organizacin auditada la evaluacin de riesgos aplicada
en los puestos de trabajo y reas que se van a auditar, as
como los listados de requerimientos legales de aplicacin.
En el caso de auditoras externas, necesitamos mucho ms.
En primer lugar, la entidad auditora requiere una visita
inicial para poder tomar contacto y familiarizarse con aspectos y elementos de la organizacin auditada como, por
ejemplo, equipos, riesgos, actividades, personal implicado,
etc.
Despus de esta visita y, segn los resultados obtenidos,
se acuerdan los detalles que sern incluidos en el plan de
auditoran de la OHSAS18001.
Desde este post se han explicado los numerosos aspectos
que debe tener en cuenta un auditor del Sistema de Gestin de Seguridad y Salud Laboral para llevar a cabo su auditora de la mejor forma posible. Esperemos les haya sido
de utilidad.
VERSIN ONLINE
http://www.isotools.org/2015/01/29/ohsas-18001-planificacion-auditorias/
Sotware ISO, BSC y BPM
Espaa
Mxico
Panam
Per
Portugal
Uruguay
Venezuela
Ecuador
www.isotools.org
(+34) 902 361 231
Argentina
Bolivia
Brasil
Chile
Colombia
Costa Rica
Rep. Dominicana
Estados Unidos
Presencia Global
Apoyo Local

Isotools

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Isotools

Transféré par

Droits d'auteur :

Formats disponibles

Empresa

ISOTools Excellence. Software ISO

Ms informacin en nuestra web www.isotools.org

ISOTools Empresa Excelente

Contenidos enero 2014

ISO 14001: Planificacin estratgica

ISO 27001: Seguridad informtica y seguridad de la informacin

ISO 9001:2015, desarrollo e implementacin de la estrategia

ISO 14001: Los planes de formacin para un Sistema de Gestin Ambiental

ISO 9001:2015, COSO como metodologa de gestin de riesgo

ISO 27001: Pilares fundamentales de un SGSI

ISO 14001: Estructura de la documentacin de un Sistema de Gestin Ambiental

OHSAS 18001: Auditora en los Sistemas de Gestin de Seguridad y Salud en el Trabajo

ISO 9001:2015, metodologa COSO III para la gestin de riesgos

ISO 14001: La verificacin en el Sistema de Gestin Ambiental

La familia de normas ISO 27000

OHSAS 18001: Tipos de auditoria para las organizaciones

ISO 27001: Gestin de Seguridad de la Informacin mediante el modelo de pirmide

OHSAS 18001: Planificacin de auditoras

ISOTools Empresa Excelente

Ms informacin en nuestra web www.isotools.org

QUINES SOMOS Y QU HACEMOS

Quin est detrs del software

Expertos consultores al servicio de los clientes, que

ISOTools apoya la labor de consultora en su plataforma

ISOTools Empresa Excelente

Software ISO, BSC y BPM

Software ISO, BSC y BPM

SOLUCIONES PARA TODOS LOS SECTORES

Por qu elegir ISOTools?

> Resultados Excelentes: Ese es el principal beneficio

> Fcil de usar. ISOTools es, ante todo, usable e intuitivo.

> Eficacia y Efectividad. La informacin se encuentra

> Flexible. Sea cual sea el tamao de su organizacin o

ISOTools Empresa Excelente

Ms informacin en nuestra web www.isotools.org

nados, entre otras, con alguna de las siguientes cuestiones:

Centrndonos en este requisito de la norma ISO-14001,

En el momento en el que un aspecto ambiental produce

ISOTools Empresa Excelente

Software ISO, BSC y BPM

do podra estructurarse en los siguientes pasos:

Requisitos legales y otros requisitos

Acuerdos con la Administracin, etc.

Con toda la informacin obtenida, la organizacin deber

ISOTools Empresa Excelente

Ms informacin en nuestra web www.isotools.org

culos pertinentes, las reas de la empresa a las que se

Los requisitos legales y otros requisitos aplicables.

Las opciones tecnolgicas.

Objetivos, Metas y Programas

Resultados de revisiones y auditoras anteriores.

La organizacin, con el fin de implantar correctamente un

Una vez definidos los objetivos y las metas ambientales, la

Los condicionantes econmicos, financieros, operacionales y comerciales.

Las acciones especficas contenidas en los programas de

ISOTools Empresa Excelente

Software ISO, BSC y BPM

A lo largo de este artculo veremos la diferencia que existe

las vulnerabilidades de estos activos. Expuesto lo anterior,

La totalidad de los especialistas en seguridad basan sus

En el caso de que ms tarde se pretenda determinar qu

Adems de tener un enfoque tcnico prcticamente, los