EMPRESA EXCELENTE. Los mejores artículos técnicos publicados en el blog de ISOTools Calidad y Excelencia. Sistemas de Gestión Normalizados

Transcripción

1 EMPRESA EXCELENTE Los mejores artículos técnicos publicados en el blog de ISOTools Calidad y Excelencia Sistemas de Gestión Normalizados Modelos de Gestión y Excelencia Plataforma tecnológica para la gestión de la excelencia Recursos gratuitos J U L I O

2 Quiénes somos Acerca de ISOTools Excellence El camino hacia la Excelencia Somos una consultora que ayuda a las organizaciones comprometidas con la calidad y la excelencia a: Optimizar sus modelos y sistemas de gestión, aportando soluciones innovadoras para la gestión de la estrategia, los procesos y las personas.facilitando su aplicación, haciéndolos accesible, ágiles y medibles, y aportando resultados en el corto plazo, gracias a una plataforma tecnológica de desarrollo propio llamada ISOTools. Empresa Excelente junio

3 Quiénes somos Acerca de ISOTools Excellence Servicio llave en mano Para que el el software pueda ser implementado y mantenido de forma rápida y sin incidencias, ofrecemos esta lista de servicios y servicios complementarios a todos nuestros clientes: Capacitación Los consultores expertos de ISOTools Excellence ofrecen una formación personalizada a los clientes para que se familiaricen rápidamente con el manejo del software. Soporte Contamos con profesionales disponibles a través de vía telefónica y online para resolver cualquier duda / incidencia que pueda surgir acerca del uso de la herramienta. Consultoría Nuestro equipo de consultores puede ayudarle a sacarle el máximo partido a ISOTools Excellence en su organización, antes, durante y después de la implementación. Integración Puede convivir con otras aplicaciones que ya estén funcionando en tu organización. Dispone de mecanismos para cambio de datos con soluciones de otros proveedores. Adaptaciones Toda organización posee sus particularidades, que muchas veces son la razón de la eficiencia de sus procesos. Por ello, ofrecemos la posibilidad de desarrollos a medida. Migración de datos El proceso de migración de datos tiene como objetivo principal importar a ISOTools Excellence los datos de su sistema de gestión actual. Empresa Excelente junio

4 Quiénes somos Acerca de ISOTools Excellence Una herramienta a la medida de su organización Estamos ante un sistema modular y altamente parametrizable, que se adapta a las necesidades de cada organización. Cuenta con un módulo base que sirve como cimiento de otros módulos de soluciones que cubren distintas áreas, pensados para facilitar y agilizar la gestión de sistemas y modelos, y de esta forma poder dar cumplimiento a los requisitos de los mismos. Sea cual sea su sector. Empresa Excelente junio

5 Quiénes somos Acerca de ISOTools Excellence ISOTools Excellence aporta resultados en el corto plazo Empresa Excelente junio

6 SARLAFT SARLAFT: Mecanismo para la gestión del riesgo del lavado de activos y la financiación del terrorismo en Colombia Hoy, vamos a tratar un tema muy interesante sobre SARLAFT en Colombia y para ello vamos a comenzar por los orígenes. En Colombia, la primera norma elaborada en temas relacionados con lavado de activos surge en el año 1992, con el Decreto 1872 del 23 de noviembre. El presidente de la república que gobernaba y firmó dicho decreto era César Gaviria Trujillo. En esa firma del documento también participó el exministro de hacienda Rudolf Hommes Rodríguez. Desde entonces, la labor que ha realizado Colombia en el desarrollo y aplicación de sistemas contra lavado de activos y financiación del terrorismo, ha sido imparable. 6

7 SARLAFT Esta preocupación por luchar contra el Lavado de Activos y la Financiación del Terrorismo (LA/FT) no ha parado. De hecho, los sistemas para controlar el LA/FT se aplican en sectores públicos y privados, ya que dicho control y prevención es, para la ciudadanía, un tema de gran relevancia. SARLAFT es un Sistema de Administración de Riesgo de Lavado de Activos y Financiación del Terrorismo. En Colombia, existe la Unidad de Información y Análisis Financiero (UIAF). Se trata de una unidad administrativa especial, que fue creada en 1999 por la Ley 526 y se reglamentó por el Decreto complilatorio 1068 de 2015, con el objetivo de prevenir, detectar y luchar contra el Lavado de Activos y la Financiación del Terrorismo (LA/FT). La UIAF es la unidad que lidera el sistema que lucha contra los delitos de lavado e activos y financiación del terrorismo. Pretende la integración de las figuras públicas y privadas involucradas con la intención de: Fortalecer uniones Favorecer el flujo de información Mejorar el análisis de riesgos y amenazas Minimizar las vulnerabilidades de los diversos sectores CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG 7

8 Continuidad de negocio Cómo automatizar el Sistema de Gestión de Continuidad de Negocio según ISO En la gestión de la continuidad del negocio, donde el factor tiempo es absolutamente clave, resulta fundamental disponer de un software de automatización para poder llevar a cabo una gestión eficaz y exhaustiva de cualquier tipo de riesgo que pueda poner en peligro el funcionamiento normal y fluido de la organización. En el caso de catástrofes naturales (inundaciones, atascos, terremotos, epidemias ), acontecidas en la última década, la experiencia ha demostrado que las empresas que han sido capaces de reanudar antes su actividad, con el mínimo de pérdidas posibles, han sido aquellas que tenían implantados sistemas automatizados de recuperación de información y continuidad de negocio. 8

9 Continuidad de negocio Otro motivo para implantar este sistema es el de la disponibilidad del personal que tiene que realizar las tareas de recuperación. En situaciones de desastres naturales, es común que el personal no llegue a tiempo a los centros de trabajo bien por quedar atrapada en los atascos, por la indisponibilidad de trasporte público, etc. Qué debemos de tener en cuenta en la automatización de la gestión de riesgos de cara a la continuidad de negocio Algunos aspectos a tener en cuenta en este tipo de herramientas que facilitan la automatización de la gestión de riesgos son: Poner en marcha los procesos de identificación automática de los riesgos para la continuidad del negocio a los que está expuesto cada organización. Alinear cada riesgo con acciones concretas enmarcadas en un plan de contingencia para eliminar o reducir las pérdidas. Poner en marcha un sistema automático del seguimiento del tratamiento de riesgos. Realizar simulacros y simulaciones que permitan visualizar los resultados que se podrían obtener con la implantación de las acciones definidas en el plan de contingencia para la continuidad del negocio. Se debe tener prevista la posibilidad de fallos en los servidores y aplicaciones informáticas, incluso las que operan en la nube CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG 9

10 Matriz IPERC Cómo mejorar la eficacia de los controles operacionales automatizando la Matriz IPERC? En el artículo de hoy, nos centraremos en la matriz IPERC. Una matriz que nos servirá en la gestión de la norma ISO Tras su esperada publicación en marzo del anterior año 2018, esta norma se ha convertido en una de las más relevantes del panorama ISO. No es nada extraño que la norma haya alcanzado tal relevancia, ya que garantizar la seguridad y salud de los trabajadores, es algo fundamental para una organización. 10

11 Matriz IPERC Evidentemente, cada vez más personas están concienciadas y conocen la importancia y ventajas de implementar normas ISO en su organización. Esto se debe al valor que estas aportan. Como ya hemos dicho, la principal ventaja que ofrece la norma ISO 45001, es garantizar la seguridad y salud en el trabajo. Lo consigue a través de herramientas como la matriz IPERC, pero, cómo puede ayudarnos esta herramienta? Conceptos relevantes de una matriz IPERC Los conceptos fundamentales que debemos conocer para entender el funcionamiento de una matriz IPERC son las que vienen implícitas en su nombre: Peligro y Riesgo. Peligro: entendemos como peligro una fuente, situación o un acto con potencial que podría causar daños a la salud del trabajador, o en el lugar de trabajo. Riesgo: la definición de riesgo combina la probabilidad de que un peligro se materialice, es decir, que suceda con la severidad de las consecuencias que puede ocasionar. Estas dos definiciones son claves para entender el funcionamiento de una matriz IPERC, pero no podemos olvidar la última; los controles. Los controles son las medidas que se deben tomar para minimizar, o eliminar los riesgos derivados del desarrollo de la actividad laboral. CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG 11

12 Q-Campus Q-Campus: ISOTools volvió a estar presente en la décimo tercera edición de Q- Campus El Q-Campus, es una experiencia pionera a nivel europeo, en la que durante una semana y una vez al año, profesores y profesionales de la educación de toda Cataluña participan en actividades formativas que tienen el objetivo de incrementar y fomentar el conocimiento de conceptos, herramientas y sistemas de gestión de la Calidad, tanto por los centros del Proyecto de Calidad y mejora continua del Departamento de Enseñanza, como para otros centros que estén valorando la posibilidad de iniciar un proceso de implementación de estas metodologías. 12

13 Q-Campus Dicho foro, cuenta con actividades y talleres formativos en torno a la calidad, que son complementarios o bien de introducción a la desarrollada dentro de los grupos de trabajos y Redes del Proyecto. La metodología empleada en dicho foro formativo combina los conceptos, el estudio de casos y la realización de actividades, con el fin de establecer redes de conocimiento e incrementar el valor de las relaciones y la cooperación que se cree durante la semana que dura el evento. Los asistentes al Q-Campus han podido recibir acciones formativas por parte de Coordinadores de las Redes de Calidad y Mejora Continua del Departamento de Enseñanza, especialistas en gestión de la Calidad y la Excelencia de diversas organizaciones, empresas e instituciones colaboradoras del Proyecto. 30 ediciones del Q-Campus En esta ocasión, esta décimo tercera edición se ha llevado a cabo del 1 al 5 de julio, en horario de 9 a 14 horas. Este año el Institut Bonanova ha sido el encargado de acoger a todos los participantes a dicha efeméride. Esta edición ha contado con 41 cursos especializados. En los que se han tratado cuestiones relacionadas con la calidad y la excelencia en Instituciones educativas. Dicho evento ha contado con la participación de profesores de los centros que participan en el Proyecto de Calidad y Mejora Continua del Departamento de CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG 13

14 ISO El control en ISO Diferencias entre soborno, cohecho y extorsión La creación de la ISO para los Sistemas de Gestión Antisoborno, fue una solución o, mejor dicho, es una parte de la solución que está aportando la Organización Internacional de la Normalización, la cual desde el año 2013 comenzó a trabajar en este estándar. No debemos de olvidar la complejidad de los procesos por los que pasa cada norma ISO de manera previa a la aprobación de sus estándares, que deben ser aprobados por conceso de los países y las organizaciones que participan en su creación. En el caso de la ISO 37001, el proceso fue bastante largo. En el mismo participaron cincuenta y nueve países y siete organismos enlaces. 14

15 ISO La ISO fue publicada el 14 de octubre de 2016 centrándose únicamente en el soborno por ser el hecho o la conducta de corrupción más fácil de controlar desde el punto de vista de las organizaciones y porque tiene un conjunto de requisitos legales más sencillos de implementar a la hora de llevar a cabo la evaluación del desempeño que tienen las normas, que son por ejemplo las auditorías, las evaluaciones de incumplimiento legal, los indicadores de gestión. Es decir, ISO propone toda una serie de argumentos que nos permiten precisar en este tipo de delitos particularmente. Esto no quiere decir que solamente se pueda utilizar para dar respuesta a los delitos de soborno. También se puede extender a otros delitos, pero sería como una extensión del alcance, basándose en las normas de prevención del delito que estén establecidas a nivel nacional El comité técnico que se encargó de su ejecución fue el Comité Técnico 309. Aunque en la última ISO Survey no aparece el número de certificados emitidos de esta norma, ya existen numerosos casos tanto a nivel público como privado. El soborno, un acto de corrupción Aunque en ocasiones se usan como sinónimos, existe una diferencia muy importante entre los conceptos fraude y soborno. Cuando hablamos de corrupción, nos movemos en lo que se podría denominar el universo del fraude. CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG 15

16 Controles en un SGSI Implementación de controles y definición del plan de tratamiento de riesgos en un SGSI Con el objetivo de que cada riesgo identificado previamente quede cubierto y pueda ser auditable, la norma ISO establece en su última versión: ISO/IEC 27001:2013 hasta 113 controles en un SGSI (en la versión anterior del 2005 eran 133). Los 113 controles en un SGSI están divididos por grandes objetivos: Políticas de seguridad de la información. Controles operacionales. Cada empresa, según su parecer, puede añadir más puntos de control si lo considera conveniente, así como personalizarlos para adaptarlos a su propio Plan de Control Operacional, pero siempre deben estar alineados a lo que pide la norma. 16

17 Controles en un SGSI Una vez realizado el análisis, se debe definir un plan de tratamiento o esquema de mejora, en el que se tengan en cuenta las distintas consecuencias potenciales de esos riesgos, estableciendo una criticidad para cada uno de ellos y así poder evaluar con objetividad las diferentes amenazas. Formas de afrontar el riesgo Una empresa puede afrontar el riesgo básicamente de tres formas diferentes: eliminarlo, mitigarlo o trasladarlo. 1. Eliminar el riego Si el riesgo es muy crítico, hasta el punto de que pueda poner en peligro la propia continuidad de la organización, ésta debe poner todos los medios para tratar de eliminarlo, de manera que haya una posibilidad cero de que la amenaza se llegue realmente a producir. 2. Mitigarlo En la gran mayoría de ocasiones no es posible llegar a la eliminación total del riesgo, ya sea porque es imposible técnicamente o bien porque la empresa decida que no es un riesgo suficientemente crítico. Cuando se dan estos casos la organización puede aceptar el riego, ser consciente de que la amenaza para la información existe y dedicarse a monitorearlo con el fin de controlarlo. CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG 17

18 ISO La importancia de las relaciones colaborativas. ISO de sistemas de gestión colaborativos El trabajo colaborativo frente al individual, no solo contribuye a crear sinergias entre las personas que lo llevan a cabo. También ayuda a difundir el conocimiento entre las partes involucradas, a un mayor enriquecimiento de ideas, así como a un ahorro importante de costos. En el contexto laboral, este es muy importante. Tanto es así, que la Organización Internacional de Normalización (ISO) ha creado la certificación ISO de sistemas de gestión colaborativos. El desarrollo de proyectos y la ejecución de trabajos en colaboración no es nada nuevo. Desde hace ya décadas se ha demostrado que las empresas que apuestan por el trabajo colaborativo alcanzan mayores cotas que aquellas que promueven la individualidad entre sus trabajadores. 18

19 ISO La digitalización una gran canal para promover la colaboración entre trabajadores Aunque la tecnología pueda verse como una herramienta que permite al ser humano llevar a cabo un mayor número de actividades por sí mismo, hay que analizarla desde un punto de vista totalmente opuesto. Como una manera de conectar personas. Con su implantación en el contexto laboral la manera de ejecutar los proyectos laborales ha cambiado paradigmáticamente. Hasta el momento, para llevar a cabo cualquier actividad o proyecto colaborativo, había que cumplir con un requisito fundamental: que todos los integrantes estuvieran presentes en el mismo lugar. La digitalización empresarial permite a las compañías y organizaciones poder llevar a cabo proyectos colaborativos en los que profesionales de distintos países, formaciones, idiomas y organizaciones puedan trabajar en una misma dirección. Para ello solo hace falta conexión a internet y un ordenador, móvil o tablet. Por otro lado, existen herramientas que permiten recopilar datos de forma colaborativa desde distintas partes del mundo. Con este tipo de herramientas una gerencia puede analizar datos de todas las oficinas de su compañía sin prácticamente tener que comunicarse con ninguna de ellas. Las herramientas de BI son un buen ejemplo de esto. CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG 19

20 Evaluación de riesgos Etapas del proceso de evaluación de riesgos en la gestión HSE El artículo de hoy tratará sobre las etapas de la evaluación de riesgos, uno de los aspectos más importantes en los sistemas de gestión de seguridad y salud en el trabajo basado en las norma ISO No obstante, no será el único tema tratado. Como casi todos nuestros lectores saben, la norma ISO fue publicada en marzo del año Esta norma tuvo una gran acogida entre las organizaciones. Ya que suponía por fin, la estandarización internacional de la norma tras haber pasado por un proceso de migración con la OHSAS Todo con el fin de garantizar la seguridad y salud de los trabajadores. 20

21 Evaluación de riesgos El tomar medidas de seguridad, analizar riesgos, efectuar controles son buenas prácticas que toda organización debería considerar a la hora de desarrollar su actividad laboral. Sin ir más lejos, en Chile han muerto más de 2000 trabajadores en los últimos 5 años. Estos se han dividido entre accidentes mortales durante el desarrollo del trabajo y aquellos producidos durante el camino al puesto de trabajo; 1271 y 779 fallecidos respectivamente. Evidentemente, el capital humano de una organización es uno de los activos más valiosos. Además del valor incalculable de una vida, la fórmula para el éxito incluye a los empleados, la organización no funcionará. Es por eso que realizar una evaluación de riesgos para intentar reducir este número de muertes es algo no solo las empresas que busquen la certificación deberían hacer. Etapas evaluación de riesgos Antes de comenzar con las etapas, hay que decir que la evaluación de riesgos es un proceso con el objetivo de estimar la gravedad de los riesgos que no se hayan podido evitar. Es necesario aclarar que es obligatorio que el empresario realice la evaluación inicial y establecer las acciones preventivas en el caso de que sean necesarias. CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG 21

22 Matriz AMFE Qué es la Matriz AMFE o análisis modal de fallos y efectos? La matriz AMFE o análisis modal de fallos y efectos es una metodología que se utiliza para estimar y predecir los fallos que pueden suceder en un producto que se encuentra en fase de diseño. Tiene la finalidad de incorporar, desde un inicio, todos los componentes y funciones del producto que garanticen su fiabilidad, seguridad y cumplimiento de los parámetros de las funciones que los clientes exijan del nuevo producto. La matriz AMFE ayuda a minimizar el tiempo y el coste en cuanto al desarrollo del producto, proceso o servicios. Facilita el análisis preventivo de los fallos potenciales más probables que puede tener un producto. 22

23 Matriz AMFE Que ocurran fallos genera una serie de sobre costes en el producto como puede ser la pérdida de rendimiento o la parada imprevista de cualquier en las funciones del producto diseñado o analizado, lo que genera una serie de reclamaciones por parte los clientes. La matriz AMFE se utiliza por las organizaciones durante las fases del ciclo de vida del producto, para resolver de forma ágil las reclamaciones que se producen en los productos o gamas de productos que pierden su competitividad frente a otros que tienen un mejor diseño y mejores especificaciones. De manera específica AMFE tiene como objetivo: Reducir el tiempo en los plazos e incrementar la eficacia de los proyectos en el desarrollo de nuevos productos y mejorar los productos con los que cuenta en la actualidad. Se puede predecir cuáles serán los fallos que se pueden producir durante la fabricación y se pueden aplicar medidas correctoras. Analizar y evaluar la eficiencia de las acciones que se llevan a cabo, estableciendo un proceso de mejora continua según la mejora de la calidad de los productos. Familiarizar y educar al personal en el trabajo en equipo durante el diseño, persigue el fin de que sean ellos mismos los que prevean los posibles fallos, identifiquen las causas y propongan acciones preventivas. CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG 23

24 ISO ISO primera norma internacional para gestionar el impacto del cambio climático Que algunas de las compañías más importantes del mundo valoren el impacto por riesgos climáticos en cifras multimillonarias no es ninguna casualidad. El impacto del cambio climático en todos los aspectos del contexto empresarial es ya una realidad y algunas empresas ya lo tienen más que analizado. La continuidad de negocio, el impacto ambiental, la calidad e incluso la seguridad y la salud de los trabajadores son aspectos a los que el cambio climático salpica de manera directa. La Organización Internacional de Normalización (ISO) acaba de publicar un nuevo estándar normativo orientado a este aspecto. La ISO

25 ISO No hace ni un mes desde que se publicara esta nueva normativa internacional. ISO detalla y aclara aquellos requisitos y pasos a seguir para que una organización (pública o privada) pueda adaptarse a los efectos del cambio climático. Esto afecta tanto la integración de este estándar dentro de las organizaciones, así como en su relación con otras. Como de costumbre, ISO señala que esta norma puede ser aplicada a cualquier tipo de organización, sin importar su tamaño, tipo y naturaleza. Es decir, podrá ser adoptado por empresas y entidades locales, regionales, multinacionales, unidades de negocios, departamentos de una empresa, sectores industriales, etc. ISO 14090, Adaptación al cambio climático: principios, requisitos y directrices, inaugura una serie de normas ISO relacionadas con el cambio climático cuyo objetivo principal es poder ayudar a las organizaciones a evaluar de manera correcta los impactos provocados por el cambio climático, para así poder crear planes de control para una correcta adaptación. ISO no solo ayudará a las organizaciones a identificar y gestionar los riesgos, sino que también contribuirá a que estas puedan aprovechar cualquier oportunidad de beneficio que pueda provocar el cambio climático. Creación y futuro de la familia ISO El comité ISO / TC 207 / SC 7 encargado de la gestión de gases de efecto invernadero y actividades relacionadas ha sido quien ha llevado a cabo su creación, revisión y redacción final CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG 25

26 Punto de Recuperación Objetivo Punto de Recuperación Objetivo (RTO). Análisis de partida ante una contingencia de continuidad de negocio En temas de continuidad de negocio, el término Punto de Recuperación Objetivo, también conocido como RPO, es muy importante. En este artículo profundizaremos sobre ello. En las organizaciones, la seguridad total no existe. Las acciones preventivas que ayuden a las empresas a estar protegidas y a poder reaccionar ante incidentes de seguridad con prontitud son vitales para minimizar o eliminar por completo cualquier daño que ponga en un compromiso a su correcta actividad. 26

27 Punto de Recuperación Objetivo La clave reside en tener un sistema con la capacidad de respuesta eficaz y ágil ante cualquier contingencia grave, así será posible retomar la desarrollo normal de la organización en tiempos que no afecten a la continuidad del negocio. En el año 2012, ISO (Organismo Internacional de Estandarización) desarrollo para el ámbito de la continuidad del negocio la norma ISO En ella se concretan los requerimientos que son necesarios a la hora de realizar la planificación, establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y mejora continua del sistema de gestión, con el objetivo de salvaguardar, minimizar la probabilidad del riesgo e incrementar la capacidad de respuesta y recuperación ante incidentes La norma se elaboró de tal manera que los requisitos establecidos fuesen genéricos, para que todas las organizaciones, sin que influya su actividad, tamaño o naturaleza, pueda recurrir a la norma cuando deseen implementar un sistema de gestión de continuidad del negocio. Después de esta breve introducción sobre la continuidad del negocio y la importancia que tiene en las organizaciones para estar preparadas ante posibles incidentes. Vamos a comenzar a hablar sobre los Punto de Recuperación Objetivo. Qué es un Punto de Recuperación Objetivo? Cuando hablamos de Punto de Recuperación Objetivo estamos haciendo referencia a un parámetro de gran relevancia en la elaboración de un plan de continuidad CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG 27

28 Soborno Soborno y cohecho. Diferencias y contexto de actuación Como ya se ha visto, dentro de la corrupción se encontrarían el soborno y la extorsión. Dentro del soborno hay que destacar otro concepto, el de cohecho, el cual se define como el soborno a funcionarios públicos. La gran mayoría de legislaciones nacionales están enfocadas al cohecho en funcionarios públicos nacionales. Por su parte, instituciones internacionales como la ONU, ya han tomado medidas en el asunto, publicando normativas que afectan a funcionarios públicos internacionales. La norma ISO no contempla la extorsión, debido a que en este caso hay riesgos de integridad física en las personas, los cuales no alcanza la norma, al menos de momento. Concentrándose únicamente en el soborno y el cohecho. El motivo fundamental por el que la ISO no entró a valorar a la extorsión, se debe fundamentalmente a que contiene variables que no son controlables por las organizaciones. 28

29 Soborno Qué es el cohecho? Como se mencionaba anteriormente, el cohecho se define como el soborno entre cargos de la administración pública. Con esto se hace referencia a que para que se produzca cohecho, al menos uno de los implicados debe de ser un trabajador de la administración pública. Este tipo de acciones corruptas se enmarca dentro de lo que serían las relaciones económicas existentes entre el sector público y el privado. Los delitos de cohecho han sido estudiados desde diferentes posturas, llegando incluso a destacar categorías. A continuación ofrecemos una que se recoge en el Código Penal español, a modo de ejemplo. a) cohecho activo y pasivo, el activo es el cometido por el particular que corrompe o intenta corromper al funcionario público o autoridad con sus dádivas, presentes, ofrecimientos o promesas. El pasivo es el realizado por el funcionario que solicita, recibe o acepta el soborno. b) cohecho propio e impropio, el propio se relaciona porque su finalidad es la consecución de un acto propio del cargo contrario al ordenamiento jurídico. En el impropio el acto es también propio del cargo, pero adecuado al ordenamiento jurídico. c) cohecho antecedente y subsiguiente, en el antecedente el soborno se realiza antes de adoptarse el acto administrativo correspondiente. En el subsiguiente, el soborno o intento de soborno se concreta un vez que se ha producido el acto propio. CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG 29

30 Congreso de Riesgo para el Sector Solidario ISOTools Colombia participa en el XV Congreso de Riesgo para el Sector Solidario ISOTools Colombia participará en el Congreso de Riesgo para el Sector Solidario. La edición de este año, se celebrará en Bogotá, durante los días 25 y 26 de julio. Este año 2019 se celebra la edición número quince. El congreso de riesgo es una ocasión para profundizar sobre la estrategia y el modo de gestionar riesgos emergentes. También es una oportunidad para explorar los panoramas y mejorar las capacidades para hacer frente a los riesgos que pueden originarse en un futuro. 30

31 Congreso de Riesgo para el Sector Solidario Este evento está desarrollado para que los asistentes encuentren beneficios en su participación. Entre ellos: Aprender a gestionar los riesgos emergentes. Analizar cómo alcanzar la administración de datos. Analizar las diversas perspectivas de los riesgos. Logar experiencias de alto grado en riesgo. Conocer las modificaciones regulatorias que influyen en la gestión del riesgo. Compartir experiencias con los máximos representantes del país en temas de gestión de riesgo. Agenda del Congreso de Riesgo para el Sector Solidario El XV Congreso de Riesgo para el Sector Solidario tendrá lugar en el Grand Hyatt Bogotá, donde los asistentes podrán disfrutar de dos jornadas en las que se ha preparado una agenda muy completa e interesante. A continuación mostramos algunas de las ponencias: Jueves 25 de julio Métricas para la gestión del riesgo reputacional basadas en el análisis de sentimientos con redes sociales. Comprensión para el manejo de la crisis reputacional. Oportunidades en el marco de la economía naranja. Alternativas para la construcción de modelos de segmentación y credit scoring. CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG 31

32 Gestión de Riesgos Problemas habituales en la gestión de riesgos según ISO Es evidente que los procesos de Gestión de Riesgos no están exentos de problemas. Tal como hemos visto en los apartados anteriores, están compuestos por pasos complejos y que requieren de coordinación y seguimiento permanentes. En este sentido, la norma ISO ayuda a disminuir los obstáculos en dos sentidos: En la implementación Es decir, cuando la empresa ha decidido dar este paso y se presta a realizar las actividades necesarias para la implementación de un Sistema de Gestión de Riesgos. En esta categoría, se pueden distinguir varios tipos de problemas: 32

33 Gestión de Riesgos 1. Resistencia al cambio: Algunas organizaciones no están lo suficientemente preparadas para llevar a la práctica un sistema de este tipo. Bien sea por falta de formación o bien porque no existe un verdadero empoderamiento del proceso, lo cierto es que la clave para atajar este asunto radica en las técnicas de grupo que la dirección ponga en marcha para aumentar el nivel de confianza de sus trabajadores. 2. Inmediatez: Un buen número de organizaciones no están dispuestas a esperar los plazos que se han convenido para la implementación del sistema. Quisieran que todo fuese de una sola vez y sin que tuviesen que invertir tiempo en ello. 3. Criterios distintos: Sucede sobre todo en las grandes empresas. Cuando los grupos de responsables tienen demasiados miembros o su elección no ha seguido parámetros de cierta unidad, lo más común es que entre estas personas se presenten diferencias de criterio a la hora de implementar el plan. Esto se traduce en retrasos, reuniones excesivas y, posiblemente, nombramiento de nuevos integrantes. 4. Falta de una figura coordinadora: Del mismo modo, algunos grupos suelen notar la ausencia de una persona líder que direcciones los procesos. De ahí la importancia de la elección de esa persona en los primeros pasos de la implementación. 5. Incumplimiento de plazos: Por causa de una mala planificación, recursos insuficientes o una comunicación CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG 33

34 Sistema de Gestión Compliance Cómo contribuye un Sistema de Gestión Compliance a la cultura organizacional? Un Sistema de Gestión Compliance o cumplimiento normativo ejerce una doble aportación de valor a la empresa: por un lado, contribuye a garantizar el respeto a la legalidad y la confianza, y, por otro, actúa como mecanismo de atenuación de la responsabilidad penal de la persona jurídica, en caso de que se lleven a cabo determinados delitos por miembros de la organización. 34

35 Sistema de Gestión Compliance Son muchos y muy diversos los beneficios del sistema de gestión compliance. Especialmente para aquellas compañías u organizaciones que hayan decidido llevar a cabo su implementación, sea o no con el objetivo de evitar y prevenir los riesgos penales a nivel corporativo. Este hecho es constatable ya que un sistema de gestión compliance en sí mismo comprende el análisis detallado y pormenorizado de diferentes bloques normativos entre los que habría que destacar mercados y competencia, sectores regulados, fiscalidad y seguridad social, seguridad e igualdad en el trabajo, consumidores, sociedad de la información y comunicación, blanqueo de capitales, soborno y corrupción. Actualmente, la implementación de un sistema de gestión compliance que no prevea el análisis de las diferentes tipologías delictivas que podrían afectar a la organización será una acción incompleta. Crear una cultura apropiada en la organización Si se quiere lograr una cultura empresarial modelo, que sirva de patrón para el comportamiento de todos los trabajadores, no cabe duda de que se tendrá que prever la implementación de un modelo de prevención del delito a través de un Sistema de Gestión Compliance. Este aportará otros beneficios además de este. De esta manera, la jurisprudencia de cada uno de los países ha ido definiendo la responsabilidad penal de las compañías CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG 35

36 Escuela Europea de Excelencia Conviértase en un experto en Seguridad de la Información con la Escuela Europea de Excelencia El valor de la información es clave de cara a la continuidad y prosperidad de cualquier empresa u organización. Esta es una de los mayores activos que puede poseer una compañía. Por ello, hoy en día, velar por su seguridad es uno de los mayores motivos de preocupación a nivel organizacional. Por este motivo, la implicación y la capacitación del personal de las empresas en la gestión de la seguridad de la información es muy importante. La Escuela Europea de Excelencia es consciente de este fenómeno y por eso oferta a los profesionales de la seguridad de la información un Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:

37 Escuela Europea de Excelencia La implantación de un SGSI no es tarea fácil. En la Escuela Europea de Exclencia te enseñamos a hacerlo La norma ISO IEC ISO/IEC es el estándar normativo para la seguridad de la información aprobado y publicado como estándar internacional en octubre de Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI). La versión más reciente de esta norma es la ISO De entre los cambios acometidos respecto a la versión de 2005, destaca la mayor flexibilidad para la elección de metodologías de trabajo para el análisis de riesgos y mejoras. Son muchas las organizaciones que se han decido por la implantación de esta norma. De esta manera, han optado por introducir procesos para identificar los riesgos de seguridad y establecer controles para gestionarlos o eliminarlos. Dado que el nivel de exigencia para la implantación de la norma requiere muchos conocimientos técnicos, la Escuela Europea de Excelencia, ha desarrollado el programa de Diplomado ISO El objetivo de este curso es formar a los profesionales en los requisitos que incluye la norma y como deberán aplicarlos para que sea efectivo en su organización. Además, la norma ISO ofrece que se garantice la integridad de cada uno de los activos importantes que tiene la empresa, el fundamental es la información. CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG 37

38 Jornadas ISOTools México Jornadas ISOTools México 2019: Tendencias en las metodologías de Gestión de Riesgos, Control y Auditorías Es de gran importancia para las organizaciones estar a la vanguardia y dar cumplimiento en temas relacionados con la gestión del riesgo, permitiendo incorporar estándares y procesos de evaluación y mitigación de los riesgos, observando cómo se encuentra la organización en su interior y como el entorno puede llegar a afectar en todas sus operaciones. Este será el tema principal de la próximas Jornadas ISOTools México. 38

39 Jornadas ISOTools México Es de gran importancia para las organizaciones estar a la vanguardia y dar cumplimiento en temas relacionados con la gestión del riesgo, permitiendo incorporar estándares y procesos de evaluación y mitigación de los riesgos, observando cómo se encuentra la organización en su interior y como el entorno puede llegar a afectar en todas sus operaciones. Este será el tema principal de la próximas Jornadas ISOTools México. Con el objetivo de tratar dicho tema ISOTools Excellence organiza el próximo martes 6 de agosto en la ciudad de México y 13 de agosto en Monterrey unas jornadas presenciales en las que se contemplarán las últimas tendencias en las metodologías de gestión de riesgos, control y auditorías. Unas jornadas completamente gratuitas impartidas en horario de mañanas y bajo el mando de dos grandes profesionales del equipo de ISOTools, como son, Diana Rodríguez, Country Manager ISOTools Excellence (México) y Marco Sevillano, International Business Developer. Tendencias en las metodologías de Gestión de Riesgos, Control y Auditorías Tiene muchísima importancia para las organizaciones y compañías estar a la vanguardia y dar cumplimiento en cuestiones relacionadas con la gestión del riesgo, pudiendo incorporar estándares y procesos de evaluación y mitigación de los riesgos, observando cómo se encuentra la organización en su interior y como el entorno puede llegar a afectar en todas sus operaciones. CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG 39

40 Webinars Webinars ISOTools para el próximo mes de agosto Desde hace años ISOTools Excellence apuesta por la difusión y la formación en áreas relacionadas con la calidad, los sistemas de gestión y la excelencia. Son ya casi 10 años los que ISOTools lleva realizando webinars gratuitos. Desde su origen, el objetivo de nuestros webinars es, dar a conocer algunos de los aspectos más interesantes relacionados con la calidad y la excelencia empresarial, así como presentar los beneficios que puede aportar ISOTools a las empresas que implementen nuestra plataforma digital para la automatización de sus sistemas de gestión. 40

41 Webinars Formaciones regulares y gratuitas todos los jueves de cada semana De manera ininterrumpida, todos los jueves de cada semana (excepto festivos) todo profesional o aquellas personas que estén interesadas, podrán asistir a nuestros webinars gratuitos. Divididos en dos partes: una de teoría y una práctica, los asistentes podrán recibir formación a lo largo de una hora y media, con respecto a un tema en concreto. Una vez terminado la parte práctica, se deja un periodo para resolver preguntas de los propios asistentes. Además de recibir esta formación, los asistentes recibirán un certificado gratuito que certificará su asistencia dicho evento online. Para estar al tanto sobre la temática y la fecha de los webinars más cercanos, los asistentes solo tendrán que visitar el apartado agenda de nuestra web. En este encontrarán un calendario en el que se detallan tanto estos eventos como otros. Por ejemplo demostraciones (realizadas cada martes) o eventos presenciales. Pulsando en cada uno de ellos, se podrán conocer sus detalles (temática, hora, ponentes, etc.) y formalizar la inscripción. CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG 41

42 Coaching Coaching Aplicado a los Sistemas de Gestión. El Coaching profesional está teniendo tanto éxito porque ha venido a darle a las personas y a las organizaciones respuestas que otras profesiones no le están dando; el Coaching le ha aportado al mundo algo que le faltaba, esa profesión del acompañamiento, de la asociatividad en el logro de objetivos que sin la guía del coach para el coachee sería muy difícil de lograr. Las más recientes versiones de las diferentes normas de los Sistemas de Gestión Ambiental ISO 14001:2015 y Gestión de la Calidad ISO 9001:2015, por ejemplo, incorporan y ponen énfasis en aspectos del talento humano tales como el liderazgo, el compromiso, la gestión de las relaciones y los sistemas de competencias. 42

43 Coaching Tanto en ISO 14001:2015 como en ISO 9001:2015 adopta un real protagonismo el concepto de liderazgo, que debería asumir la condición de ser el corazón de todo el sistema de gestión, y ser la clave para alcanzar el compromiso de las personas y en la gestión de las relaciones, en mantener una fluida comunicación, en tener en cuenta el contexto de la organización y tomar las decisiones para el logro del progreso de la organización. Así mismo, en la implementación de todo sistema de gestión existen dos grandes dimensiones donde el coaching juega un papel muy importante: los cambios a los que deberá someterse la organización y los cambios personales que cada integrante deberá realizar respectivamente. Además, entre los principales cambios en estas normas de gestión ISO 9001:2015 / ISO 14001:2015 se encuentran el desarrollo de un pensamiento basado en el riesgo y la oportunidad para apoyar la aplicación de un enfoque basado en procesos, mayor hincapié en el contexto organizacional y mayor énfasis en el logro de los resultados deseados. Esto significa que es necesario definir las influencias de diversos elementos sobre la organización y la forma en que inciden sobre el sistema de gestión, tales como la cultura y la dimensión estratégica de la empresa. CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG 43

44 Migración hacia ISO Migración hacia ISO Cómo realizar la migración de un estándar a otro? Tras haber sido publicada en 2018, la ISO 45001, el tiempo para realizar la migración hacia ISO por parte de las empresas certificadas con OHSAS implementada, empieza a contar. Como es ya bien sabido, se trata de la primera norma internacional sobre seguridad y salud en el trabajo, por lo cual, desde diversas instituciones educativas, se están realizando acciones formativas que ayuden a los profesionales en activo o a los que se están iniciando, a formarse en los nuevos requisitos y novedades que trae esta norma. En el artículo de hoy, le hablaremos de la migración hacia la ISO y de cuáles son los plazos para su adecuación, adaptación y certificación. 44

45 Migración hacia ISO Introducción a la norma ISO Después de cinco años de conversaciones y diálogo entre más de 100 expertos de varios países, en el año 2018 se publicó de forma definitiva la norma ISO para sistemas de gestión de seguridad y salud en el trabajo. Como resultado de su periodo de configuración y consensuación, se han recogido una serie de prácticas optimas para llevar a cabo la implementación de un sistema de gestión de seguridad y salud en el trabajo que mejore de forma sustancial la cantidad de accidentes laborales, en cualquier tipo de organización, independientemente de su actividad o tamaño. Así, la norma ISO 45001, centraliza su enfoque doblemente: tanto en la dirección de la empresa como en el trabajadorde esta manera hace partícipe a toda la empresa, integrándola en el sistema de gestión como un todo que debe funcionar al unísono por unas mejores condiciones de trabajo. Como novedades, la norma ISO da mayor importancia al papel de la alta dirección como líder del sistema de gestión de seguridad y salud en el trabajo, como eje clave de la estrategia de negocio. También hay que señalar que enfatiza lo que es el contexto de la organización y la gestión de sus riesgos. Esto es, procura la mejora del desempeño a través de las oportunidades generadas a través de los riesgos identificados. CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG 45

46 ISO Análisis y evaluación de riesgos según ISO 27001: identificación de amenazas, consecuencias y criticidad Un SGSI basado en la norma ISO se fundamenta principalmente en la identificación y análisis de las principales amenazas para, a partir de este punto de partida, poder establecer una evaluación y planificación de dichos riesgos. Una amenaza se puede definir como cualquier evento que puede afectar los activos de información y se relaciona, principalmente, con recursos humanos, eventos naturales o fallas técnicas. Algunos ejemplos pueden ser: ataques informáticos externos, infecciones con malware, una inundación, un incendio o cortes de fluido eléctrico. 46

47 ISO Pero en ocasiones basta una omisión o despiste por parte del personal de la empresa, como el uso de una simple pulsera imantada, para que se pueda llegar a producir un daño grave, e incluso irreparable, de la información. En definitiva, se trata de elaborar una adecuada gestión de riesgos que permita a las organizaciones conocer cuáles son las principales vulnerabilidades de sus activos de información. Un correcto proceso de identificación de riesgos implica: Identificar todos aquellos activos de información que tienen algún valor para la organización. Asociar las amenazas relevantes con los activos identificados. Determinar las vulnerabilidades que puedan ser aprovechadas por dichas amenazas. Identificar el impacto que podría suponer una pérdida de confidencialidad, integridad y disponibilidad para cada activo. Análisis y evaluación de los riesgos y sus consecuencias Se debe analizar el impacto en el negocio de un fallo de seguridad que suponga la pérdida de confidencialidad, integridad o disponibilidad de un activo de información, evaluando de forma realista la probabilidad de ocurrencia de un fallo de seguridad en relación a las amenazas, vulnerabilidades e impactos en los activos. CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG 47

48 Auditorías virtuales Auditorías Virtuales de sistemas de gestión basados en normas ISO. La transformación digital en las organizaciones cada vez se hace más extensiva a todos los sectores productivos, tanto públicos como privados. Las auditorías virtuales es un nuevo concepto adoptado por la ISO 19011:2018, la cual da orientación sobre como realizar las auditorias y hace mención especial a las actividades de auditorías virtuales en los sistemas de gestión, las cuales representan un paso más en este proceso de innovación digital. 48

49 Auditorías virtuales Mediante una serie de herramientas tecnológicas, los auditores de sistemas de gestión cada vez pueden llevar a cabo su labor de una manera más ágil y automatizada, de manera que las distancias y las diferencias horarias ya no representen una limitante para la ejecución de la auditoria, como un control que ayude a las organizaciones a asegurar el cumplimiento de forma eficiente y oportuna. Este artículo pretende que los profesionales de las auditorías en sistemas de gestión conozcan esta nueva tendencia relacionada con la digitalización empresarial, que afecta a los sistemas de gestión. Enfoque de la ISO 19011:2018 sobre auditorias virtuales La nueva edición de ISO presenta cambios muy interesantes con respecto a su antecesora del año Entre estos destaca la expansión del Anexo A, para orientar sobre nuevos conceptos de auditoría como contexto organizacional, liderazgo y compromiso, auditorías virtuales, conformidad o cadena de suministros. Como es bien es sabido, esta norma es aplicable a todas aquellas organizaciones que necesitan planear y llevar a cabo auditorías internas o externas de sistemas de gestión o administrar programas de auditorías. Cualquier persona que forme parte de un equipo de CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG 49

50 Quiénes somos Acerca de ISOTools Excellence Presencia mundial, apoyo local Desde los inicios de nuestra organización han pasado más de quince años de trabajo y mejora continua, donde el desarrollo de alianzas, la ampliación en normas y modelos, el gran crecimiento en número de clientes y tipología de proyectos, así como la expansión internacional, han marcado y marcan nuestra trayectoria. Estamos presentes en más de quince países, en los que nuestros equipos locales prestan un servicio adaptado a la realidad y mercado de cada zona. Empresa Excelente junio 2019

51 P L A T A F O R M A T E C N O L Ó G I C A P A R A L A G E S T I Ó N D E L A E X C E L E N C I A Software que agiliza los sistemas de gestioń y los modelos de excelencia de la gestioń empresarial Es un sistema modular, flexible, altamente parametrizable y adaptable a las necesidades de cada empresa u organizacioń independientemente del tamanõ y del sector en el que opere. /