ISO 31000 ofrece un enfoque integral para gestionar el riesgo en cualquier tipo de empresa, proporcionando principios, una estructura de apoyo y un proceso claro que permite anticiparse a la incertidumbre, reducir amenazas y aprovechar oportunidades. Este marco  facilita la toma de decisiones informadas, promueve la mejora continua, la resiliencia empresarial y la integración del riesgo en todos los niveles estratégicos y operativos, sin requerir certificación formal.

Resumen de la norma ISO 31000 

A quién va dirigida

La norma ISO 31000 está dirigida a cualquier organización, pública o privada, independientemente de su tamaño, sector o nivel de madurez en la gestión de riesgos. Su enfoque flexible y adaptable la convierte en una herramienta útil tanto para grandes corporaciones como para pequeñas y medianas empresas, entidades gubernamentales, organizaciones sin ánimo de lucro e incluso proyectos individuales que requieran una gestión estructurada del riesgo.

Además, ISO 31000 es especialmente relevante para:

• Altos directivos y líderes estratégicos, que necesitan integrar el riesgo en los procesos de toma de decisiones.

• Responsables de cumplimiento, control interno y auditoría, que buscan alinear sus prácticas con un estándar internacional reconocido.

• Gerentes de proyectos, jefes de área y mandos medios, que requieren una guía clara para identificar, evaluar y tratar los riesgos operativos en sus funciones diarias.

• Consultores y profesionales de gestión de riesgos, que utilizan la norma como marco de referencia para diseñar, implementar o evaluar sistemas eficaces.

• Sectores regulados, como el financiero, energético, salud o infraestructura crítica, donde la gestión del riesgo es un requisito clave para la sostenibilidad y el cumplimiento normativo.

Qué es

La ISO 31000 es una norma internacional cuyo objetivo es la gestión del riesgo. Al suministrar los  elementos integrales y orientaciones, esta norma es de bastante utilidad y  a las organizaciones con sus análisis y evaluaciones de riesgos.

Sea que trabaje en entidades públicas, privadas o comunitarias, se logran beneficiar de ISO 31000, porque esta norma es aplicada a la mayoría de las actividades de comercio, donde incluye la planeación, las operaciones de gestión y los procesos de la comunicación. Todas organizaciones manejan el riesgo en cierta medida, las recomendaciones de las mejores prácticas de esta norma internacional se desenvolvieron para mejorar las técnicas de gestión y así garantizar la seguridad y la protección en todo momento en el área de trabajo.

Las diferentes organizaciones afrontan de manera constante a imprevistos de todo tipo, pueden ser económicos, técnicos o estratégicos. Las organizaciones no pueden eliminar estos riesgos sin más, sino que tienen que contender con ellos. Los Software de Gestión de Riesgos suministran directivas y procesos que indican como toma decisiones en situaciones de riesgo para limitar los daños potenciales lo mejor posible. Hay que tener en cuenta que la norma ISO 31000 no considera todos los riesgos como negativos, sino que, de acuerdo a esta, también hay riesgos positivos. Es más, siempre que surja la perplejidad de que un acontecimiento futuro pueda provocar que la empresa se desvíe de sus objetivos, se hablará de un riesgo.

Al ejecutar la implementación, los principios y directivas de la ISO 31000 en su organización, tendrá la capacidad  de mejorar la eficiencia operacional, gobernanza y confianza de las partes interesadas, a su vez que minimiza las pérdidas. Esta norma internacional también le ayuda a impulsar el desempeño de salud y seguridad, establecer un dinámico fundamento para la toma de decisiones e incitar la gestión proactiva en todas las áreas.

Principios

A continuación se detallan los principios de la gestión de riesgos

• Implementar un valor: hace que sea sencillo el cumplimiento de los objetivos que se plantean y de los requisitos legales que se asocian a la seguridad, salud laboral, protección ambiental, entre otros.
• Integración en los procesos de la organización: No es una gestión que se realiza separadamente, por el contrario, está implicada en las diversas actividades primordiales de la organización.
• Toma de decisiones: Accede a que se tomen decisiones asociadas a los procedimientos de prevención u opciones que se lograrán en práctica para la gestión de riesgos.
• Trata la incertidumbre: Se orienta en los aspectos que son inseguros y de la forma en que correspondería tratar.
• Sistemática, estructurada y adecuada: Accede que se dé un desempeño eficaz y que se puedan conseguir los resultados confiables.
• Se basa en la información disponible: Se basan en fuentes de información confiables como lo son la experiencia, el análisis y las opiniones de los expertos.
• Hecha a la medida: Se orienta de forma directa con los objetivos internos y externos de la empresa.
• Resalta factores humanos y culturales: Concibe en la importancia de los colaboradores y personas implicadas en el proyecto por medio del cual pueden facilitar o dificultar la operación.
• Transparencia e incluyente: La colaboración del público de interés accede a que la gestión del riesgo esté siempre actualizada.
• Dinámica, iterativa y sensible al cambio: Es significativo que las organizaciones conciban que las tendencias cambian y su entorno también, por lo que deben estar dispuestos para adaptarse.
• Mejora continua de la organización: Es significativo entender que las organizaciones deben trazar estrategias para optimar en cada uno de sus aspectos, no únicamente en la gestión de riesgos.

Ventajas

A continuación se detallan las ventajas y beneficios de ISO 31000

• Ayuda a que las gestiones sean proactivas.
• Accede a entender la importancia de identificar, analizar, monitorear y tratar el riesgo en cada uno de sus períodos.
• Ayuda a que se puedan identificar las debilidades, amenazas, oportunidades y fortalezas en todo el proceso.
• Hace sencillo el cumplimiento de los requisitos legales de las normas internacionales.
• Optimiza la gestión financiera y la de la organización, la confianza de los públicos que se encuentran implicados.
• Se diseña una estrategia fiable que se enfoque en la toma de decisiones y planificación.
• Prevenir pérdidas que se puedan exteriorizar.
• Permite que los incidentes que se puedan presentar sean manejados de forma anticipada.
• Se Accede a la posibilidad de que se logre conocer a más detalle los procesos de la organización.

Software para la gestión de riesgos

ISOTools, el Software para la gestión de riesgos ISO 31000, le ayuda a adaptarse a los cambios de la nueva versión de la norma ISO 31000, sin hacerle perder más tiempo que el estrictamente necesario.

Su adaptabilidad, flexibilidad y capacidad para adaptarse a las necesidades de las empresas, hacen de ISOTools una herramienta imprescindible para la gestión de las normas implementadas.

En lo que se refiere a la Gestión de Riesgos, hay muchas normas ISO que los expertos del área deben estar al tanto. Estas normativas están encaminadas a establecer la gestión de las empresas en diferentes sectores y son expresadas por el Organismo Internacional de Estandarización (ISO). Su beneficio reside en que funcionan como un lenguaje común entre organizaciones. De este modo, la ejecución de una ISO permite a una organización evidenciar que cumple con unos requisitos de calidad que son registrados internacionalmente. No obstante, son diversas las normas de gestión de riesgos, si más, hay algunas cuya comprensión es indispensable para los profesionales del sector.

A continuación, nombraremos algunas de las normas relacionadas con la gestión de los riesgos.

ISO 31000 Gestión de Riesgos

Evidentemente, la norma más significativa en Gestión de Riesgos es la ISO 31000. Esta norma instaura las directrices y principios que debe cumplir un Sistema de Gestión de Riesgos. La actual versión actualizada de esta norma es del año 2018.

ISO 9001

Esta normativa ordena cómo debe ser un Sistema de Gestión de la Calidad en la organización. En su última versión, ISO 9001:2015, incluye el pensamiento basado en riesgos.

Norma ISO 55000 de Gestión de Activos

A lo referente a la ISO 55000 es conjunto de tres normas que aprueban establecer un Sistema de Gestión de Activos en las empresas. Se define como de una norma de Gestión de Riesgos principalmente beneficiosa en el ámbito económico. El estándar está encaminado a todo tipo de activos, incluyendo los intangibles.

ISO 27001 Seguridad de la Información

Otra norma que corresponde conocer es la ISO 27001. Este estándar internacional forma las claves para establecer un Sistema de Gestión de Seguridad de la Información (SGSI). En otras palabras, ayuda a resguardar toda la información sensible que manejan las organizaciones, como por ejemplo pueden ser los datos de los clientes.

ISO 45001

Para aquellos expertos dedicados a la Salud Ocupacional y a la Gestión de Riesgos Laborales, la ISO 45001 es todo un referido. La norma contiene lecciones y comisiones para establecer un Sistema de Seguridad y Salud en el Trabajo. Su creación, consiente a las empresas evitar y prevenir daños y accidentes de sus trabajadores.

ISO 19011:2018

La normativa internacional ISO 19011:2018 es esencial para quienes intenten ser auditores internos o pretendan trabajar para casas certificadoras. Esta medida ofrece las claves para ejecutar una auditoría de sistemas de gestión, o sea se utiliza para evaluar si la empresa está cumpliendo o no con una determinada norma ISO. Así pues, de la misma manera es una norma esencial para la Gestión de Riesgos corporativos.

Gestión de Desastres Naturales y Emergencias ISO 22320

Esta es una norma de Gestión de Riesgos esencial en países que están propensos a desastres naturales y emergencias. Las empresas que siguen este estándar están capacitadas para facilitar una respuesta eficaz ante un incidente. Las emergencias pueden ir desde una inundación hasta un terremoto, además es una norma certificable.

ISO 19600

En lo relacionado con Cumplimiento Legal Corporativo o más conocida como Compliance sin duda es la norma ISO 19600, la cual establece los requisitos para poner en marcha un Sistema de Gestión de Compliance. Gracias a esto, las empresas impiden sanciones por infringir determinadas leyes.

Para la prevención de los sobornos ISO 37001

Así mismo como ISO 19600, la regulación más importante en Compliance es la ISO 37001. La última versión de esta norma es de 2016, accede a una empresa demostrar ante sus clientes viables que está involucrado con prácticas antisoborno. En el sector financiero, esta normativa antisoborno es esencial para la Gestión de Riesgo

Para abarcar nuestro siguiente punto es porque están vital tenerlas en cuenta dentro de nuestras organizaciones, además de implementar un sistema de gestión de riesgos.

• Desarrollar la posibilidad de alcanzar los objetivos propuestos.
• Formar un conocimiento sobre la necesidad de identificar y tratar los riesgos.
• Identificar a tiempo los riesgos a los que está exhibida la organización.
• Obedece los requisitos legales, normas internacionales y reglamentos convenientes.
• Fomentar la gestión proactiva.
• Mejora el gobierno corporativo.
• Perfecciona la franqueza y dignidad de las partes implicadas.
• Rebaja las pérdidas y resguarda los bienes de la empresa.
• Ordena una base confiable para la planificación y la toma de decisiones.
• Progresa la eficiencia operativa, la eficacia.
• Aumenta el rendimiento de la salud y la seguridad, así también la gestión ambiental
• Incrementa la gestión de incidentes en la organización.
• Progresa el aprendizaje, la cultura organizacional, la permisividad.
• Genera valor a la organización.
• Adecuado manejo a la indecisión.
• Amigable al cambio.
• Instaura y resguarda los valores, logro de objetivos / mejora de desempeño.

ISO 31000

La implementación de un sistema de riesgos, nace del desafío por parte de las organizaciones sin importar su tamaño o actividad económica, de mejorar su rendimiento y productividad, reducir al máximo sus pérdidas en escenarios de siniestralidad.

Es por esto que las organizaciones deben implementar un sistema de gestión de riesgos basados en la norma ISO 31000: 2018 de Gestión del Riesgo, el cual bajo esta norma establece un estándar internacional que construye directrices para que los riesgos dentro de las organizaciones generen valor.

Esta norma ISO 31000: 2018 cuenta con 11 principios que se articulan con la estructura y objetivos de la organización que se relacionan a la normativa de riesgos. Esta norma principalmente debe considerarse como una guía de buenas prácticas para la gestión de los riesgos.

Para definir un ciclo de vida en la gestión de los riesgos según la ISO 31000, se debe tener en cuenta la importancia de las decisiones estratégicas las cuales son la causa principal de los desaciertos en muchos escenarios de las organizaciones en muchas de las actividades desarrolladas en sus procesos. La gestión del riesgo para estos escenarios permite evidenciar la probabilidad de impacto en los diferentes riesgos previamente identificados.

Los elementos a tener en cuenta en un ciclo de vida son los siguientes.

Identificación:

El primer paso a tener en cuenta es tener es la identificación de los riesgos de los diferentes procesos en la organización que podrían afectar de manera potencial los procesos de la misma. Para su identificación se deben tener en cuenta varios elementos entre ellos, quienes participan en el proceso o los responsables del proceso, pues son estos recursos quienes finalmente administran sus procesos e identifican los elementos positivos o negativos del riesgo. Esta identificación debe estar documentada, ya que es de gran importancia que quede el registro de identificación de los riesgos. Si es posible dentro de los registros contar con un check list de los riesgos encontrados de los diferentes procesos, pues esto permite tener la trazabilidad de los mismos.

Análisis de riesgos:

En esta segunda fase o paso, lo que se debe realizar es el análisis de cuál es la afectación de este riesgo en el proceso, cuál es la probabilidad de impacto y las afectaciones que puede representar el mismo para el cumplimiento de los objetivos. En esta fase se debe contemplar un plan de respuesta, en el cuál se pueda contemplar cuáles esa acción de respuesta frente a esa posible afectación.

Tratamiento:

En esta fase se debe tener en cuenta cuales son los riesgos que generan el mayor impacto, que cuentan con la mayor probabilidad de ocurrencia, es decir los riesgos más críticos sobre los que se debe aplicar mayor control y requiere de un plan de acción para mitigar el riesgo.

Monitoreo:

Para esto se debe asignar un recurso o el mismo dueño de proceso, cuya función es estar en constantes revisión del riesgo y su gestión, con el fin de contar con una oportuna respuesta o plan de tratamiento frente a la eficacia de los controles implementados.

Comunicación:

Corresponde a la comunicación entre fases con el fin de determinar la efectividad de la gestión del riesgo, con el fin de garantizar el planteamiento de las estrategias y el cumplimiento de los objetivos.  

Conclusiones sobre el Ciclo de vida de la Gestión de Riesgos

En conclusión, este ciclo de vida nos va a permitir realizar una mejor gestión a nuestros riesgos, para ellos nos podemos apoyar en software que nos permiten conectar los procesos con la gestión de los riesgos de manera automatiza, igual que la gestión del mismo, aplicación de controles, plan de tratamiento, análisis, reportes, notificaciones entre otros elementos que van a permitir potenciar el ciclo de vida bajo la norma ISO 31000 de gestión de riesgos.

Software ISOTools para la gestión de Riesgos Corporativos.

El Software ISOTools para la Gestión de Riesgos Corporativos, es un gran aliado para el seguimiento y monitoreo de cualquier riesgo identificado en su organización, independientemente de su perfil u origen.

Establecer medidas y tomar decisiones mediante las matrices de gestión de riesgos de nuestro software es muy sencillo, ¿quiere saber cómo? Puede verlo aquí.

ISO/IEC 27002:2022

ISO/IEC 27002:2022 – Seguridad de la información, ciberseguridad y protección de la privacidad — Controles de seguridad de la información, proporciona un conjunto de referencia de controles genéricos de seguridad de la información, incluida una guía de implementación. Aborda la ciberseguridad y protección de datos y ha evolucionado con respecto a su primera publicación en 2005. Ahora el contenido es más completo e integral y se basa en resiliencia, protección, defensa y gestión.

El estándar cuenta con controles que se detallan desde la cláusula 5 hasta la 8 y se denominan temas. Los controles se clasifican como:

1. físicos, si se trata de objetos físicos;
2. propiedades de seguridad de la información (confiabilidad, disponibilidad e integridad).
3. personas, si se refieren a individuos;
4. tecnológicos, si se trata de tecnología.

Organización de controles ISO 27002:2022

Para entender la manera en que los controles están dispuestos en la norma, debemos tomar en cuenta que estos se organizan de la siguiente manera:

• Tipo de control: es un atributo para ver los controles desde la perspectiva de cuándo y cómo el control modifica el riesgo con respecto a la ocurrencia de un incidente de seguridad de la información. Los valores de los atributos consisten en preventivo, detectivo y correctivo.
• Propiedades de seguridad de la información: son un atributo para ver los controles desde la perspectiva de qué característica de la información contribuirá a preservar el control.
• Conceptos de ciberseguridad: son un atributo para ver los controles desde la perspectiva de la asociación de controles a los conceptos de ciberseguridad definidos en el marco de ciberseguridad descrito en ISO/IEC TS 27110. Los valores de atributo consisten en identificar, proteger, detectar, responder y recuperar.
• Capacidades operativas: Las capacidades operativas son un atributo para ver los controles desde la perspectiva del profesional de las capacidades de seguridad de la información
• Dominios de seguridad: es un atributo para ver los controles desde la perspectiva de seguridad de la información. Busca garantizar la idoneidad, la adecuación y la eficacia continuas de la dirección de gestión y el apoyo a la seguridad de la información de acuerdo con los requisitos comerciales, legales, estatutarios, reglamentarios y contractuales.

Reconocer un control ISO 27002:2022

¿Cómo saber que estamos ante un control? Es fácil reconocerlo, puesto que cada uno de ellos cuenta con un título, tabla de atributos, control, propósito, orientación y otra información. El primero que encontraremos es el control cinco, que está referido a los controles organizacionales. El apartado 5.1 alude a las políticas de seguridad de la información. Lo que observaremos, a continuación, será esta tabla:

Controles organizacionales ISO 27002:2022

En concreto, el control expresa que: “la política de seguridad de la información y las políticas específicas del tema deben ser definidas, aprobadas por la gerencia, publicadas, comunicadas y reconocidas por el personal relevante y las partes interesadas relevantes, y revisadas a intervalos planificados y si ocurren cambios significativos”. El objetivo es garantizar la idoneidad, la adecuación y la eficacia continuas de la dirección de gestión y el apoyo a la seguridad de la información de acuerdo con los requisitos comerciales, legales, estatutarios, reglamentarios y contractuales.

También se ofrece una guía en la que consta que, al más alto nivel, la organización debería definir una “política de seguridad de la información” que sea aprobada por la alta dirección y que establezca el enfoque de la organización para gestionar su seguridad de la información.

El estándar insta a tomar en consideración los requisitos derivados de:

• estrategia comercial y requisitos;
• reglamentos, legislación y contratos;
• los riesgos y amenazas actuales y proyectados para la seguridad de la información.
• La norma es enfática cuando propone que la política de seguridad de la información debe contener declaraciones relativas a:
  • definición de seguridad de la información;
  • objetivos de seguridad de la información o el marco para establecer objetivos de seguridad de la información;
  • principios para guiar todas las actividades relacionadas con la seguridad de la información;
  • compromiso de satisfacer los requisitos aplicables relacionados con la seguridad de la información;
  • compromiso con la mejora continua del sistema de gestión de seguridad de la información;
  • asignación de responsabilidades para la gestión de la seguridad de la información a roles definidos;
  • procedimientos para el manejo de exenciones y excepciones.

Políticas ISO 27002-2022

Según la norma ISO/IEC 27002: 2018 la política de seguridad de la información debe estar respaldada por políticas específicas del tema según sea necesario, para exigir aún más la implementación de controles de seguridad de la información. Las políticas de temas específicos generalmente se estructuran para abordar las necesidades de ciertos grupos objetivo dentro de una organización o para cubrir ciertas áreas de seguridad. Las políticas específicas de un tema deben estar alineadas y complementarse con la política de seguridad de la información de la organización. Las diferencias entre ambas se pueden visualizar claramente en la siguiente tabla:

Roles y responsabilidades ISO 27002 2022

En cuanto a los roles y responsabilidades de seguridad de la información (5.2) deben definirse y asignarse de acuerdo con las necesidades de la organización.

La segregación de funciones es el tema que ocupa el 5.3 y tiene como objetivo reducir el riesgo de fraude, error y elusión de los controles de seguridad de la información.

La norma incluye aspectos dignos de estudio y será una herramienta poderosa para quienes trabajamos arduamente en la seguridad de la información. En la próxima entrega ofreceremos más datos de ISO/IEC 27002:2022

Software Seguridad de la Información ISOTools

La ISO 27001 para los Sistemas de Gestión de Seguridad de la Información es sencilla de implantar, automatizar y mantener con la Plataforma Tecnológica ISOTools.

Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad de la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

Este software, permite integrar la ISO 27001 con otras normas, como ISO 9001, ISO 14001 y 45001 de una forma sencilla gracias a su estructura modular.

Capacitación en Seguridad de la Información

La capacitación es clave para las organizaciones y cuando hablamos de Seguridad de la Información aún más ya que existe un alto riesgo de continuidad de negocio por un bajo nivel de cualificación. Habitualmente, el error humano o las malas prácticas en materia de TI son las principales causas de eventos de riesgo en esta materia.

Estas capacitaciones y formaciones permiten que los recursos dentro de la organización, sin importar su nivel intelectual o formación profesional, desarrollen habilidades y mejoren el rendimiento en sus procesos, ganen confianza, cuenten con una capacidad resolutiva ante posibles vulnerabilidades, mejora la conducta de los recursos, ayuda a que se generen nuevos cambios tanto internos como externos, se mejoren las relaciones y los empleados se sientan valorados dentro de la organización.

Dentro de la capacitación y formación de un sistema de seguridad de la información, se debe partir de la norma internacional ISO 27001 y sus derivaciones. Toda la familia de normas ISO 27000 son de gran importancia. La ISO27001 en seguridad de la información como elemento principal desde donde se implementa el sistema en las organizaciones, teniendo en cuenta sus elementos bases que son la Confiabilidad, Integridad y Confidencialidad con el fin de gestionar la privacidad de los datos, su protección y enfocarse en la gestión del riesgo, establecer las causas e instaurar controles para su tratamiento.

Cómo debe ser la capacitación en Seguridad de la Información

Se debe realizar un recorrido por las normas ISO que refuerzan esa implementación de la norma ISO 27001, como la norma ISO 27017 encargada de los controles para los clientes y proveedores; Norma ISO 27018 enfocada a las buenas prácticas referentes a los controles y protección de datos para los servicios en la nube de los proveedores y Norma ISO 27032 y la más reciente encargada de la ciberseguridad, ya que es uno de los elementos que llega como refuerzo más fuerte en el sistema de seguridad de la información, por factores que representan mayores riesgos.

Para desarrollar una adecuada capacitación y formación la organización debe tener establecido un sistema de seguridad de la información el cual establezca las necesidades y expectativas del sistema y la participación de los Steakholders. Debe haber un compromiso por parte de la alta dirección en cuanto a la planificación de las capacitaciones y el objetivo que debe cumplir. Deben ser conscientes del factor costos beneficio que pueden tener las capacitaciones, pues, aunque no se desconoce que una capacitación de seguridad de la información es de un alto costo, esto va a permitir generar un mayor rendimiento para todos sus colaboradores.

Beneficios de la capacitación en Seguridad de la Información

Estos son algunos de los beneficios que las organizaciones obtendrían al capacitar a sus empleados en sistemas de seguridad de la información:

Identificación: No solo le permite la identificación de los riesgos evaluación y control, le permite identificar esas habilidades que las personas capacitadas desconocen y les permiten realizar su labor de manera efectiva, eficaz y eficiente.

• Eficiencia del Sistemas: Permite que los recursos capacitados puedan realizar un eficiente análisis de los controles no solo en el sistema, si no en sus inventarios los cuales son administrados por cada dueño del proceso, que debe calificar la vulnerabilidad de sus inventarios y ser el custodio de sus activos.
• Satisfacción Organizacional: Los recursos al ser capacitados y formados de la forma adecuada genera un valor agregado no solo para sí mismos, sino para la organización, generando confianza en la protección de sus procesos, generando mayor desarrollo y actualización de nuevas tecnologías corporativas, ya que sus empleados se encuentran motivados, sienten el compromiso con la organización, y se centran en cumplir los objetivos de la organización.
• Evaluación de la Capacitación y Formación: Este es tal vez el proceso más sencillo que corre por parte de la organización, pues es donde sus recursos empiezan a mostrar sus habilidades en la gestión del sistema de seguridad de la información y materializan lo aprendido.

En conclusión, una buena capacitación y formación permite que el recurso humano sea eficiente, efectivo, resolutivo, frentes a los sistemas de seguridad de la información, gestionando sus principios fundamentales enfocados en la confidencialidad, integridad y confiabilidad de sus activos, gestión de riesgos, prevención de ataques cibernéticos, gestión en la nube, entre otros. Es por eso que las herramientas tecnológicas como Software especializados parametrizables permiten no solo capacitar el personal, si no gestionar el sistema.

Software Seguridad de la Información

La capacitación es importante, sin embargo, para una gestión eficaz que resulte de utilidad para la organización será necesario implementar un Sistema de Gestión de Seguridad de la Información y hacer una gestión eficiente del mismo. Gracias a un Software de Gestión de Seguridad de la Información como ISOTools el control y el impacto en los Riesgos de Seguridad de la Información será máximo y su gestión ganará en eficacia y eficiencia.

Inventario de activos SGSI

Para poder identificar adecuadamente los activos de seguridad de la información, lo primero que debemos tener claro es que son los activos de información, estos se conocen como los recursos que utilizan los sistemas de gestión de seguridad informática para hacer posible el cumplimiento de los objetivos en la organización.

El inventario de activos satisface uno de los elementos más significativos del sistema de gestión de la seguridad de la información. Entre los cuales se encuentran los elementos físicos, software, documentos, servicios, personas, instalaciones, hardware, todos aquellos activos que generan valor en la organización.

La importancia de la realización de los inventarios de activos en seguridad informática es tener la trazabilidad de los activos, tener en el radar aquellos activos en estado crítico y aplicarles a estos los controles de riesgo que permitan tenerlos “bajo control”, no tenerlos controlados puede representar un riego para los procesos ya que estos se encuentran directamente asociados a la actividad de la organización.

Se debe tener en cuenta que los activos es un requerimiento necesario para dar cumplimiento con la norma ISO27001. Adicional se debe tener en cuenta que las organizaciones que dentro del desarrollo de sus procesos tiene proyectos de seguridad informática deben tener el respaldo ya que no solo se benefician a sí mismos, sino que generan confianza a sus stakeholders.

Agilizar la ejecución de inventario de activos de seguridad informática

El aporte de la alta dirección permitirá agilizar para la ejecución de los inventarios de seguridad informática, el cual se puede realizar de la siguiente manera:

Recoger activos por área: Para realizar esta acción hay varias opciones que permitirán realizar esta tarea con éxitos. La primera es agendar reuniones programadas con las diferentes áreas, para una reunión previa, informando la actividad a realizar, con el fin que se puedan recopilar toda la información del inventario. Se debe presentar en esta reunión, la plantilla en la cual se registrarán los datos de los activos.

Una idea de plantilla para identificación de los activos en donde el usuario pueda registrar la información contiene el nombre del activo, la descripción del mismo, código si cuenta con uno, responsable del activo, valoración, cualitativa o cuantitativa, estos como algunos criterios relevantes dentro del levantamiento.

Recopilación de la Información y clasificación: Cada área debe registrar los activos y realizar la clasificación del mismo con información relevante como tipo de activo, sea este físico o digital, el lugar donde se almacena.

Ponderación: Para realizar la ponderación de los activos del inventario se deben tener en cuenta los criterios de la seguridad informática que son la Confidencialidad, el cual especifica que la información sea accesible de forma única a las personas que se encuentra autorizadas. Integridad el cual hace referencia a la información que se encuentra almacenada en los dispositivos que no ha sido manipulada por terceros de manera malintencionada. Esto da fiabilidad que la información no será modificada por personas no autorizadas y Disponibilidad, que hace referencia a la información que debe estar disponible siempre para las personas autorizadas para accederla y tratarla, y además puede recuperarse en caso de que ocurra un incidente de seguridad que cause su pérdida o corrupción. Es decir; permite que la información esté disponible cuando sea necesario.

Cada uno de estos criterios debe ser ponderado conforme como se califiquen estos activos en la organización y se califiquen por cada dueño de proceso, por ejemplo; nivel Alto (3), medio (2) y bajo (1), esto con el fin de darle un valor a cada activo y conocer el grado de vulnerabilidad de sus activos, los cuales serán clasificado en una matriz de riesgos, pasaran por un tratamiento, controles y ser llevados a un mapa de calor para mantener controlado estos activos.

En conclusión, en una organización que se encuentre certificada en ISO 27001 o desea hacerlo, es indispensable sino obligatorio, contar con un inventario de activos que permitan ser controlados y que brinde confianza a sus colaboradores. En vista de los posibles errores humanos que puedan ser cometidos, se cuentan con softwares que se permiten controlar esta operación con módulos que, guardan el registro de los inventarios, son configurables sus plantillas, cuentan con módulos de riesgos, en fin, un sin número de elementos que van a permitir a contar con sistemas de seguridad informática, robustos y confiables.

Software Seguridad de la Información

Esta integración de complementos de Sistemas de Gestión de Seguridad de la información requiere de gran disciplina, orden y pensamiento sistémico para que llegue a ser realmente útil y aporte beneficios a la organización. Este grado de utilidad se puede llegar a conseguir siempre que se realice la gestión de forma eficiente y automatizada mediante un software de Gestión de Seguridad de la Información como ISOTools.

ISO 27032 para ciberseguridad

Con la evolución de la tecnología y el gran avance del internet para navegar en las diferentes plataformas, se encuentra la facilidad de realizar acciones en la red. Desde la creación de páginas web, envió de documentos y pagos en línea. Los cibernautas se ven gravemente comprometidos si no encuentran los elementos adecuados que los protejan. Al igual que la vulnerabilidad que pueden sufrir las organizaciones, y es de ahí donde nace la seguridad informática con la norma ISO 27001; la cual cuenta con un gran respaldo como la inclusión de la norma ISO 27032 de ciberseguridad.

En ese orden de idea las ISO 27032 fue creada por la organización internacional de normalización como complemento de la norma ISO 27001, para asegurar las transacciones online (en línea), proteger el envío de documentación, protección de la información personal intercambiada en internet, y la protección de los computadores tanto hardware como software, al interactuar con la red.

Seguridad informática y ciberseguridad

En esta norma también son tomados en cuenta los tres pilares fundamentales de la seguridad informática los cuales se encargarán de darle valor a los activos de la organización los cuales son:

Disponibilidad: Propiedad de que la información sea accesible y actualizable. Que el sistema informático se mantenga trabajando sin sufrir ninguna degradación en cuanto a accesos. Es necesario que se ofrezcan los recursos que requieran los usuarios autorizados cuando se necesiten. La información deberá permanecer accesible a elementos autorizados

Confidencialidad: Requiere que la información sea accesible solo para aquellas personas autorizadas. Para ello, será necesario acceder a la información mediante autorización y control. La confidencialidad hace referencia a la necesidad de ocultar o mantener secreto sobre determinada información o recursos.

Integridad: Supone que la información se mantenga inalterada ante accidentes o intentos maliciosos. Solo se podrá modificar la información mediante autorización.

En este sentido, se puede definir la ciberseguridad como un conjunto de herramientas, conceptos de seguridad, acciones, formación, directrices, prácticas idóneas, seguros, tecnología y métodos de riesgos que se utilizan con el fin de proteger los activos de una organización y a los stakeholders cibernautas.

Para establecer un Sistemas de Seguridad Informática es muy recomendable realizar un análisis de brecha o análisis (GAP). A nivel informático encontrar ese espacio de manera estratégica permite saber en dónde nos encontramos ahora, “el estado actual del SGSI” y dónde se quiere estar, “el o los objetivos a cumplir”. Al realizar el análisis y evaluar las necesidades se puede comprender cuál es el nivel en el que se encuentra el sistema en la organización. Recordando que las normas ISO a la fecha se encuentran integradas se puede apoyar su implementación en las normas ISO/IEC 27031:2011; ISO 22301:2012; ISO/IEC 27005:2018; e ISO 31000, entre otras.

Implementación de un GAP

Los pasos para la implementación de un (GAP) o un análisis de brecha son:

• Elaboración de los cuestionarios.
• Entrevistas e inspecciones en sitio.
• Consolidación de resultados.
• Análisis de resultados.
• Elaboración de informes.
• Fase de priorización controles plan estratégico de seguridad de la información (PESI).
• Fase de implementación ISO 27032.

Otro punto importante dentro de la implementación de sistemas de gestión de seguridad informática es tener en cuenta dentro de sus estrategias, priorizar la documentación referente a políticas, procedimientos, formatos, estándares etc…, entre otros aspectos estructura física y controles de tipo tecnológico, como centralización de virus, controles de acceso entre otros.

La gestión de los riesgos en ciberseguridad está enfocada en cuatro áreas prevención, protección y detección, respuesta y comunicación y recuperación y aprendizaje discriminados así:

• Prevención: Esta se basa en la implantación de medidas y controles que limiten y contengan los posibles impactos de posibles eventos de ataque de ciberseguridad.
• Protección y detección: En esta instancia se pasa de lo inherente a lo residual, implementación de controles y monitoreo de los mismos preferiblemente en mapas de calor.
• Respuesta y comunicación: Correspondiente a las acciones que se toman de manera inmediata en caso de tener incidentes que vulneren la ciberseguridad.
• Recuperación y Aprendizaje: La capacidad de recuperación las cuales salen de las acciones tomadas con el fin de reparar posibles daños cibernéticos, adicional de decir procedimiento y reducir probabilidades de ocurrencia.

En conclusión, esta norma nos permite transitar de manera segura por la red, hacer el cruce de información y documentación de manera segura, permite tomar acciones rápidas frente a posibles incidentes y proteger la información de cualquier clase de las organizaciones. Para tener un mayor control de todos los aspectos se encuentran software que ayudan a la administración, configuración, control entre otros de este tipo de (SGSI) de manera integrada.

Software SGSI

Soluciones tecnológicas como el Software ISOTools, que permiten la automatización y el acceso a la información generada por los procesos en tiempo real, es una ventaja que no puede perderse.

Ejercer control sobre su proceso productivo en la Industria 4.0, desde el hallazgo hasta la toma de decisiones, le protegerá de los ataques y mejorará, su capacidad de reacción.

Automatizaciones clave para la gestión de SI

La seguridad de la información se ha vuelto un tema tan vasto y con tantos aspectos por cubrir, que se hace necesario echar mano de todas las herramientas que nos faciliten su gestión. Las automatizaciones son muy útiles al respecto, pues hacen más efectivas las estrategias de defensa de la información, permiten responder ágilmente a los incidentes, nos recuerdan los compromisos del sistema de gestión, sirven para comunicar rápidamente las situaciones mientras ocurren, ayudan a medir los niveles de riesgos, coadyuvan a asignar responsabilidades, son un apoyo a la hora de cumplir con los SLA (acuerdos de niveles de servicios), entre otros.

La automatización integral es idónea para lograr dar respuesta a las soluciones veloces que esperan los consumidores. En cuanto a los trabajadores, les disminuye la carga laboral para que puedan enfocarse en asuntos que agreguen valor. Automatizar es una estrategia que nos lleva a la eficiencia.

Los gerentes de tecnologías de la información (TI) son los más versados en las automatizaciones y pueden ayudar a sus compañeros a comprender cómo sacar el máximo provecho de estas. Para ello es necesario que en la organización tengan en cuenta algunos conceptos fundamentales. Así se obtendrá la productividad deseada y se extraerá el máximo valor comercial de la automatización.

¿Automatizaciones para qué?

Puede que todos concibamos la nube como el lugar en internet donde encuentra la información, pero detrás de ese lugar hay activos físicos que debemos proteger contra la divulgación, transferencia, modificación o destrucción. Es decir, la seguridad de la información no solo atañe a los datos y a la interpretación de estos, sino también a los medios con que gestionamos el ciclo de vida de la información (creación, transferencia, almacenamiento, explotación y disposición final).

De acuerdo con la norma ISO/IEC 27005, la seguridad de la información es la protección contra la divulgación, transferencia y modificación no autorizada, ya sea accidental o intencional. En las organizaciones tenemos el objetivo de preservar la integridad, disponibilidad y confidencialidad de la información, puesto que los riesgos acechan constantemente. Según ISO/IEC 27000, el riesgo es el efecto de la incertidumbre sobre los objetivos. La palabra clave de esa definición es la incertidumbre, pues ante ella no contamos con información ni conocimientos sobre qué incidentes podrían ocurrir, qué consecuencias acarrearían esos incidentes y qué probabilidad hay de que sucedan. La incertidumbre se trata no saber dónde estamos y cómo lograremos los objetivos, si es que hay beneficios o amenazas en el horizonte. Para saber con qué nos encontraremos nos podemos servir de metodologías como las automatizaciones.

Componentes clave de las automatizaciones

• Requisitos legales y reglamentarios relativos a la seguridad de la información.
• Políticas generales y específicas para el trato con proveedores.
• Política de uso adecuado de los activos.
• Procedimientos de trabajo.
• Planes de tratamientos de riesgos.
• La gestión del cambio.
• Declaración de aplicabilidad de normas ISO.
• Compliance, en general.
• Seguridad de la información durante la continuidad del negocio.
• Dueños de riesgos.
• Activos de mayor valor y estrategias de defensa sobre esos activos, entre otros.

Riesgos

Los riesgos de seguridad de la información están asociados a que las amenazas exploten las vulnerabilidades de un activo o grupo de activos, y que eso cause daño a la organización. La mejor forma de precisar nuestra situación es la apreciación de riesgos, que permite saber si estamos poco, muy o medianamente expuestos. En este sentido, este es uno de los primeros elementos que necesitaremos automatizar y podemos clasificarlo como:

• Riesgos operativos: tienen que ver con las bases de datos, infraestructura, los diferentes dispositivos con los que interactúa un usuario, las aplicaciones, los sistemas con los que se procesa la información, los resultados de la organización sobre ventas, clientes, desarrollos del producto. En síntesis, la información que la empresa necesita para funcionar (documentos en físico o digitales), entre otros.
• Riesgos estratégicos: se refieren al contexto, requisitos de las partes interesadas (que nos permiten determinar riesgos y oportunidades para conseguir los resultados previstos, reducir los efectos indeseados para la organización y lograr la mejora continua).

Teniendo todo esto claro, y gracias a las automatizaciones, podemos precisar acciones de tratamientos de riesgos, que consisten en:

• Aceptar, transferir, mitigar o eliminar.

Las acciones requieren ser integradas a los procesos del SGSI, además debemos evaluar la eficacia de tales acciones. En todo este proceso la herramienta de automatización arrojará luces y nos hará el trabajo más llevadero.

Para finalizar, enfatizaremos que la apreciación de riesgos no se hace una sola vez en la vida, hay que llevarla a cabo cada vez que haya cambios en la organización, cuando haya incorporaciones de nuevos activos o exista algún incidente de seguridad de la información.

Software ERM ISOTools

ISOTools ERM es el software clave para la gestión integral de los riesgos corporativos de la organización. Gracias la automatización de procesos en la gestión de riesgos incrementará la eficiencia del área de riesgos, llevar una gestión integrada de todos los riesgos que pueden amenazar a la organización, identificarlos de forma más clara y aprovechar las oportunidades que se pueden derivar de los mismos.

Cumplimiento legal Seguridad de la Información

Evitar sanciones por quebrantar leyes no es la única razón para cumplir con los reglamentos y legislaciones en materia de seguridad de la información. Observar el entramado legal propicia una actitud transparente de la organización frente a diferentes partes interesadas, promueve la aplicación efectiva del sistema de gestión de seguridad de la información (SGSI), da un marco de referencia para verificar el cumplimiento de las regulaciones en materia de SI, apoya el mejor desempeño de la organización, entre otros.

Además, los ciudadanos cada día son más conscientes de la necesidad de preservar la confidencialidad, integridad y disponibilidad de la información, por ello esperan que las leyes respalden esa necesidad y evolucionen tan rápido como lo hace la tecnología. También esperan consumir productos y servicios que provengan de organizaciones capaces de cumplir con la ley.

Para lograr el cumplimiento de los requisitos legales requerimos activar un proceso que comprende de varios pasos:

• Identificar los requisitos legales: necesitamos contar con una metodología establecida para poder identificar cada requisito. Es importante investigar las leyes y regulaciones emitidas por los gobiernos regionales, nacionales, federales, estatales o locales. Luego requerimos leerlos, entenderlos, buscar el apoyo experto de personal calificado y mantenernos al tanto de los cambios, obligaciones o reglas divulgadas en medios oficiales.
• Establecer controles: ¿ya los directivos y/o responsables identificaron toda la legislación aplicable a sus organizaciones, para cumplir con los requisitos de su tipo de negocio? ¡Perfecto! Ahora es pertinente que se definan controles puntuales y se fijen responsabilidades individuales para cumplir estos requisitos.
• Documentar controles: los controles aplicables a los procesos, productos y servicios de la organización ameritan ser plasmados como información documentada. Hay que tener en cuenta que los requisitos pueden generar riesgos (cuando no sabemos cómo abordarlos o no se abordan oportunamente) y oportunidades (cuando se incorporan los requisitos legales a la línea de negocios como elementos diferenciadores) para la organización.
• Incluir y determinar en el alcance del SGSI los aspectos legales de las actividades, productos y servicios que debemos controlar.
• Demostrar capacidad y voluntad para cumplir los requisitos legales ante clientes internos y externos y partes interesadas.
• Mejora continua.

Requisitos de diferentes tipos

Los requisitos legales se usan como entradas de proceso y su seguimiento se considera una salida de proceso. Por eso es imperativo tener en cuenta los cambios que se produzcan en la organización, en cuanto a procesos, productos y servicios, y las legislaciones que se modifiquen o entren en vigor. Con esto no nos referimos únicamente a la Constitución del país en que la empresa mantenga operaciones, Código Penal, leyes, normas y decretos. También cuentan las licencias u autorizaciones, orientaciones, órdenes, reglas, sentencias de cortes de justicia o tribunales administrativos, requisitos de las partes interesadas relacionados con sus propios SGSI y que deberíamos cumplir o adoptar, acuerdos con comunidades y organismos públicos o clientes, requisitos de socios o accionistas, principios o códigos de cumplimiento voluntarios, obligaciones contractuales, normas atinentes a la industria y/u organización.

En Latinoamérica es moneda corriente el desfase entre las leyes en materia de seguridad de la información y el uso y manejo de información. Por lo tanto, hay delitos que no son reconocidos como tal y no son sancionados. En ese sentido, es posible suscribir protocolos propios e implementar estándares internacionales como la norma ISO/IEC 27001. Es aconsejable, además, mantenerse atentos ante la promulgación de decretos y la creación de disposiciones emitidas por reguladores.

Otros aspectos por considerar

A la hora de pensar en el cumplimiento legal no podemos omitir la existencia de condiciones anormales y situaciones de emergencia, como las que supuso el SARS COVID. Tras la pandemia surgieron normativas para regular, entre otras cosas, el teletrabajo y el acceso a los datos sensibles. Incluso hubo debates éticos sobre qué tan conveniente era divulgar al círculo cercano cuando una persona resultara contagiada.

En otro orden de ideas, destacamos la relevancia de la gestión de los procesos de SI internos y la identificación de aspectos de SI. Sin ello el cumplimiento legal no estaría completo, puesto que muchos de los requisitos están relacionados con aspectos de la seguridad de la información. Todos los requisitos deben ser tomados en cuenta cuando se establezca, implemente, mantenga y mejore continuamente el SGSI. Por último, consideramos que es imprescindible que desde la alta dirección se manifieste la firme voluntad de cumplir con los requisitos de SI en materia legal y recomendamos la estandarización, pues esta respalda los requisitos legales.

Software ISO 27001

La ISO 27001 para los Sistemas de Gestión de Seguridad de la Información es sencilla de implantar, automatizar y mantener con la Plataforma Tecnológica ISOTools.

Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad de la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

Este software, permite integrar la ISO 27001 con otras normas, como ISO 9001,
ISO 14001 y 45001 de una forma sencilla gracias a su estructura modular.

ISO 37301

El punto 10 de la norma ISO 37301 – Sistema de gestión de compliance es probablemente nuestro favorito del estándar. ¿Por qué? Es que, si llegamos allí, ya debimos haber implementado el CMS, pero no por eso podemos considerar que todo está resuelto y no queda nada por hacer. Imagina que tienes una receta ganadora y que a medida que pasa el tiempo y la vas preparando, te animas a incorporar nuevos ingredientes o a eliminar otros. El resultado es una versión genial de la fórmula y te sorprendes gratamente: ¡mejoraste! De eso trata este apartado.

¿Es la ISO (Organización Internacional de Estandarización) un ente muy quisquilloso, al que le parece que el trabajo nunca está terminado? No, solo que el contexto influye: recordemos que las normas se nutren de la filosofía Kaizen, en la que se expone que cada día se pueden llevar a cabo mejoras pequeñas.

Esta, a su vez, proviene de la milenaria cultura japonesa. Y como siempre hay nuevas formas de ver las cosas, de percibir aprendizajes que trae consigo el contexto, existen la diversidad de puntos de vistas, lecciones aprendidas, cambios en los equipos de trabajo, e iniciativas del negocio u organización que llevan inexorablemente a nuevas oportunidades de mejorar la capacidad de mejorar (suena redundante, lo sabemos), estas ideas calaron en el mundo occidental.

Mejora continua en ISO 37301, un camino que hay que recorrer.

¿Qué sucede si somos excelentes trabajadores, nuestros productos y servicios son los mejores y la calidad de nuestra organización es ampliamente reconocida? ¡También debemos seguir mejorando! Porque la excelencia no es un estado, sino un camino que se recorre. No se trata de llegar a un destino, la excelencia se forja en el tiempo y toma diferentes formas, tal como el universo, que se encuentra en constante expansión.

Podríamos aseverar, entonces, que la mejora es la parte alegre de los sistemas de gestión, nos lleva a ver el trabajo con optimismo porque cada mejora se traduce en una nueva oportunidad, y ese es un pensamiento feliz que es capaz de materializarse y que no conoce de límites. Además, solo sabremos que un sistema de gestión de cumplimiento (CMS) es eficaz porque mejora y evoluciona continuamente.

Recordemos que el contexto cambiante, derogación y promulgación de leyes, entre otros, incentivan el cambio y la mejora. De acuerdo con el punto 10.1 de la norma ISO 37301 la manera de verificar la mejora podría resumirse en revisiones, auditorías internas y métodos creados por la organización, como aplicar encuestas a los colaboradores.

Con ellas se podrían medir la cultura de cumplimiento y la eficacia de los controles. Según los resultados obtenidos sería posible determinar si es necesario modificar aspectos del CMS y cuáles son las oportunidades de mejora. Cuando ejecutemos las modificaciones tenemos que considerar cómo impactará cada una de ellas en el CMS en cuanto a la disponibilidad de recursos, obligaciones, procesos, entre otros.

 No conformidades y acciones correctivas en ISO 37301

El apartado 10.2 de la norma ISO 37301 versa sobre acciones correctivas y no conformidades. Esta sección hace que el estándar sea bastante eficaz cuando se trata de implementar planes de cumplimiento y afines, si lo comparamos con otras alternativas que persiguen el mismo objetivo. Ello se debe a que ISO 37301 exige la mejora continua en cuanto a tres grandes aspectos:

• Eficacia del CMS: tras definir cómo se medirá el éxito del CMS (los indicadores son especialmente útiles para ello), es imperativo verificar si se han obtenido los resultados deseados, se audite el CMS y de acuerdo con los resultados se registren no conformidades, incumplimientos y oportunidades de mejora. Es crucial que el CMS se mejore continuamente.
• Capacidad del CMS: nuestro CMS debe ser pertinente para gestionar los riesgos y obligaciones de cumplimiento.
• Coherencia y armonía: esto implica que el CMS tome en cuenta los puntos relevantes del contexto, se identifiquen claramente los riesgos y obligaciones de compliance y exista entendimiento con las partes interesadas.

Gestión

Cuando surjan incumplimientos o no conformidades (NC) es primordial gestionarlas (controlarlas y corregirlas), actuar ante las consecuencias que sobrevendrán, evaluar si es posible eliminar las causas raíz de las NC, determinar las causas del incumplimiento o NC, llevar a cabo acciones correctivas, revisar la eficacia de las acciones correctivas y hacer cambios al CMS, en caso de que fuese necesario.

Sabremos si de verdad estamos mejorando si nos revisamos y analizamos con métodos que pueden ir más allá de la auditoría interna. Cada área o departamento de la organización cuenta con la autonomía suficiente para evaluar qué tan buenos son los controles ideados.

Es importante sondear el nivel de entendimiento y compromiso de la cultura de compliance que tienen los trabajadores. Si esto se hace periódicamente, los colaboradores cada vez estarán más al tanto del cumplimiento y los controles serán más robustos. En este sentido, ambos serán perfectos ejemplos de mejora continua.

Software Compliance de ISOTools ISO 37301

Implementar un sistema anticorrupción y aplicar una lista de verificación para un sistema de compliance como esta puede ser más fácil. Esto será así si se cuenta con una herramienta tecnológica avanzada que estructura el sistema y facilita cada tarea.

Así lo hace el  Software Compliance de ISOTools específicamente diseñado para abordar cada componente de un sistema antisoborno con éxito. Esta solución ofrece funcionalidades apropiadas. Por ejemplo, para una gestión óptima de los ciclos de tareas y flujos de documentación, para la aplicación ágil de la debida diligencia o para alentar la denuncia a través de canales que protegen el anonimato y facilitan las investigaciones

Conozca más sobre esta solución preguntando a uno de nuestros asesores.

COSO – ISO 31000

La gestión del riesgo en las organizaciones, plantea nuevos retos al equipo de riesgos constantemente. La forma de hacer negocios ha cambiado al igual que los eventos inesperados, que evolucionan aceleradamente y presentan diferentes formas de materializarse en la ejecución de tareas, llevando los controles a la obsolescencia en menor tiempo y afectar el negocio en general.

Puestos a escoger un marco de trabajo para la gestión de riesgos, encontramos multitud de opciones, pero hoy nos centraremos en las que posiblemente sean las más extendidas: ISO 31000 y COSO.

La norma ISO31000, permite al equipo definir una estructura eficaz para la gestión de los riesgos asociados a los procesos, sin embargo, orienta en el cumplimiento de los requisitos mínimos que se deben tener para la evaluación, sin limitar a las partes interesadas en el valor agregado que puedan aportar a la eficacia en la definición de controles.

Los sistemas de gestión, independientemente de su enfoque, es posible relaciónalos y poder cumplir requisitos de forma paralela en la implementación, incluso con la misma metodología para el seguimiento.

Tener un marco de referencia para la gestión de riesgos es fundamental y dentro de las tipologías existentes; los referentes a proceso financieros, cuentan con un comité especializado en optimizar la aplicación de controles que minimicen el impacto de los riesgos inherentes asociados al fraude en operaciones financieras y que amenazan la continuidad del negocio.

El COSO es un marco de referencia creado, con el fin de definir e implementar buenas prácticas en los procesos de control interno. En COSO, responsabilidad esta delegada en las diferentes partes interesadas de la organización; cabe resaltar que al igual que los demás sistemas de gestión, la definición de lineamientos y objetivos que se deben cumplir se encuentran a cargo de la alta dirección.

Comparando COSO e ISO 31000

Al realizar la comparación entre las metodologías para la gestión de riesgos, es posible definir que lo definido en la norma ISO31000 contempla los requisitos base para la gestión y a partir de la cual se creara la estructura que aplicara a la organización dependiendo de su actividad económica; la aplicación de esta norma es de aplicación transversal a cualquier actividad.

La metodología COSO también se enfoca en gestionar riesgos con base en buenas prácticas, solo que estas se encuentran enfocadas al sector financiero, donde el riesgo presente con más frecuencia en la ejecución de actividades concluye en fraude financiero que, al no contar con una definición integral de controles puede impactar a la organización hasta su desaparición.

¿Cuál escoger?

El éxito de los sistemas de gestión o metodologías de análisis para el control de factores internos y externos, nace en la planeación estratégica que desarrolla la dirección para cumplir con los objetivos y que en corto o mediano plazo le permitirá a la organización mejorar continuamente y ampliar su alcance operativo dentro del sector.

La implementación de un modelo normativo ISO o COSO, requiere que dentro de la planificación se asignen recursos de diferentes tipologías como los descritos a continuación:

• Recurso humano: poner en funcionamiento el modelo o metodología de gestión, depende de la formación capacidades y experiencia de los miembros que conforman el equipo de gestión del riesgo, de lo contrario es posible que se materialicen riesgos de gran impacto negativo al no tener conocimiento de la naturaleza y comportamiento de esto.
• Recursos financieros: la adquisición de personal infraestructura y equipos, es posible si dentro de la planificación del presupuesto la alta dirección de la organización asigna el dinero necesario para cubrir estos requerimientos.
• Recursos físicos: la eficiencia en la gestión de los riesgos de diferente tipología, requiere un medio que le permita gestionar y transferir información de forma rápida y efectiva, evitando tiempos muertos que posteriormente se reflejaran en pérdidas para la organización.

Las herramientas que las organizaciones adopten para la gestión de los riesgos asociados a las actividades de los procesos, debe garantizar el análisis de la información y posterior dar el insumo al equipo de gestión del riesgo para la definición de controles de forma integral y de esta forma dar un nivel alto de seguridad frente a estos eventos inesperados.

Software para la gestión de COSO e ISO 31000

Gracias a las nuevas tecnologías y el desarrollo de software especialmente diseñado para realizar la gestión de riesgos, organizaciones y equipos de todos los tamaños cuentan con una opción alternativa a la hora de buscar la excelencia.

El software ISOTools es una herramienta intuitiva, flexible y con un alto nivel de personalización que permite a las organizaciones gestionar de forma ágil y automatizada la gestión de riesgos.

ISO 37301 apartado 9

¿Alguna vez pusiste en duda la utilidad del ciclo PHVA? Todas las normas tienen que ver con el ciclo de Deming: planificar, hacer, verificar y actuar. El punto 9 de la norma ISO 37301 – Sistema de gestión de compliance (CMS) está dedicado, precisamente, a verificar. Engloba la evaluación de desempeño (9), seguimiento, medición, análisis y evaluación (9.1), entre otros.

Sin verificación nos encontraríamos en un ciclo interminable de hacer, sin comprobar en qué aspectos organizacionales debemos enfocar nuestros esfuerzos ni evaluar cuál es el grado de cumplimiento del CMS.

Si lo primordial es trazar objetivos de cumplimiento, entonces lo segundo en importancia vendría a ser precisar qué debemos monitorear y medir, cada cuánto tiempo se harán tales análisis, quiénes los llevarán a cabo, mediante qué métodos obtendremos los hallazgos, de qué forma guardaremos los resultados de las evaluaciones y en qué acciones se traducirá lo que se descubra. Siempre es relevante saber si cumplimos – y en qué medida – con las políticas, protocolos y reglamentos de la empresa, leyes y disposiciones nacionales, controles, entre otros.

Con los hallazgos obtenidos podemos tomar decisiones conscientes, inteligentes e informadas, puesto que nos estaríamos basando en datos y evidencias confiables. Estos conocimientos obtenidos son potencialmente valiosos si nos proponemos hacer crecer el negocio.

En ISO 37301 apartado 9, concretamente en el punto 9.1.2 del estándar nos conmina a servirnos de las fuentes de retroalimentación para que nos hagamos una idea de los niveles de cumplimiento de la organización. Ello incluye recibir información de diversas fuentes (trabajadores que denuncien irregularidades, clientes, controles de procesos y registros de actividades, proveedores, contratistas, entre otros) y brindar una mirada crítica y evaluativa con el fin de descubrir los porqués de los incumplimientos.

Los indicadores no mienten

Si necesitamos saber con certeza si los objetivos de compliance fueron conseguidos, ¿Qué debemos hacer? ¡medir! Los indicadores no engañan. ¿Cómo sabremos si la empresa se encamina hacia al cumplimiento, si el rumbo es correcto? ¡seguimos midiendo! Y es que los indicadores son una suerte de brújula, una radiografía que se le toma al sistema de gestión de compliance (CMS) y que nos revela, de forma confiable, en qué punto nos encontramos, y, por consiguiente, cuáles serán los próximos pasos. Los indicadores son el tema que expone la ISO 37301 en el apartado 9, específicamente en el punto 9.1.3 de la norma.

Para mejorar, necesitamos saber que nuestra labor es perfectible, conclusión a la que llegaremos tras medir. Una manera de percibir la evolución de los esfuerzos llevados a cabo podría ser gracias a gráficos que reflejen el estado del indicador en su fase inicial, cuál es la tendencia, riesgos, implicaciones y demás. Indiscutiblemente, la norma ISO 37301 orientará a las organizaciones comprometidas con el cumplimiento, pues apunta hacia sociedades más transparentes y justas.

Ninguna medición, análisis y evaluación estarían completas sin los informes de cumplimiento que resultan tras haber obtenido los resultados. El apartado 9.1.4 de la norma ISO 37301 tiene como propósito el reporteo. Esto garantiza que el desempeño del CMS es informado a las partes interesadas pertinentes.

Para cumplir con el mencionado punto podríamos crear una política de reportes de compliance y procedimientos de reportes en los que se precise

• Frecuencia de los reportes.
• Notificaciones a reuniones, citas y/o contactos con autoridades reguladoras.
• Cambios en cuanto a riesgos de compliance.
• Nuevos requerimientos, responsabilidades y obligaciones de compliance.
• Resultados de las mediciones.
• Incumplimientos hallados y acciones correctivas implementadas.
• Desempeño del CMS.
• Resultados de auditorías.

Los registros cuentan con carácter verificador y demostrativo, por eso esta clase de información documentada constituye evidencias. Si es menester comparecer ante la justicia, los registros de procesos y controles son probatorios de nuestras gestiones. De allí la importancia del mantenimiento de los registros (9.1.5), que debe ser el más adecuado posible, libre de adiciones, supresiones, omisiones, modificaciones, usos no autorizados y similares.

Una herramienta potente

La auditoría interna (9.2) es una de las herramientas más poderosas de las que podemos valernos para detectar equívocos que tal vez no sabemos que existen, y que, al conocer, nos darán una idea global de hacia dónde pueden apuntar nuestros esfuerzos y los del equipo de trabajo.

La norma ISO 37301 señala cómo deben llevarse a cabo las auditorías, establece que la compañía requiere planificar la realización de estos procesos con cierta regularidad, para que sea posible conocer si el CMS se ajusta a los requisitos de la empresa y a los de la norma. También para precisar si la implementación y mantenimiento resultan efectivos.

El punto 9.3 del estándar contempla la revisión por la dirección, que debería incluir también recomendaciones sobre:

• la necesidad de cambios en la política de compliance y en sus objetivos, sistemas, estructura y personal asociados;
• los cambios en los procesos de compliance para asegurar la integración eficaz con las prácticas operacionales y los sistemas;
• las áreas sobre las que hacer seguimiento de no cumplimientos de compliance futuros potenciales;
• las acciones correctivas respecto a los no cumplimientos de compliance;
• las lagunas o carencias en los sistemas del compliance actuales e iniciativas de mejora continua más a largo plazo;
• el reconocimiento de un comportamiento de compliance ejemplar dentro de la organización.

Los resultados de la revisión por la dirección (9.4) tienen que contener las decisiones que se han tomado tras analizar la información obtenida. Esto puede materializarse en informes documentados (no necesariamente de gran extensión) contentivos de los temas tratados, acciones propuestas, responsables, plazos y recursos para implementar dichas acciones, actas de reuniones, minutas, detección de oportunidades de mejora, necesidades de cambios del CMS, entre otros.

Software Compliance de ISOTools ISO 37301

Implementar un sistema anticorrupción y aplicar una lista de verificación para un sistema de compliance como esta resulta mucho más fácil si se cuenta con una herramienta tecnológica avanzada que estructura el sistema y facilita cada tarea.

Así lo hace el  Software Compliance de ISOTools específicamente diseñado para abordar cada componente de un sistema antisoborno con éxito. Esta solución ofrece funcionalidades apropiadas, por ejemplo, para una gestión óptima de los ciclos de tareas y flujos de documentación, para la aplicación ágil de la debida diligencia o para alentar la denuncia a través de canales que protegen el anonimato y facilitan las investigaciones

Conozca más sobre esta solución preguntando a uno de nuestros asesores.

Gestión de Riesgos Corporativos

El riesgo, como lo conocemos actualmente, es una palabra que deriva de la palabra peligro. En la actualidad es incierto poder establecer una fecha o conocer a quién se le aduce la creación de la palabra riesgo.

En teoría es un concepto utilizado en varios ámbitos, profesiones y es complementada con la palabra “gestión”. Haciendo así el término Gestión de Riesgos, que en una definición muy general se podría decir que es el estudio que plantea las medidas correctivas, preventivas y predictivas para evitar desastres.

A nivel organizacional se debe tener en cuenta que todas las actividades conllevan consigo un riesgo, para tener estos riesgos controlados, la intención es poder llevar a cabo la identificación de riesgos y analizarlos, luego realizar un plan de tratamiento donde se puedan aplicar los controles para poder mantenerlos.

La norma Internacional que rige la gestión de Riesgos es la ISO:31000 y fija los objetivos de la organización, variedad de riesgos, las partes interesadas y la multiplicidad de riesgos que en conjunto permiten evaluar el nivel de riesgo de las organizaciones. Se debe tener en cuenta que esta norma se puede aplicar a cualquier tipo de organización, ya sea pública o privada, no importa su tamaño ni el sector productivo en el que se encuentre.

La norma cuenta con seis ítems distribuidos de la siguiente manera:

1. Alcance: donde informa que la norma es una guía que cuenta con unos lineamientos que permiten administrar y gestionar cualquier tipo de riesgo. Adicional la norma se encuentra en constante actualización.
2. Referencia Normativas: esta norma no cuenta con referencias normativas
3. Términos y Definiciones: se encuentra el vocabulario y concepto de las palabras claves que se consideran importantes dentro de la norma.
4. Principios: es la fundamentación bajo la cual la norma gestiona los riesgos y estable el marco de referencia teniendo en cuenta los efectos de incertidumbre sobre los objetivos de la organización, en donde se encuentran palabras que orientan a la administración y gestión de los riegos las cuales son; Integrada, estructurada y exhaustiva, Adaptada y ajustada, Inclusiva, Dinámica, Mejor Información disponible, factores humanos y Culturales, mejoramiento continuo.
5. Marco de referencia: la función del marco de referencia, es decir, a las organizaciones que es un sistema integrado, y que depende de su gobernanza, que la gestión de riesgos sea o no efectiva dentro de las organizaciones, este compromiso parte desde la alta dirección. Los ítems fundamentales allí encontrados son Integración, Diseño, Implementación, Evaluación y Mejora.
6. Proceso: la gestión de riesgos implica la aplicación sistemática de políticas, procedimientos y prácticas a las actividades de comunicación y consulta, establecimiento del contexto y evaluación, tratamiento, seguimiento, revisión, registros y reportes de los riesgos.

Se debe tener en cuenta que las normas ISO actualmente integran sus normas y la 31000 no es la excepción, a continuación, mostraremos algunas normas que se integran con la gestión de Riesgos.

• ISO9001 Sistemas de Gestión de Calidad: es la norma central de donde parten las demás normas ISO, en su última actualización su pensado es basado en los riesgos organizacionales.
• ISO55000 Es la norma que se encarga del Sistema de la Gestión de Activos en las organizaciones, y es una norma enfocada en la gestión de riesgos, enfocada en las organizaciones financieras y aseguradoras, enfocada a los activos de todo tipo incluyendo aquellos activos intangibles.
• ISO27001: Norma encargada de la Seguridad Informática que se encarga de evaluar los riesgos correspondientes a la confidencialidad, integridad y disposición de los activos o información informática.
• ISO45001: Encargada de la Seguridad y Salud en el trabajo, está conectada con los riesgos a nivel de recurso humano, evaluando las organizaciones temas de incidentes y accidentes a nivel laboral.
• ISO19011: Relacionado en aquellos profesionales que se encargan de realizar las auditorias en las organizaciones, a lo cual relacionan sus evaluaciones a la gestión de riesgos de las empresas.
• ISO19600: Norma encargada del cumplimiento y que al evaluar sus riesgos permiten evitar sanciones innecesarias a las compañías.
• ISO37000: Norma encargada de la prevención de los sobornos, esta norma genera confianza en las organizaciones si cuentan con clientes potenciales para demostrar ante ellos las buenas prácticas antisoborno, esto es fundamental para la gestión de riesgos, esencialmente en entidades aseguradoras y financieras.

 En conclusión, la gestión de riesgos en las Organizaciones es lograr vencer la incertidumbre de las actividades realizadas, esto ayuda a crear valor no solo en el complimiento de los objetivos si no logra integrar tanto las actividades internas y externas como todos los SIG, adicional ayuda que haya una gestión proactiva,  permite tener una trazabilidad de nuestros riesgos desde la identificación, análisis y planes de tratamiento de los mismos, permite tener un análisis exhaustivo de la matriz DOFA de todos los procesos, mejora la dinámica financiera, mejor la gestión de los aspectos legales y previene posibles pérdidas que se puedan presentar en las organizaciones.

Software ISOTools para la Gestión de Riesgos Corporativos

El Software para la Gestión de Riesgos Corporativos de ISOTools es un gran aliado para el seguimiento y monitoreo de cualquier riesgo identificado en su organización, independientemente de su perfil u origen.

Establecer medidas y tomar decisiones mediante las matrices de gestión de riesgos de nuestro software es muy sencillo, ¿quiere saber cómo?

ISO 37301 apartado 8

Cómo plantear inquietudes, crear controles e investigar; a la norma ISO 37301 no se le escapa nada y estamos seguros de que si implementas este estándar de forma adecuada tendrás resultados sobresalientes.

El texto explica minuciosamente cuál debe ser nuestro proceder si queremos asegurar el éxito. Una muestra de ello es el apartado A.8, que lleva por título Operación. El primer punto (8.1) se trata de Planificación y control operativo y nos insta a crear un sistema de gestión de compliance robusto y que contenga una cultura de cumplimiento sostenida en políticas, procesos, procedimientos e identificación y evaluación de riesgos de compliance. Al leer este punto es evidente el énfasis que se hace en la creación de un código de conducta que recoja el compromiso de todo el personal y que sea acogido por cada trabajador de la organización

El otro aspecto relevante del 8.1 trata de controles, pero ¿Cómo podemos tener controles, de dónde surgen? Es muy importante tener en cuenta que ellos se derivan de los riesgos identificados. Mientras más personas se involucren en la identificación de riesgos, más probable será que existan controles efectivos.

Por último, estos controles tienen que estar recogidos en los procesos, ser extensivos a servicios de terceros y proveedores mediante la debida diligencia. Se debe crear un pacto que asegure que los subcontratados están verdaderamente comprometidos con el compliance y un acuerdo en el que se expongan las obligaciones legales y de compliance. Después de todo, la norma considera como socios a los servicios de outsourcing. ¿Qué se espera de la organización, en este sentido? Lo ideal es que supervisemos y controlemos los bienes, servicios y procesos relevantes para el sistema de gestión de compliance que suministren los terceros.

Orden y eficacia en la ISO 37301

Si continuamos leyendo la norma nos toparemos con el apartado 8.2 Establecimiento de controles y procedimientos. Allí se expresa que los controles deberían prevenir, detectar y corregir incumplimientos. También se puntualiza que los controles tienen que revisarse, actualizarse y comprobarse, para verificar que sean eficaces y que en la práctica sean tan buenos como cuando fueron creados. ¿A qué nos referimos con controles, concretamente? Pueden ser: autorizaciones, planes, evaluaciones, auditorías, políticas, procedimientos e instrucciones de trabajo documentados, precisos y fáciles de seguir; identificados claramente.

¿Implementar uno o más controles es muy costoso en relación con los beneficios que producen? No dudes consultar a un asesor experto si esto sucede. Además, asegúrate de medir la eficacia de cada control con una herramienta adecuada, puesto que hay diferentes tipos de controles, pueden ser preventivos, detectores, automáticos, manuales, entre otros.

¡Tengo una inquietud!

Sí, la norma ISO 37301 en su apartado 8.3 nos instruye acerca de cómo debemos expresar nuestras dudas, consultas y aprehensiones. En este punto titulado Plantear inquietudes queda claro que las sospechas, intentos y violaciones concretas a la política de compliance, código de conducta, requisitos y compromisos de cumplimiento deben ser tratadas como proceso visible, transparente y de fácil acceso para todos los colaboradores. Las declaraciones y/o reportes deben contar con carácter confidencial, así como la identidad de los denunciantes. Es vital disponer de canales de denuncias variados, que sean de conocimiento del colectivo y que el anonimato esté garantizado, para que el denunciante esté amparado y protegido ante cualquier posible represalia. Denunciar es un deber y un derecho, así necesitamos percibirlo y comunicarlo al equipo de trabajo.

Plantear para luego investigar

Una vez que las denuncias o inquietudes fueron formuladas debe activarse un proceso investigativo que aclare los hechos. Cuando los colaboradores sean testigos de que se llevan a cabo las indagaciones pertinentes, tendrán la certeza de que el compliance es un tema serio y que se tomarán las medidas disciplinarias que convengan. El punto 8.4 de la norma nos anima a hacer investigaciones imparciales, independientes y sin conflictos de intereses. ¿Qué haremos tras conocer los resultados de las investigaciones? Estaremos en capacidad de tomar decisiones justas y de mejorar el sistema de gestión de compliance tras haber evaluado, valorado y cerrado los casos.

Dependiendo de la gravedad y envergadura de las pesquisas, la dirección y el órgano de gobierno deben ser informados. Recomendamos enérgicamente mantener información documentada surgida de las investigaciones y crear un comité o grupo independiente que evalúe y dé seguimiento a las investigaciones.

Software Compliance de ISOTools ISO 37301

Implementar un sistema anticorrupción y aplicar una lista de verificación para un sistema de compliance como esta resulta mucho más fácil si se cuenta con una herramienta tecnológica avanzada que estructura el sistema y facilita cada tarea.

Así lo hace el  Software Compliance de ISOTools específicamente diseñado para abordar cada componente de un sistema antisoborno con éxito. Esta solución ofrece funcionalidades apropiadas, por ejemplo, para una gestión óptima de los ciclos de tareas y flujos de documentación, para la aplicación ágil de la debida diligencia o para alentar la denuncia a través de canales que protegen el anonimato y facilitan las investigaciones

Conozca más sobre esta solución preguntando a uno de nuestros asesores.

ISO 37301 apartado 7

El punto 7 de la norma ISO 37301 – Sistemas de gestión de compliance es uno de los más extensos e importantes del estándar y se titula Soporte (en algunos estándares la traducción al castellano de esta sección se le denomina apoyo en la HLS).

A lo largo del desarrollo de este punto el texto hace hincapié en la relevancia de que existan los recursos necesarios para implementar el sistema de gestión de compliance (CMS), el personal sea competente en cuanto a compliance, el proceso de contratación sea transparente, entre otros. En vista de que son tópicos importantes, los desglosamos y explicamos en 12 claves para comprender el punto 7 de la 37301:

1. ¿Te ha dado la impresión de que en la organización se espera que las cosas simplemente sucedan como si se tratara de magia? Pues bien, el compliance no puede resolverse con implementos, equipos y trabajadores de aquí y allá, deben asignarse recursos tecnológicos, financieros, materiales y humanos destinados a establecer, implementar, mantener y mejorar el SGC. El punto 7.1 de la norma se refiere, precisamente, al tema de los recursos.

2. Como mencionamos en el punto anterior, los recursos humanos son primordiales. En la organización debería haber contribución continua de todo el personal como para que el área de compliance se encuentre cubierta y sea posible cumplir los requisitos de la norma. De no existir responsables, sería conveniente contratar externamente el compliance officer. En cualquier caso, el personal encargado tiene que ser competente para llevar a cabo las tareas de compliance que le toque desarrollar, tal como lo indica el punto 7.2 de la norma, referido a las competencias. ¿Cómo garantizar el cumplimiento de este apartado? Una forma eficaz de hacerlo puede ser crear un perfil de profesional ideal para determinado cargo y otro perfil real del trabajador. Ambos perfiles se pueden comparar y contrastar con el propósito de analizar qué competencias (educación, experiencia y formación) requiere el empleado y cómo se le pueden brindar.

3. En el CMS participarán todos colaboradores. Por esto es recomendable brindar capacitaciones puntuales por cada función del sistema de gestión. Es especialmente importante reforzar los conocimientos de quienes desempeñarán roles cruciales.

4. No olvides que existen diferentes maneras de recibir la formación en compliance: cursos, carreras, diplomados, charlas, mentorías, entre otras. ¿Las capacitaciones ya fueron hechas? ¡Fantástico! Solo recuerda mantener registros de cada una, pues ellas se convertirán en evidencias e información documentada.

5. El apartado 7.2.1 de la ISO 37301 trata sobre generalidades y es enfático en que las personas encargadas de compliance tengan la formación, educación y experiencias adecuadas. ¡Nada de improvisación! El compliance engloba aspectos financieros, administrativos, operativos y reputacionales. La falta de competencias del personal podría traducirse en riesgos capaces de paralizar la organización.
6. El proceso de contratación es abordado en el punto 7.2.2 de la norma y en él la palabra transparencia cobra relevancia, puesto que para contratar y promover personal debemos ser particularmente honestos. En este sentido, se sugiere estructurar el proceso de tal forma que no existan conflictos de intereses o tráfico de influencias. Además, solo podrán ser contratados quienes se comprometan a cumplir con las políticas, obligaciones y procedimientos de compliance.
7. ¿Existen funciones en que los trabajadores estén expuestos a los riesgos de compliance? En estos casos se deberá llevar a cabo un proceso de debida diligencia sobre el personal.

8. Revisar los objetivos de desempeño, las bonificaciones por logros obtenidos y otros incentivos, es conveniente porque estas medidas ayudan a fomentar el cumplimiento. Quienes incumplan también deberán someterse a acciones disciplinarias.
9. La formación es tan importante que el apartado 7.2.3 se dedica exclusivamente a ella. El texto indica que el personal requiere formación no solo al inicio de la contratación, sino que las inducciones deben impartirse regularmente y con la frecuencia que la organización estime. ¿Esto sucede porque ISO 37301 es particularmente exigente? No, simplemente el contexto es cambiante y las obligaciones de compliance varían. Por ejemplo, las leyes son modificadas o se promulgan nuevas, se involucran otras partes interesadas, surgen nuevos procesos o procedimientos, se crean nuevas políticas y reglamentos, entre otros. Te sugerimos crear un plan de capacitaciones y chequearlo cada cierto tiempo para verificar que se cumpla y se mantenga actual.
10. Asegúrate de construir una cultura de compliance basada en la consciencia. Para esto los trabajadores deben conocer por qué es importante el compliance, cuáles son los riesgos y consecuencias de incumplir, qué ganamos si cumplimos… la idea es que logremos que los trabajadores cumplan de manera voluntaria, que estén verdaderamente convencidos de hacerlo. ¿Qué te sugerimos para conseguirlo? Podrías servirte de herramientas como la gamificación (aprender jugando), videos informativos, trípticos y folletos, material interactivo, infografías, entre otros. De esto trata el punto 7.3 del estándar.

11. La comunicación (apartado 7.4) nos ayuda a dar a entender los fundamentos del compliance. ¿Qué debemos considerar? Aspectos que podrían entorpecer o dificultar la efectividad del mensaje, como diversidad cultural, idiomas y opiniones de otras partes interesadas. Aconsejamos la creación de un modelo de comunicaciones que contenga el tema a abordar, fecha, destinatarios, quiénes elaborarán las comunicaciones y a través de qué medios lo harán. De esa forma lograríamos estandarizar las comunicaciones de manera eficaz.
12. La norma ISO 37301 se refiere a la información documentada a lo largo del texto. Se exige dejar registros del alcance del CMS, de las obligaciones de compliance, política, objetivos y evaluación de riesgos. No es obligatorio contar con más información documentada que esa, pero sí es deseable que haya más información para poder garantizar la eficacia del CMS. Podríamos mencionar la importancia de contar con registros de las asignaciones de cargos, funciones y responsabilidades, procedimientos, políticas, planes, programas, acuerdos, códigos, manuales y demás. Esto constituye un control interno ordenado y confiable. Desde el apartado 7.5 hasta el 7.5.3 se refieren a la importancia de que la información documentada se encuentre disponible para las partes pertinentes, se controle adecuadamente la estructura documental y la información sea clasificada de forma adecuada.

Software Compliance de ISOTools

Implementar un sistema anticorrupción y aplicar una lista de verificación para un sistema de compliance como esta resulta mucho más fácil si se cuenta con una herramienta tecnológica avanzada que estructura el sistema y facilita cada tarea.

Así lo hace el  Software Compliance de ISOTools específicamente diseñado para abordar cada componente de un sistema antisoborno con éxito. Esta solución ofrece funcionalidades apropiadas, por ejemplo, para una gestión óptima de los ciclos de tareas y flujos de documentación, para la aplicación ágil de la debida diligencia o para alentar la denuncia a través de canales que protegen el anonimato y facilitan las investigaciones

Conozca más sobre esta solución preguntando a uno de nuestros asesores.

ISO 37301 5.3.2

En ocasiones las normas no son tan específicas como deseamos y si queremos implementarlas de forma eficaz necesitamos encontrar el sentido de cada frase para saber de qué forma el estándar se relaciona con nosotros, nuestra organización y la forma en que asumimos los quehaceres, objetivos, operaciones, finanzas, administración, calidad, y, por supuesto, compliance.

Tal como un engranaje, cada elemento del sistema de gestión de cumplimiento cumple un rol vital para que el desempeño de este sea óptimo. La función de cumplimiento se encarga de que el CMS marche correctamente. Es decir, este apartado, que corresponde al número 5.3.2 de la norma ISO 37301 – Sistemas de gestión de compliance, es el más importante del estándar. ¿Por qué? Porque, aunque todos los puntos describen responsabilidades, lo que debemos hacer y lo que es deseable, la función de compliance abarca la mayor cantidad de obligaciones. A continuación, extraemos cada uno de los aspectos que atañen a la función de compliance según la norma:

• facilitar la identificación de las obligaciones de cumplimiento;
• documentar la evaluación del riesgo de cumplimiento;
• alinear el sistema de gestión del cumplimiento con los objetivos de cumplimiento;
• monitorear y medir el desempeño del cumplimiento;
• analizar y evaluar el desempeño del sistema de gestión del cumplimiento para identificar cualquier necesidad de acción correctiva;
• establecer un sistema de documentación y presentación de informes sobre el cumplimiento;
• asegurarse de que el sistema de gestión del cumplimiento se revise a intervalos planificados;
• establecer un sistema para plantear inquietudes y garantizar que estas se aborden.

¡Pero esto no es todo! La función de compliance debe supervisar que las obligaciones de cumplimiento se asignen correctamente en toda la organización y que estén integradas en políticas, procesos y procedimientos. Y como las responsabilidades no terminan, recomendamos que todo el peso del compliance recaiga en un equipo y no en una persona. En vista de que se requieren conocimientos sólidos y actuales sobre leyes, reglamentos, códigos y normas organizativas pertinentes, es viable la posibilidad de contratar un servicio externo que se encargue de estas tareas. Independientemente de que los quehaceres sean asumidos por miembros propios o ajenos a la organización, se les deben asignar los recursos necesarios, así como el personal, la información documentada y los datos pertinentes.

Un superhéroe del compliance ISO 37301

Si la organización en la que se imple mentará el SGC es muy pequeña o no existe la posibilidad de tercerizar algunas responsabilidades de compliance, podemos definir el alcance del sistema de gestión e instruir a los encargados de compliance en cuanto a las mejores prácticas de compliance, leyes aplicables, reglamentos vigentes, acuerdos y normas. Es importante que los encargados del cumplimiento estén versados en estos temas para que puedan impulsar operativamente el SGC mediante las actividades puntuales que la ISO 37301 detalla. ¿A qué te suena este perfil? ¡A nosotros se nos parece a un superhéroe del compliance! Y sus superpoderes tendrían que ser:

• La capacidad de definir el alcance del sistema de gestión.
• El poder de definir funciones y riesgos.
• La habilidad de crear la estructura de la función de compliance (es decir, qué tareas se llevarán a cabo y quiénes las ejecutarán).

Para que los villanos no ganen, cuando los puntos anteriores estén precisados, sería conveniente crear documentos que contengan los perfiles requeridos y quiénes asumirán cada labor, de modo que esté clara la forma en que se llevará a cabo – y por quienes – la función de compliance.

¿Y cómo quedará nuestro superhéroe? Pues creemos que un exceso de responsabilidades podría convertirse en una especie de kriptonita para este ejecutivo con capa. Por esto es importante que en cada área de la organización asuman roles puntuales que no debiliten a un encargado único. Recordemos que este personaje cuenta con buena fe e interés en la planificación, organización y construcción del sistema. Tan loables metas ameritan acompañamiento de un equipo de trabajo capaz de poner en práctica:

• Comportamiento ético.
• Control de la eficacia de las prácticas ejecutadas por y para el SGC y la introducción de los cambios necesarios.
• Garantizar la integridad, independencia y disponibilidad de los informes que den cuenta sobre cumplimiento.
• Asegurar una base eficaz para el compliance (coherente con el Estado de Derecho, promover la transparencia y eficacia, repartir claramente responsabilidades y definir autoridades supervisoras, reglamentarias y ejecutivas.
• Actuar entendiendo que la labor desempeñada influye en la reputación de la empresa, en los clientes internos y externos, en la economía nacional, en la integridad de los mercados y en el fomento de la transparencia.

Los instrumentos básicos con los que cuenta la función de cumplimiento según ISO 37301 son:

• Código de ética
• Programa de cumplimiento
• Canal de denuncias
• Proceso de investigación
• Revisión por la función de compliance.

Para instrumentarlos contar con herramientas de digitalización potenciaría la eficacia de la función de compliance, ISOTools cuenta con una Digital Compliance Office que sirve para gestionar desde un SaaS todas sus responsabilidades y autoridades y una interacción intuitiva con las partes interesadas que contribuye activamente con la mejora continua del sistema de gestión de compliance

Como recomendación final que hace la ISO 37301 en su anexo A: la función de compliance debería tener autoridad, respaldo e independencia.

Autoridad: significa que el órgano de gobierno y la alta dirección conceden poderes suficientes a la función de compliance.

Respaldo: significa que es probable que otros empleados escuchen y respeten su opinión.

Independencia: significa que el involucramiento personal de la función de compliance se encuentra lo más alejada posible de las actividades expuestas a riesgos de compliance.

Software Compliance ISOTools

Implementar un sistema de gestión compliance y aplicar una lista de verificación para un sistema de compliance como esta resulta mucho más fácil si se cuenta con una herramienta tecnológica avanzada que estructura el sistema y facilita cada tarea.

Así lo hace el Software ISOTools específicamente diseñado para abordar cada componente de un sistema Compliance con éxito. Esta solución ofrece funcionalidades apropiadas, por ejemplo, para una gestión óptima de los ciclos de tareas y flujos de documentación, para la aplicación ágil de la debida diligencia o para alentar la denuncia a través de canales que protegen el anonimato y facilitan las investigaciones

Conozca más sobre esta solución preguntando a uno de nuestros asesores.

Riesgos Corporativos

La gestión del riesgo dentro de la organización, debe tener como buena práctica de gestión, una estructura definida que sirva como guía al equipo de riesgos en la ejecución de tareas de forma lógica y en los tiempos que se requiere, facilitando la ejecución de cada etapa de los riesgos identificados, hasta que se elimine o mitigue el impacto, a través de la aplicación de controles.

Dentro del sistema de gestión de riesgos es importante tener un marco de referencia que de claridad sobre las responsabilidades que tiene cada nivel jerárquico dentro de la organización. Esta estructura debe permitir a todos los integrantes de la organización, identificar el rol que tienen dentro de la gestión del riesgo y al equipo que tendrá la tarea de orientar los esfuerzos.

La definición de objetivos de direccionamiento, deben estar alineados con la gestión del riesgo, donde la ejecución de las tareas que se asignan a responsables de diferentes procesos, aporta al cumplimiento de las metas definidas y que a mediano plazo permite crear una cultura de prevención frente a situaciones inesperadas con impacto negativo para la organización.

Dentro de la gestión del riesgo es importante analizar todas las etapas desde diferentes puntos de vista, con el fin de controlar todos los frentes donde el riesgo se puede presentar. dentro de la gestión hay niveles que no intervienen de forma directa en la definición de los controles, sin embargo, es necesario informar las tareas nuevas que se deben implementar para la eficacia de los controles.

El marco de trabajo del sistema de gestión del riesgo, no tiene efectividad si opera de manera aislada, los diferentes sistemas que se implementan en la organización, tienen uniformidad en la ejecución de algunas tareas y que, al integrarlos, aportan de forma equilibrada al porcentaje de cumplimiento de cada uno. Por esta razón la integración de los sistemas de gestión, evita reprocesos para el equipo de riesgos.

Todo sistema de gestión depende de la planificación, donde cualquier persona de la organización, independiente del proceso al que pertenezca, será el responsable de ejecutar tareas que aporten a la gestión del riesgo, en estos casos es de gran ayuda definir roles con el nivel de responsabilidad correspondiente, para que desde su actividad diaria implemente controles para evitar la ocurrencia de riesgos.

El diseño del sistema de gestión del riesgo, toma como base el nivel de conocimiento del equipo de gestión, sobre la organización y la eficacia en la comprensión de las operaciones, implementar un sistema sin conocer la realidad de la organización, involucra al equipo en el diseño de un sistema sobredimensionado o, en el caso contrario, uno con falta de recursos para funcionar.

Es fundamental que la planificación del sistema de gestión del riesgo, permita identificar la tipología de recursos y cantidades que se requiere para la implementación y funcionamiento de los programas y controles. La gestión de recursos debe estar ajustada a la realidad de la organización y la solicitud debe hacerse con anticipación para que la alta dirección lo incluya en el presupuesto anual.

La implementación de un sistema de gestión requiere la asignación de recursos de diferente tipo, como son humanos tecnológicos y financieros, pero un factor de vital importancia que traza metas dentro de la gestión, son los plazos definidos para la ejecución de las tareas ya que de esta forma se garantiza la correcta implementación del sistema de gestión.

Medir la gestión realizada por diferentes responsables de proceso o del sistema, permite al equipo encargado del riesgo, tomar decisiones para el buen funcionamiento o mejoramiento del sistema de gestión; es aquí donde los indicadores de gestión toman su lugar y aporta información que permite cuantificar el porcentaje de cumplimiento de las tareas asignadas.

Los indicadores son una herramienta efectiva al momento de valorar el cumplimiento general del sistema de gestión, estos deben estar aplicados con frecuencias periódicas que den el espacio al sistema para funcionar y recopilar información para el análisis conocer el comportamiento del sistema de gestión del riesgo frente a factores internos y externos.

Software ISOTools

El Software ISOTools para la Gestión de Riesgos Corporativos, es un gran aliado para el seguimiento y monitoreo de cualquier riesgo identificado en su organización, independientemente de su perfil u origen.

Establecer medidas y tomar decisiones mediante las matrices de gestión de riesgos de nuestro software es muy sencillo, ¿quiere saber cómo?

Cumplimiento en HSE

Para tener un control total del cumplimiento HSE, es necesario conocer todos los pasos que hay que seguir en dicho proceso. En la gestión HSE (Health, Safety and Environment), el primer paso del proceso comienza con una fase previa en la que el responsable de proceso define las reglas que se seguirán durante la ejecución de un check list o lista de chequeo.

Tras haber establecido las reglas, el inspector o evaluador llevará a cabo esos check list predefinidos en el lugar establecido. De igual modo, uno de los pasos más importantes es establecer acciones de mejora en base a los hallazgos identificados.

Un paso clave para lograr el control total del cumplimiento en HSE es realizar un monitoreo de las actividades, para ejecutar el seguimiento, medición y análisis de la gestión HSE. Esto nos proporcionará la información necesaria para adoptar las decisiones más adecuadas.

Tener el control total del cumplimiento HSE en una organización ayudará a evitar sanciones y multas derivados de incumplimientos de salud, seguridad en el trabajo y medio ambiente.

Para controlar todo este proceso, hoy os planteamos la automatización a través de un software como ISOTools.

Se trata de una herramienta tecnológica que permite el establecimiento de reglas a seguir durante el desarrollo de las listas de chequeo y la definición de acciones. A continuación, se llevará a cabo la automatización del proceso incluyendo mejoras y por último podrá tomar decisiones gracias a tener la información en una potente herramienta.

Software para el control total del cumplimiento en HSE

Con ISOTools, las organizaciones contarán con soluciones que den cumplimiento a las necesidades requeridas en cada una de las etapas del proceso HSE.

Un aspecto a tener en cuenta una vez que las organizaciones quieran automatizar el proceso HSE, es que el software cuente con tecnología mobile para realizar evaluaciones de todo tipo en terreno si es necesario y conocer en tiempo real los resultados.

ISOTools cuenta con esta tecnología y permite que se realicen:

• Diagnósticos
• Auditorías
• Inspecciones
• Accidentes
• Hallazgos
• No Conformidades
• Evaluaciones
• Autoevaluaciones

Mantener el control de toda la gestión HSE (Health, Safety and Environment) y llevar a cabo análisis predictivos, ayuda a disminuir incidentes y accidentes laborales y ambientales en una organización.

ISOTools te permite planificar todas las actividades vinculadas con la seguridad, salud y medio ambiente; inspecciones, capacitaciones, vigilancia de la salud, revisión de EPPs, etc., para que si es necesario, se ejecuten en terreno. También es imprescindible usar este software, el cual ayuda a conocer el grado de avance en tiempo real de las actividades, y dar seguimiento al cumplimiento para tener bajo control el avance de las actividades y tomar decisiones.

Con la app mobile ISOTools Checklist, se podrán ejecutar listas de chequeo programadas en los PCO en terreno de forma ágil y sencilla, aunque no haya conexión a internet. La aplicación hace posible adjuntar evidencias de los hallazgos o incumplimientos en diferentes formatos (fotografías, audios y anotaciones por reconocimiento de voz).

ISOTools le permite reportar en el mismo lugar del incidente desde cualquier dispositivo mobile, y puede configurarse para que de forma automática se envíen las alertas a los responsables y teniendo en cuenta la criticidad por ejemplo del incidente.

Un aspecto importante en un sistema HSE, es la gestión de riesgos. Con ISOTools vas a poder gestionar todo el ciclo de riesgos, desde la identificación, evaluación del riesgo inherente y residual, aplicación de controles, hasta los planes de mejora.

A través del software, las organizaciones pueden visualizar de un modo muy sencillo el nivel de exposición al riesgo mediante mapas de calor en tiempo real y también ofrece información al detalle de todos sus riesgos para que, si se necesita, se puedan llevar a cabo comparativas y análisis.

Para dar seguimiento a los indicadores, ISOTools cuenta con un Dashboard, permite generar informes personalizados que se enviarán automáticamente a través de email y de igual modo, se podrá controlar las desviaciones y cumplimientos de compromisos y actividades en tiempo real.

La información es uno de los activos más importantes en las organizaciones, por eso con el módulo de Business Intelligence de ISOTools puede consultarse la información a través de potentes gráficos que simplifican la toma de decisiones interactivamente.

Solicite más información sin compromiso para conocer cómo ISOTools podrá ayudarle durante la gestión del sistema HSE de su organización, para ello, tiene que contactarnos haciendo clic aquí.

ISO 37301 apartado 4.1 – Comprensión de la organización y su contexto

Si la norma ISO 37301 se te hace compleja porque su publicación es muy reciente o porque el tema de compliance abarca aspectos legales, financieros y administrativos difíciles de aprender de inmediato, tenemos una solución para ti: nuestros expertos de ISOTools se han dedicado arduamente a interpretar el estándar para aportarte conocimiento sobre los aspectos más relevantes de la ISO 37301.
¿Qué te ofrecemos hoy? Primero, te evitamos leer la norma completa, pues sabemos que si no estás familiarizado con los sistemas de gestión, la tarea puede ser molesta. Segundo, nos enfocamos en un aspecto primordial de la norma, se trata del requisito 4.1, que aborda la comprensión de la organización y su contexto.

La primera aclaración está referida a la necesidad básica de que reconozcamos que una organización no es un ente aislado, sino que forma parte de una comunidad, ecosistema, ciudad, país y continente regido por normas puntuales, y que, para integrarse y relacionarse de forma eficaz, requiere hacerlo desde una cultura y consciencia de cumplimiento, integridad, transparencia y honestidad en cuanto a la prevención de delitos y promover la transparencia y la buena relación con los requisitos de las partes interesadas, en general.

¿Por qué es importante cumplir? Las razones son muchas, pero las más relevantes son el ahorro y reducción de costes, riesgos y daños, aumento de la confianza de clientes y partes interesadas y mejora de la reputación de la empresa.

¿Cómo hacer que los colaboradores comprendan este punto? La alta dirección tiene que promover el compromiso de los colaboradores y socios de negocio, es un factor clave en el éxito de las políticas, procedimientos y programas de cumplimiento. Para lograr el apoyo requerido se pueden otorgar incentivos que motiven a cumplir. Los tipos de incentivos pueden ser financieros (bonos, ascensos, aumento de sueldo…), o no financieros (reconocimiento, formación, eventos, copeeración…).

¿Quiénes somos y hacia dónde vamos?

Aunque los filósofos se hacen estas preguntas desde los inicios de la profesión y hay miles de respuestas posibles, en las empresas necesitamos ser muy precisos al respecto. Es clave que determinemos:

• ¿La organización es de tipo jurídico o mercantil?
• ¿La empresa pertenece al sector público o privado?
• ¿Cuál es el nivel de internacionalización?
• ¿Busca o no el lucro?
• ¿Se trata de una empresa o grupo de empresas?
• ¿Cuáles son los órganos de gobierno y de administración?
• ¿En qué países y sectores opera la organización y cuáles son las leyes y regulaciones que se deben cumplir?
• ¿Cuál es la naturaleza, escala y complejidad de las actividades y operaciones de la compañía?
• ¿Cuál es el nivel de formación e idiomas del personal?
• ¿Cuál es la complejidad de los procesos y de las relaciones con las partes interesadas?
• ¿Qué actividades lleva a cabo la empresa y qué tan complejas son?
• ¿Cuál es la estrategia de negocio y de la organización?
• ¿Cuánta propensión al riesgo de incumplimiento existe?

Y todas las interrogantes que se consideren pertinentes para hacer un análisis completo para saber la realidad de la organización en un momento específico.

¿Qué o quiénes se oponen a que cumplamos nuestros propósitos?

Consideramos particularmente trascendental que seamos capaces de determinar cuáles son los objetivos de compliance de la organización y qué problemas existen dentro y fuera de la empresa que pueden atentar contra tales propósitos.

La norma ISO 37301 no establece un método concreto para hacer el análisis de contexto, por eso somos libres de emplear las herramientas de nuestra preferencia. Una de las más populares y completas es la matriz FODA (fortalezas, oportunidades, debilidades y amenazas), que contempla aspectos internos (debilidades y fortalezas) y externos (amenazas y oportunidades). Esta herramienta puede complementarse con informes de expertos (como abogados que expliquen el contexto legal y regulatorio), estudios sobre la competencia, estudios de mercado, el método Delphi, las 5 fuerzas de Porter, entre otros.

La empresa es libre de utilizar el o los métodos que más le convengan, también de combinarlos según su elección. Todo dependerá de los aspectos a analizar y la forma en que se desee abordarlos.

Los riesgos acechan

Mientras más ligadas estén las actividades empresariales a los gobiernos y a la Administración Pública, más riesgos existirán. Cuando se identifiquen las amenazas más importantes, se pueden elaborar planes de acciones que ayuden a potenciar las fortalezas, gestionar las amenazas y detectar y aprovechar las oportunidades. ¿Suena difícil? Bueno, no te mentiremos, el análisis no es un trabajo sencillo, por eso es que se debe hacer con el compromiso con las personas de mayor nivel de autoridad en las organizaciones. Pero para ello puedes contratar apoyo externo, siempre hay consultores experimentados dispuestos a ayudarte.

¿Qué recomendaciones hay para la comprensión de la organización y de su contexto en el marco de la ISO 37301?

El propósito del 4.1 es dar lugar a la comprensión de la organización (por ejemplo, estratégica) de las cuestiones relevantes que puedan afectar su capacidad de cumplir los compromisos que tienen con los socios de negocio y otras partes interesadas. Los conocimientos obtenidos se utilizan entonces para orientar el enfoque hacia la planificación, implementación, operación y mejora del sistema de gestión del compliance.

La comprensión del contexto consiste en un proceso para revisar toda la información disponible de la organización: lo que hace, dónde, cómo y por qué. Se realiza una evaluación de factores externos y factores clave por su impacto en la organización en términos de sus obligaciones de compliance.

Las obligaciones de compliance más obvias proceden de los contextos legales y regulatorios en los que una organización opera, pero las obligaciones o los riesgos también podrían surgir de otros factores internos que definen el funcionamiento de la organización y la entrega de sus bienes y servicios a sus clientes. La organización debería también considerar las tendencias futuras pertinentes que podrían tener un impacto, por lo tanto este proceso se debe repetir a intervalos planificados, y dada la dinámica actual, estos intervalos deberían ser de corto plazo para estar atentos del devenir de las circunstancias.

Los factores internos también deberían tomarse en consideración. En la ISO 37301 se incluyen algunos ejemplos. La lista no es exhaustiva, pudiendo haber otros que sean pertinentes para una organización y el alcance definido para su sistema de gestión de compliance. A continuación presentamos la lista que menciona la norma:

• el modelo de negocio, que incluye la estrategia, la naturaleza, el tamaño y el nivel de complejidad y sostenibilidad de las actividades y operaciones de la organización;
• la naturaleza y el alcance de las relaciones comerciales con terceras partes;
• el contexto legal y regulatorio;
• la situación económica;
• los contextos social, cultural y ambiental;
• las estructuras, políticas, procesos, procedimientos y recursos internos, incluyendo la tecnología;
• su cultura de compliance.

Finalmente, hay un debate intenso en que si se debería o no conservar información documentada del análisis del contexto, si bien la norma ISO 37301 no hace mención explícita a un requisito de contar con una evidencia documentada, la mejor práctica es que se conserven registros que permitan hacer revisiones periódicas y al estar documentada ayuda la continuidad del análisis y comprender mejor el historial de una organización, que como su contexto está en constante cambio.

¿Necesitas entender y aplicar otros requisitos de la norma ISO 37301? Entonces no te pierdas nuestros próximos artículos.

Software ISO 37001 de ISOTools

Implementar un sistema anticorrupción y aplicar una lista de verificación para un sistema antisoborno como esta resulta mucho más fácil si se cuenta con una herramienta tecnológica avanzada que estructura el sistema y facilita cada tarea.

Así lo hace el  Software ISO 37001 de ISOTools específicamente diseñado para abordar cada componente de un sistema antisoborno con éxito. Esta solución ofrece funcionalidades apropiadas, por ejemplo, para una gestión óptima de los ciclos de tareas y flujos de documentación, para la aplicación ágil de la debida diligencia o para alentar la denuncia a través de canales que protegen el anonimato y facilitan las investigaciones

Conozca más sobre esta solución preguntando a uno de nuestros asesores.

ISO 31000

La palabra riesgo aparece en el panorama y en la organización poco preparada todo se torna gris. La continuidad del negocio se ve amenazada. La perspectiva de que tanto esfuerzo en levantar la empresa se diluya en la incertidumbre de lo que sucederá – o la certeza de que lo que viene es muy malo – es aterradora. Los resultados – lamentablemente – son bastante conocidos: despidos, multas, estrés laboral, accidente, etc. Estas consecuencias y el cúmulo de pensamientos que se nos vienen a la cabeza cuando abordamos el tema de los riesgos podrían ser muchísimo más llevaderos si de la amalgama terrorífica sacamos ideas claras, por ejemplo:

• ¿Cuáles son los tipos de riesgos que existen?
• ¿Cuáles de ellos atañen a mi organización?
• ¿Puedo mitigar, aceptar o transferir los riesgos?

En este texto nos referiremos a la primera interrogante, pues estamos convencidos de que darle forma a cada riesgo y asignarle una clasificación es una manera de comprenderlo. Solo entonces estaremos en capacidad de abordarlo, puesto que no se puede gestionar lo que se desconoce.

El riesgo es definido por la norma ISO 31000 2018 – Gestión de riesgos como el efecto de la incertidumbre sobre los objetivos. Trabajar con el estándar nos ayuda a tomar decisiones, establecer y lograr objetivos y mejorar el desempeño. Gracias a este texto podemos inferir que toda organización está sometida a un conjunto de riesgos. Ellos comprenden varios niveles:

• Riesgos estratégicos: están relacionados con los objetivos estratégicos de la organización. Por ejemplo, si la estrategia de una organización apunta a introducirse en nuevos mercados, pero se desconocen las consecuencias de incumplir las expectativas de los clientes y usuarios, se incurriría en un riesgo estratégico.
• Riesgos operacionales: Tienen que ver con el propósito de los procesos que componen el negocio. Se presentan en la ejecución de tales procesos, y, si se materializan, pueden imposibilitar que la organización o parte de ella cumpla su función. A su vez se subdividen en:

• Riesgos tecnológicos: Aluden a los equipos de tecnologías de información y comunicación y/o sus operaciones. Por ejemplo: sistemas operativos, aplicaciones, comunicaciones en las redes, entre otros. También abarcan ciberseguridad, privacidad y seguridad de la información.
• Riesgos financieros: Apuntan a las operaciones financieras, como pagos, deudas, ofertas, cobros y costos.
• Riesgos legales: Están ligados al cumplimiento de los requisitos legales y reglamentarios.
• Riesgos reputacionales: Son aquellos que tienen que ver con la imagen de la organización ante terceros.

• Riesgos de procesos: Son riesgos relacionados con los resultados de un proceso y sus interacciones. Si se materializan, afectan la eficacia y la eficiencia de la organización.
• Riesgos de proyecto: Se presentan durante el ciclo de vida de un proyecto y pueden tener las mismas características de los riesgos operacionales localizados en esa fracción de tiempo que representa el proyecto.

Cultura del riesgo

Muchas grandes empresas que durante años fueron referencias de éxito han enfrentado riesgos que no han podido gestionar con eficacia. Kodak, Nokia y Toshiba son algunos ejemplos. Pero estos fracasos pueden resultar aleccionadores para las organizaciones que siguen en pie. Una de las múltiples enseñanzas que podemos extraer es que es primordial instaurar una cultura corporativa que conciba al riesgo como parte de todas las actividades que se llevan a cabo en la compañía. Esto no quiere decir que siempre debamos pensar que está a punto de ocurrir alguna desgracia, sino que seamos conscientes de que todos los aspectos de la dinámica corporativa acarrean riesgos y que vale la pena adelantarse elaborando una política que exprese cómo se atenderá cada uno. Esta medida carecería de sentido sin la existencia de recursos que sirvan para gestionar los riesgos y sin precisión en cuanto a responsables de cada riesgo. La política y la gestión tienen que ir de la mano de los objetivos, misión, visión, valores y estrategias de la empresa. Sin concatenar estos elementos cruciales sería inviable atender los riesgos eficazmente.

¿Cómo saber si en su empresa existe una cultura del riesgo? Consideramos que sí existe, siempre existe, pues la cultura tiene que ver con la forma en que en la organización se perciben los riesgos, cómo los gestionan, qué conocen sobre ellos, en qué momento se abordan y qué papel adoptan los líderes y equipos de trabajo. Lo que realmente interesa es que esa cultura sea capaz de dotarnos de herramientas que nos ayuden a enfrentar los cambios, innovar, cumplir con la ley, fijar posiciones éticas y atender todo lo que suponga una amenaza capaz de materializarse.

ISOTools como herramienta de Gestión de Riesgos

ISOTools es una excelente herramienta para la implementación de un sistema de Gestión de Riesgos. Además de automatizar y promover una monitorización eficaz del proceso, permite una mejor coordinación de las tareas entre los directivos o responsables que hayan sido delegados para tal función.

Siguiendo los principios y las directrices de la norma ISO 31000, esta herramienta aporta ventajas que merecen ser destacadas:

• Ahorra tiempo durante la ejecución de las tareas.
• Permite realizar auto evaluaciones para definir el estado actual de la organización.
• Permite un mejor registro de los datos de los diferentes procesos.
• Realiza comparativas entre análisis de riesgos.
• Permite visualizar el avance de los proyectos y las actividades.
• Relaciona actividades similares o que guarden relación.
• Ofrece cuadros de mando para ilustrar cualquier momento del proceso.
• Permite la realización de análisis de incidencias.
• Ayuda a monitorizar la ejecución de soluciones específicas.

HSE

Es bastante habitual que las organizaciones cuenten con sistemas HSE con el objetivo proteger la salud, seguridad y medio ambiente de forma integrada, debido a que los mercados lo están exigiendo cada vez más para poder acceder a nuevas perspectivas. De este modo, al contar con un mundo globalizado y con gran competencia, permite que las organizaciones que implementen un sistema HSE marquen la diferencia con el resto de organizaciones y sean más exitosas.

Es de esta manera como las organizaciones trabajan para dar cumplimiento al sistema de gestión HSE (Health, Safety and Environment) y así emplearlo como un instrumento que mejora el proceso para adoptar decisiones y agregando proactividad. El sistema de gestión HSE afecta positivamente en las organizaciones, por ejemplo, sobre las estrategias que se centran en perseguir la minimización de los riesgos que se producen en la organización en el ámbito de la salud y seguridad laboral y medio ambiente, las nuevas oportunidades de mercado y la prestación de nuevos servicios y productos.

El sistema de gestión HSE genera para las organizaciones independientemente de si son de ámbito público o privado grandes beneficios.

Pero, ¿de qué va a depender de que se realice el cumplimiento del sistema de gestión HSE y se sustente optimizado?

Primordialmente va a depender de:

• El empleo de mejores prácticas
• El compromiso y la participación de los trabajadores de la organización mediante la instauración de una cultura de mejora continua.

Mejores prácticas para el cumplimiento del sistema de gestión HSE y su optimización

Normalmente, es un hecho que los departamentos de las organizaciones se convierten en una barrera que es necesario superar para así implementar las mejores prácticas para el sistema de gestión HSE. Cualquier departamento tiene sus propias estrategias, metas y objetivos y es por ello que es muy importante contar con una visión 360 de toda la organización para así establecer formas de trabajar que ayuden a definir una cooperación interna, logrando mejoras sustanciales sobre la colaboración interdepartamental y sea posible alcanzar los objetivos establecidos en el sistema de gestión HSE en vez de gestionarlo de forma individualizada.

Aunque hay más factores que influyen, es una realidad que se producen grandes inconvenientes con motivo de la falta de cultura en materia de salud, seguridad y medio ambiente en la organización. Esto debe gestionarse a nivel global dentro de la organización y no solo a nivel del departamento que más esté implicado.

Para la implementación de estrategias e iniciativas es vital que en la organización se conozca la cultura que se quiere llevar, para que así la integración del sistema HSE sea posible.

La alta dirección en el cumplimiento del sistema de gestión HSE

La alta dirección de la organización juega un papel esencial para lograr que un sistema HSE quede implementado y funcione de forma óptima.

En la empresa, la alta dirección es un actor principal para alcanzar que la cultura en cuanto a mejores prácticas en HSE se propague y establezca tanto en la organización como en todos los trabajadores, independientemente del nivel jerárquico en el que opere.

Para que un cambio se extienda de manera adecuada, es imprescindible que comience desde la cúspide de la pirámide y vaya causando influencia hasta en la base. Es la mejor opción para involucrar a todos y cada uno de los miembros de la organización.

Si la alta dirección no realiza el liderazgo que le corresponde, el sistema de gestión HSE no funcionará de un modo optimizado y en ocasiones, esto se puede deber a que existen diferentes visiones dentro de la dirección.

La alta dirección será la responsable de hacer la revisión para comprobar que el cumplimiento del sistema HSE se produce, también de la comunicación y de la información en cuanto a las mejores prácticas que hay que ejecutar.

Para que todo opere adecuadamente, la comunicación del sistema HSE debe ser efectiva, instaurándose verdaderamente una cultura organizacional, para lo que es necesario tener en cuenta la comunicación efectiva.

En la comunicación efectiva será imprescindible alinear la comunicación con las prioridades de la empresa. Será necesario, por tanto:

• Establecer las audiencias.
• Conocer los objetivos para cada prioridad que se haya definido.
• Determinar y producir mensajes clave.

De igual modo, será vital divulgar la estrategia establecida para ejecutar la comunicación. En este caso, se deberá:

• Seleccionar los canales o vías oficiales de comunicación.
• Determinar la periodicidad en la que se realizará la comunicación.
• Valorar la retroalimentación teniendo en cuenta los comentarios aportados por el personal involucrado.

Software para el cumplimiento HSE

El Software HSE de ISOTools Excellence es una solución tecnológica que emplean las organizaciones para llevar a cabo el control de la gestión HSE y lograr su cumplimiento. HSESoft se adapta a las necesidades de cualquier tipo de organización y a través del software, se consigue gestionar desde el hallazgo de riesgos HSE, hasta la adopción de decisiones.

Si trabaja para una organización que tiene la intención de cumplir con los requerimientos del sistema HSE, puede probar una demostración gratuita de HSESoft haciendo clic aquí.

Gestión de riesgos

El análisis de contexto en las organizaciones es uno de los hitos clave para la misma, ya que a partir de ese análisis se determina la planeación estratégica, la gestión de riesgos, entre otros temas críticos, que cuando se estructuran de forma adecuada, acertada, permiten la sostenibilidad y rentabilidad de las organizaciones en el transcurso del tiempo.

Para el diseño de los diferentes sistemas (Calidad- Ambiental- Riesgos, etc.); siempre será uno de los primeros pasos y puntos obligados para desarrollar las mismas.

Establecer el contexto se podría definir como conocer profundamente los factores que intervienen en la gestión de las organizaciones, estos factores puedes estar dados directamente por el día a día de la organización (Factores Internos) o por el medio ambiente que la rodea y que tiene injerencia en la misma (Factores Externos), no sólo basta con identificarlos, es necesario también la compresión de los mismos  para que a partir de ellos se puedan identificar las debilidades, oportunidades, fortalezas, amenazas y los planes de acción que se van a establecer para dar respuesta a los mismos.

Por supuesto que el contexto es una entrada valiosa para poder diseñar la gestión del riesgo en las organizaciones, por ello la Norma ISO 31000 Gestión del Riesgo Directrices, pone en consideración algunos de los factores que se pueden tener en cuenta, sin que esto quiera decir que son los únicos que se deben analizar, para establecer la gestión de riesgos.

Factores externos

Dependiendo del mercado y el alcance de las operaciones de la organización se deberá tener en cuenta un nivel Local, Regional, nacional y/o Internacional.

• Factor social: en esta categoría, podemos enmarcar lo relacionado con la influencia de la cultura a la cual se dirigen los productos o servicios de la organización, las tendencias de consumo de esos clientes o usuarios finales, las costumbres, la moda.
• Factor Cultural: las creencias del mercado al que va orientado el producto o servicio, debe guardar coherencia el actuar de la organización con lo que se requiere a nivel cultural para poder obtener un reconocimiento y establecer un mercado.
• Factores político y Legal: este se verá determinado por la tendencia del gobierno en curso los cuales, dependiendo de las corrientes o lineamientos, establecerán políticas que beneficien en mayor o menor medida a las organizaciones.
• Factor Financiero- Económico: las políticas a nivel financiero, impuestos, entre otros.
• Factor tecnológico: con la crisis reciente por la pandemia este es uno de los factores relevantes que la empresa debe identificar y planificar para que las herramientas tecnológicas permitan la continuidad de la operación de las organizaciones.
• Factores Ambientales: la relación entre las actividades de la organización y la afectación o impactos que estas generan para el medio ambiente.
• Tendencias del mercado: que es lo que quiere el cliente o consumidor actual y cómo la organización contribuye a subsanar esa necesidad o expectativa.
• Necesidades y expectativas de partes interesadas externas.
• Contratos y obligaciones
• Las redes: los diferentes actores y herramientas que están o pueden estar relacionas con las actividades de la organización, medios de comunicación, redes sociales, clúster, entre otros.

Factores Internos

Son aquellos que dependen de la organización y se derivan de la gestión de la misma, y por tanto son controlables por la organización.

• La plataforma estratégica: la misión, la visión, los valores organizaciones, corresponden a los fundamentos y al horizonte al que se proyecta la organización y por ello deben estar claramente definidos.
• La política de gobierno de la organización, la estructura, las responsabilidades definidas.
• Los objetivos y las políticas
• Los procedimientos internos de la organización.
• Los recursos: dinero, talento humano, propiedad intelectual, procesos, sistemas, tecnología.
• Los activos de información.
• Las relaciones con las partes interesadas y demás factores.

El análisis de los factores mencionados anteriormente y demás que se consideren necesarios, establecen el entorno en el cual la organización busca el logro de sus objetivos.

L gestión del riesgo tiene como punto de partida la debilidades y amenazas que se identifican a partir de dicho análisis y también tiene en consideración los objetivos que la organización tiene establecidos.

Software ISOTools

El Software ISOTools para la Gestión de Riesgos Corporativos, es un gran aliado para el seguimiento y monitoreo de cualquier riesgo identificado en su organización, independientemente de su perfil u origen.

Establecer medidas y tomar decisiones mediante las matrices de gestión de riesgos de nuestro software es muy sencillo, ¿quiere saber cómo?

ISO 37000

Muchísimas veces hemos acudido a la ISO en busca de auxilio contra infinidad de riesgos que afectan a las organizaciones: carencias en seguridad y salud laboral, falta de productividad, quejas, reclamos e insatisfacción del cliente, vulnerabilidades en seguridad de la información, ausencia de conocimientos sobre continuidad del negocio, ciberataques, dudas sobre la adecuada gestión medioambiental… Y nunca nos defrauda, allí está la ISO trazando un camino certero, pero que también da lugar a la interpretación, y hasta a la innovación.

¿Pero qué sucede cuando nos enfrentamos a situaciones más abstractas, a conductas que quizás están arraigadas en el ser humano, como la corrupción? Este tema es tan antiguo como la existencia del hombre mismo, incluso se debate si todas las personas, efectivamente, tienen precio. No sabemos si esto es así, y responder todas las preguntas que se desprenden de la interrogante principal nos llevaría años de estudios filosóficos, antropológicos, sociológicos… Y nuestra labor en pro de organizaciones transparentes no puede esperar tanto. Aquí, una vez más, aparece la infalible ISO, que nos ofrece orientaciones claras sobre lo que debemos hacer. En esta ocasión esta organización internacional se encuentra evaluando dos borradores correspondientes a las normas ISO 37000: Gobernanza en organizaciones e ISO 37002: Sistema de gestión de denuncias. La primera persigue guiar a las organizaciones hacia una gestión ética. Ya hemos tenido muchísimos escándalos penosos protagonizados por Siemens, la FIFA, Odebrecht, Enron, Daewoo Motors, entre otros. Esas organizaciones constituyen espejos en los que ninguna empresa se quiere ver reflejada. Ningún proveedor, cliente o prestador de servicios se quiere ver ligado a una maraña de sobornos, coimas, tráfico de influencias y demás formas de corruptelas.

La norma 37000 – mejor dicho, su borrador- apunta hacia la sostenibilidad, compromiso y equidad. Su antecedente es el código de prácticas para una gobernanza eficaz en la norma británica BS 13500. El estándar se propone incluir controles que coadyuven al cumplimiento de leyes y reglamentos nacionales. También se espera que contenga indicaciones precisas sobre la gestión de la dirección ante situaciones particularmente comprometedoras y esclarezca cómo evitarlas, abordarlas, minimizar su impacto y solventarlas de forma que la organización no incurra en delitos que materialicen posibilidades como multas y riesgos reputacionales. Otro de los aportes de esta norma recae en que precisa cómo la gobernanza puede ser vista como sistema si se crea un diseño limpio y completo.

Las nociones de la norma ISO 37000 desarrollará directrices que fácilmente podrán ser integradas con otros estándares y, como es usual, también podrá implementarse en organizaciones de cualquier rubro, tamaño, tipo o país. Esto es porque su conformación abordará los temas a los que la ISO nos tiene acostumbrados: liderazgo, compromiso de las partes interesadas, viabilidad social y éxito a lo largo del tiempo, realización de auditorías internas, mejora continua, propósitos, estrategias, recomendaciones, gestión del riesgo, valor agregado, dueños de procesos, supervisión, responsabilidad, entre otros.

También se viene la norma ISO 37002

¿La ética y transparencia podrían manifestarse sin la existencia de un canal de denuncias eficiente? No parece viable, por eso la ISO nos ofrece todo un sistema de gestión de denuncias a través la norma ISO 37002. No basta con que el canal exista, también tiene que estar disponible en diferentes formas: declaraciones personales, aplicaciones, correo, páginas web y llamadas telefónicas. Este estándar tendrá una estructura de alto nivel, a diferencia de la ISO 37000, lo que constituye una ventaja para la integración con otros sistemas de gestión y se favorece la creación de sinergias coherentes y bien conectadas. De no desear implementar otros estándares, sino solo la 37002, es factible basarse en el carácter independiente de la norma.

De un canal de denuncias depende que las acciones delictivas no se leven a cabo, y si se materializan, que existan sanciones pertinentes y se descarte la impunidad, aliado número uno de la corrupción. Por eso se debe generar confianza en el declarante, quien, de acuerdo al estándar, debe ser orientado y protegido. Pero, ¿cómo denunciar a un compañero de trabajo que podría escuchar la denuncia? La norma propone que al menos un canal de comunicación se encuentre fuera de la organización, por lo que se recomienda contratar servicios externos. Una persona imparcial debe clasificar las denuncias, documentar las declaraciones, proteger al declarante y a terceras personas involucradas.

El seguimiento es fundamental en la norma, y si la organización no cuenta con facultades para la investigación, se aconseja, nuevamente, recurrir a servicios externos. Al clausurar las investigaciones se hacen recomendaciones y se emiten las decisiones correspondientes. El estándar no nos abandona, también brinda indicadores que sirven para evaluar la eficacia del sistema.

Por último, pero no menos importante, anunciamos que pronto contaremos con la norma ISO 37301, que está en la fase FDIS y establecerá los requisitos y recomendaciones para apoyar el cumplimiento de leyes relevantes, regulaciones, reglamentos, códigos de industria y normas voluntarias, lo que fortalecerá la imagen de la organización mediante la promoción de la transparencia y ayudaría a minimizar los riesgos de corrupción. En próximas entregas estaremos desarrollando contenido al respecto.

¿Cómo no ser ISO lovers? Esta organización se preocupa por cada detalle de la vida empresarial. Son grandes tiempos para emprender y ser parte de una compañía, pues contamos con el apoyo sempiterno de la Organización Internacional de Estandarización.

La plataforma tecnológica ISOTools facilita la automatización de ISO 37001

La norma ISO 37001 para los Sistemas de Gestión Antisoborno será sencilla de, mantener y mejorar gracias a la Plataforma Tecnológica ISOTools.

Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) lo que permite simplificar las actividades derivadas de la gestión de dicho sistema. ISOTools también permite aplicar los requisitos de prevención del cumplimiento legal a nivel nacional de cada país.

Este software, hace posible la integración de los requisitos establecidos en la ISO 37001 con otras normas, como ISO 9001, ISO 14001, ISO 27001 y ISO 45001 de una forma sencilla gracias a su estructura modular.

Norma ISO / IEC 19989-1:2020

Los avances tecnológicos representan hoy una de las principales ventajas con las que una organización puede contar, para estar a la vanguardia y satisfacer las necesidades de sus clientes y colaboradores, por medio de programas que generen mayor confianza, seguridad y control de la información, para ello los sistemas biométricos representan la mejor opción y lo mejor es que ahora estan normalizados por medio de la ISO / IEC 19989-1: 2020.

Esta nueva tecnología combina lo mejor de las características biológicas de una persona, las usa para el control del acceso a la información y datos, mediante un sistema biométrico que se adapta a las necesidades de cualquier organización, ofreciendo diversos beneficios y estando a la par de los avances más modernos en el mundo de la tecnología, dando como resultado mayor rapidez, precisión y facilidad en su utilización.

¿Qué es la Norma ISO / IEC 19989-1: 2020 seguridad de los sistemas biométricos?

Publicado en septiembre del presente año y desarrollado por el comité técnico SO / IEC JTC 1 / SC 27, este estándar establece la Seguridad de la información, criterios y metodología para la implementación de la seguridad de los sistemas biométricos.

Desarrollada con el objetivo principal de evaluar la seguridad inmersa en el reconocimiento biométrico y la detección temprana de irrupciones o ataques que puedan afectar al sistema de verificación e identificación biométrica, este estándar define específicamente los componentes funcionales de seguridad inherentes a las clases SFR en ISO / IEC 15408-2 y las actividades complementarias referentes a la metodología especificada en ISO / IEC 18045 para las clases SAR de ISO / IEC 15408-3.

La Norma ISO / IEC 19989-1: 2020 favorece la información, protección de la privacidad y la ciberseguridad, por medio de una evaluación completa de la seguridad de un sistema biométrico, sus componentes de seguridad extendidos y las actividades inmersas en esta metodología, dando una orientación completa para cualquier evaluador.

¿Qué es un sistema biométrico de seguridad?

A través de las características fisiológicas es posible realizar el reconocimiento de una persona, al hacerlo de forma automatizada, estaríamos hablando de la metodología conocida como biometría, este método utiliza diferentes plantillas biométricas que estan aisladas y no son la información personal, estos datos contienen las características de seguridad y suelen ser el iris, la huella dactilar, reconocimiento facial, de retina y de voz.

Este método es muy superior a cualquier otro, por el alto nivel de seguridad de la información, su sistema definitivamente no puede ser manipulado por actividades externas de ingeniería inversa, que le permitirían a una persona a acceder a los datos e información personal de sus registros, ya que está programado de tal forma que, no se pueda vulnerar para recrear los datos de donde se formaron inicialmente.

Principales beneficios normalización de un sistema biométrico de seguridad bajo la ISO

En la actualidad los sistemas biométricos estan siendo los más utilizados en las organizaciones, debido al alto nivel de seguridad de la información y control de acceso, a pesar de existir gran variedad de beneficios, a continuación, mencionaremos los más relevantes;

Es uno de los sistemas de mayor confiabilidad; debido a las características de control biométrico acceso, como reconocimiento de facial, de voz, huella dactilar, entre potras, el acceso a la información y datos de cada persona es unico, por tanto está altamente seguro y salvaguardado de no perderse o que alguien pueda robar la información.

Fomenta la inclusión; por sus características biométricas cualquier persona puede hacer uso de este tipo de sistemas, indiferentemente de su físico o del conocimiento previo sobre el tema, pues solo se basa en pasos sencillos y de facil comprensión, además de que no requiere de nada en especial, salvo de la persona que la va a utilizar.

El control de acceso es unico para la identificación; cada persona tiene un solo tipo rasgo de reconocimiento biológico, entre tantas variables la huella digital es una de las más usadas, además del reconocimiento de voz, que genera una huella vocal diferente para cada usuario, por ello solo podrá acceder a la información la persona a la cual correspondan los datos biométricos registrados evitando la suplantación.

Minimiza los costos de mantenimiento; como cualquier sistema programable, solo requerirá la instalación inicial y la revisión periódica a largo plazo o al momento de un mantenimiento correctivo, sin embargo, la reducción de costo más significativa se basa en que no requiere otros dispositivos para el acceso como tarjetas, llaves, celulares, entre otros, solo necesita al usuario de forma presencial y el equipo de reconocimiento,

Esta tipo de tecnología está en auge actualmente; en el mercado es muy común contar con dispositivos a la vanguardia y con sistemas tecnólogos innovadores, que cuentan con los últimos avances de la ciencia, desde los teléfonos inteligentes Android, televisores Smart, hasta carros con sistemas de conducción automáticos, por ende, los sistemas biométricos cuentan con funciones muy similares a esas, que aumentan la receptividad en su uso y facilitan estas transiciones tecnológicas.

Posiciona la imagen de corporativa; al contar con este tipo de sistemas innovadores, la organización tendrá mayor competitividad, confiabilidad y seguridad, lo cual sin duda, impacta significativamente en su imagen, la percepción y satisfacción de sus usuarios o colaboradores, demostrando ser una empresa que cuenta con alta resiliencia a los cambios y avances tecnológicos.

Sin duda, este tipo de sistemas es uno de los más usados en el mercado actual, además de estar ubicado en una creciente tendencia, debido a las enormes ventajas que ofrece, al estar normalizado por la ISO, garantiza estar bajo los más altos entandares de calidad, por medio de un análisis completo de todo su contexto.

Finalmente, el sistema biométrico de seguridad normalizado, es la solución efectiva para cualquier organización que se encuentre en la búsqueda, de modelos tecnológicos innovadores y que estén a la vanguardia, supliendo óptimamente la seguridad de la información y ofreciendo un acceso con mayor confiabilidad, además, de ser un sistema infranqueable, es flexible y adaptable a cualquier entorno laboral, por sus diversas posibilidades de uso.

La Plataforma ISOTools facilita la automatización de la evaluación de riesgos de seguridad de la información

La ISO 27001 para los Sistemas de Gestión de Seguridad de la Información es sencilla de implantar, automatizar y mantener con la Plataforma Tecnológica ISOTools.

Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad de la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

Este software, permite integrar la ISO 27001 con otras normas, como ISO 9001,
ISO 14001 y OHSAS 18001 de una forma sencilla gracias a su estructura modular.

ISO 55001

La economía mundial está evolucionando exponencialmente, trayendo como consecuencia un mercado tan volátil, que prácticamente está obligando al sector industrial a la reestructuración de su forma de negocio.

En efecto las organizaciones se han visto forzadas a adoptar nuevos modelos de trabajo que optimicen sus procesos, persiguiendo la sostenibilidad y rentabilidad del negocio en el tiempo, de modo que, hoy por hoy tener la capacidad de adaptarse a cada cambio que se presenta y convertirlo en una oportunidad de mejora, es una característica básica de las organizaciones de clase mundial.

Estas organizaciones comprenden la complejidad inherente a la gestión sus activos y su impacto en el desempeño holístico del negocio, a su vez, reconocen el papel tan importante que ejecutan sus colaboradores en la eficacia de sus procesos y la influencia de estos en poder cumplir los objetivos organizacionales.

De manera que es necesario establecer estrategias de gestión que generen valor en todo el ciclo de vida de sus activos y se garantice un soporte seguro, confiable e íntegro de la operación.

¿Qué es Gestión de Activos?

Es la administración inherente a la gestión eficaz de los activos físicos e intangibles en una organización, mediante la aplicación de métodos y criterios predefinidos para tomar decisiones y priorizar las actividades y recursos.

Se basa en una metodología de gestión del riesgo y oportunidades, con el objetivo de optimizar el ciclo de vida del producto y/o servicio, y a su vez generar el mayor valor posible en sus procesos, para ello involucra todo lo relacionado a las actividades de operación, mantenimiento, riesgo, finanzas, análisis de oportunidades y amenazas, entre otras, afines a la optimización del portafolio de activos.

Norma ISO 55001 2014 Gestión de activos – Sistemas de gestión – Requisitos

La Norma ISO 55001 2014 es un estándar internacional que especifica todos los requisitos necesarios para el establecer, implementar, mantener y mejorar un Sistema de Gestión de Activos.

A través de la implementación de la Norma ISO 55001 2014, una organización podrá definir y establecer todas las políticas inherentes a la gestión de activos, para el cumplimiento de los objetivos estratégicos y la optimización de sus procesos, mediante una estructuración eficaz que conlleve a la mejora continua, y una gestión eficiente del desempeño, costos y riesgos, que da como resultado la creación de valor en sus activos.

Sin embargo, para una mejor interpretación la familia de Normas ISO 55000, ofrece las Normas ISO 55000 2014, 55002 2018, 55002 2019, que ayudan a complementar las directrices y orientación, y proporcionan aspectos generales, principios y terminología para su aplicación en los activos físicos e intangibles, financieros y no financieros.

¿Por qué es importante la ISO 55001 en una organización?

Al ser estándar internacional, la Norma ISO 55001 2014 permite una acertada interrelación en las practicas operacionales con la gestión de activos, mediante una toma de decisiones coherentes que mejoren la confiabilidad operacional.

Sin duda, esta norma permite a la organización promover una cultura para maximizar el valor de los activos, por medio de la mejora continua de las competencias del talento humano y de sus procesos internos, además, sirve de referente a las partes interesadas y a sus colaboradores, ya que ejemplifica una gestión eficaz y eficiente del desempeño, costos y riesgos de sus activos.

 Principales ventajas en implementar la Norma ISO 55001 2014

• Minimiza los costos favoreciendo el retorno del capital invertido y la forma en que medirá su disminución.
• Representa el aumento de valor de los activos, al no incurrir en el riesgo de desmejorar el desempeño de la organización para cumplir con sus objetivos estratégicos.
• Aumenta el cumplimiento de la Responsabilidad social de la organización, mediante la aplicación de prácticas sostenibles, a través de la correcta utilización de las oportunidades de mejora en sus activos.
• Disminuye los riesgos y maximiza la confiabilidad, mediante un análisis completo de las debilidades y amenazas presentes en la gestión de sus activos, proporcionando un mayor control y una toma asertiva de decisiones basada en información veraz y que se ajuste a los objetivos organizacionales.
• Mejora las relaciones internas con sus colaboradores y externas con las partes interesadas, por medio de prácticas que apoyen las políticas y estrategias organizaciones de su sistema de gestión de activos, tomando la confianza como la base de su gestión.
• La familia de Normas ISO 55000 y su implementación, representan un marco de referencia en las organizaciones, ya que permite demostrar, que se pueden aplicar estrategias que aportan a la sostenibilidad y resiliencia de un modelo de negocio, basado en los principios en un sistema de gestión de activos.

El manejo eficaz y eficiente de los activos involucra a todas las partes en una organización, por ende es un compromiso de todos sus colaboradores, en este sentido, se deben promover prácticas laborales sostenibles, que permitan una colaboración de mutuo beneficio y compromiso para el cumplimiento de todos los objetivos en un sistema de gestión de activos.

Los beneficios que ofrece a una organización la acertada gestión de sus activos, garantizan el aumento de valor en todo su ciclo de vida, de hecho, la aplicación de esta metodología por medio de la norma ISO 55001 2014, está plenamente ejemplificada en infinidad de industrias y entornos de negocio, que representan sostenibilidad y rentabilidad en la implementación de este tipo de enfoques en un sistema de gestión.

SARLAFT con ISOTools

ISOTools es una Plataforma Tecnológica que permite la automatización del Sistema SARLAFT.

Con ISOTools ningún proceso está sin control, permite la identificación y administración de los riesgos derivados del Lavado de Activos y de la Financiación del Terrorismo, integrándose en todos los procesos necesarios.

Si necesita optimizar SARLAFT y le preocupa cómo hacerlo, puede contactar con nosotros haciendo clic aquí para que le asesoremos sobre las ventajas que le puede suponer la herramienta ISOTools.

HSE

La dinámica empresarial actual, ha llevado a las organizaciones a contratar de manera externa actividades propias y no propias de acuerdo a su naturaleza, las cuales normalmente se realizaban con personal directo.

Debido a esta dinámica, la Gestión HSE del contratista toma cada día más valor dentro de las organizaciones, a tal punto, que los contratistas son parte integral de nuestros Sistemas de Gestión.

Es necesario dejar atrás la percepción de la figura del contratista como un elemento externo que llega a nuestras organizaciones a realizar un trabajo específico y, además, que son ellos los exclusivos responsables de la seguridad y salud de sus trabajadores.

Y es que no es opcional involucrar al contratista en las actividades HSE internas de la organización; si revisamos la legislación actual, independiente del país en donde nos encontremos, podremos verificar que no solo obliga a las organizaciones a involucrar a los contratistas dentro de las actividades del Sistema de Gestión de Seguridad y Salud en el Trabajo, sino que también hace corresponsables a las empresas contratantes de lo que directamente le pueda suceder al trabajador en materia de su seguridad y salud.

¿Cómo establecer los criterios para la selección del contratista?

Para ello es necesario investigar y conocer aspectos claves de nuestra organización antes de poder determinar estos criterios.

• Determinar el tamaño de la organización
• Cantidad de contratistas a gestionar
• Duración de cada contrato
• Las diferentes actividades que realizan los contratistas
• Nivel de riesgo de las actividades que realizan los contratistas.

Como hemos indicado previamente, es necesario involucrar al contratista como un elemento más de nuestro Sistema de Gestión. Y es por ello que, al momento de realizar la identificación de peligros, valoración de riesgos y determinación de controles, debemos identificar esas actividades, que pueden ser rutinarias o no, y se realizan a través de terceros.

Esta es la entrada principal para determinar el nivel de riesgo de estas actividades y empezar a planificar los controles y requisitos que se solicitarán y así determinar los criterios a tener en cuenta para la selección del contratista. Y no solo los peligros identificados sino también los requisitos legales aplicables a estas actividades, los cuales proporcionarán elementos claves para determinar estos criterios.

Una vez tengamos estos lineamientos básicos, que podrían ser más, podemos empezar a determinar los criterios a tener en cuenta para la selección del contratista.

En este artículo nos enfocaremos en la etapa antes del inicio del contrato, ya que es en esta etapa en donde definiremos los criterios a tener en cuenta para la selección del contratista y que, a mi concepto, es la más importante dentro de la gestión del contratista.

Clasificación del contratista:

Es necesario determinar los tipos de contratista que requiere la organización a través de la clasificación del contratista. La forma de clasificarlos, dependerá de lo que hayamos identificado en el análisis previo, pero podemos tener en cuenta varios elementos para esta clasificación

Podemos clasificar al contratista, por ejemplo, dependiendo de la actividad que vaya a realizar y el nivel de riesgo derivado de esta actividad.

Por ejemplo, podríamos tener contratistas en Categorías TIPO 1 si las actividades que realizará el contratista implican actividades de alto riesgo como trabajo en alturas, trabajos eléctricos, etc.

Categoría TIPO 2 para aquellos contratistas cuyas actividades no implican actividades de alto riesgo, como por ejemplo actividades de oficina.

Esta clasificación dará pie para determinar los requisitos a solicitar al contratista para su contratación y determinar los criterios de selección del contratista, ya que no serán los mismos criterios a evaluar de un contratista TIPO 1 a un contratista TIPO 2 por la naturaleza de sus actividades.

Otro criterio que se puede tener en cuenta para la definición de criterios, podría ser la duración del contrato. Por ejemplo, podríamos tener contratistas TIPO 1 que tengan una duración del contrato de un mes y otros de mayor a un mes.

En este caso tendríamos entonces contratistas TIPO 1 ocasionales, y contratistas TIPO 1 permanentes, entendiendo que los criterios del contratista TIPO 1 permanente, serán más estrictos que los del contratista TIPO 1 ocasional ya que el contratista estará más tiempo en nuestra organización

Definición de los criterios de selección

Una vez hayamos clasificado al contratista y determinemos los requisitos a solicitar, podemos determinar la criticidad de los criterios a evaluar para la selección del contratista.

Es necesario entonces determinar qué criterios de selección serán los que para nuestra organización serán los más críticos o relevantes a la hora de la selección.

Así como para la selección de un contratista que va a construir para nosotros una bodega de materiales son importantes los materiales que utilizará versus el costo asociado, pues deberán ser igual de importantes los requisitos HSE del contratista.

Basándonos en los requisitos previamente identificados para cada tipo de contratista, podremos determinar cuáles son los requisitos más relevantes y que llevarán a la selección final del contratista.

Por ejemplo, podría ser un requisito esencial que el contratista realice los pagos de seguridad social en los tiempos establecidos y en el nivel de riesgo correspondientes. Dependiendo de la verificación de este requisito podemos evaluar mejor o peor a un posible contratista.

El histórico de accidentalidad del contratista podría ser otro elemento clave, el nivel de formación de los trabajadores, el cumplimiento de la normatividad vigente en Seguridad y Salud en el trabajo por parte del contratista, la calidad de los elementos de protección personal que entrega el contratista y así un sin número de criterios, pero dependiendo siempre de los requisitos establecidos para el contratista y el nivel de riesgo de las actividades a desarrollar identificados y establecidos previamente.

Finalmente es necesario en las organizaciones, que se establezcan canales de comunicación entre las personas responsables de HSE y las encargadas de la contratación, ya que no sería útil definir perfectamente los criterios HSE a evaluar al contratista, si no van a ser tenidos en cuenta para la contratación.

Es ahí en donde está el reto de los responsables de HSE en generar conciencia de la seguridad y salud por parte de la Alta Dirección de las organizaciones.

Elementos como sanciones legales de tipo económico o penales por el incumplimiento de la gestión de contratistas y el buen nombre de la organización, podrían ser elementos que ayuden a generar esta conciencia.

Software ISOTools

El Software ISOTools para la Gestión de Riesgos Corporativos, es el mejor aliado para realizar el seguimiento y monitoreo de cualquier riesgo que se haya identificado en la organización, no importa cuál sea su procedencia.

Establecer medidas y tomar decisiones mediante las matrices de gestión de riesgos de nuestro software es muy sencillo, ¿quiere saber cómo?