SISTEMAS DE GESTIÓN DE CALIDAD PARA LAS OPERACIONES DE SEGURIDAD Y PREVENCIÓN NORMA CAB-IS-SS 10402:2006

Transcripción

1 INTERNATIONAL STANDARD SAFETY AND SECURITY CAB Spanish Version SISTEMAS DE GESTIÓN DE CALIDAD PARA LAS OPERACIONES DE SEGURIDAD Y PREVENCIÓN NORMA NO COPYING WITHOUT PERMISSION OF AMERICAN CERTIFICATION BODY - CAB EXCEPT AS PERMITTED BY COPYRIGHT LAW

2 Página 2 de 19 Introducción En esta segunda edición de la Norma CAB-IS-SS 10402, emitida el día 15 de septiembre de 2006, se observa que la misma ha mantenido una estructura uniforme y auditable mediante un sistema de verificación por terceras partes. Dado que la Norma CAB-IS-SS se encuentra sujeta a revisiones periódicas, su evolución continuará permitiendo recoger las mejoras especificadas por partes interesadas, así como identificar los cambios que sean necesarios según varíen las condiciones para su aplicación. Varios grupos y organizaciones interesadas, incluyendo empresas privadas, organizaciones no gubernamentales y sindicatos, ya han participado en esta versión, y American Certification Body - CAB gustosamente se mantiene abierto a los consejos que ustedes nos puedan ofrecer. Para conocer su opinión sobre la Norma CAB-IS-SS 10402, o sobre el ámbito de certificación, por favor envíen sus comentarios a info@isocab.org. Es importante destacar que este Sistema de Gestión, es compatible con los demás Sistemas de Gestión existentes en la actualidad tales como los que se encuentran mencionados en las normas internacionales ISO 9001 sobre Gestión de Calidad, ISO sobre Gestión Ambiental, ISO sobre Seguridad en la Información y OHSAS sobre Seguridad y Salud Ocupacional, existiendo la posibilidad de integrarlo con los sistemas mencionados, dado que la estructura documental es compatible con los demás sistemas de gestión citados. La Norma, reconoce como Auditores para la verificación su aplicación y certificación del Sistema en las organizaciones a la totalidad de los Auditores que reúnan los requisitos de la Norma ISO 19011:2002 y que además hayan aprobado el Curso para Auditores de Seguridad y Prevención CAB, pudiendo aquellos que reúnan estos requisitos participar en la certificación de cumplimiento de la Norma, de aquellas organizaciones que así deseen demostrarlo. CAB American Certification Body Prohibida la reproducción de la norma sin permiso escrito de American Certification Body - CAB. Web Site info@isocab.org

3 Página 3 de 19 SISTEMA DE GESTIÓN DE CALIDAD PARA LAS OPERACIONES DE SEGURIDAD Y PREVENCIÓN () 1. Propósito. Esta norma internacional especifica los requisitos para que un Sistema de Gestión de Calidad para las Operaciones de Seguridad y Prevención sea aplicable a una Organización cuando esta necesita: a. demostrar su capacidad para suministrar de forma consistente Servicios de Seguridad y Prevención que satisfagan los requisitos del cliente y los requisitos reglamentario aplicables y; b. aspira a aumentar la satisfacción del cliente a través de la efectiva aplicación del sistema, incluidos los procesos para la mejora continua del sistema y el aseguramiento de la conformidad con los requisitos del cliente y los requisitos reglamentarios que le sean aplicables. c. Desarrollar, mantener y aplicar sus principios y sus procedimientos con el objeto de manejar aquellos asuntos que están bajo su control o influencia. 2. Campo de aplicación. Todos los requisitos de esta Norma Internacional son genéricos y se pretende que sean aplicables a todas las organizaciones sin importar su tipo, tamaño y sistema de seguridad o prevención suministrado. Cuando algún requisito de esta Norma Internacional no se pueda aplicar debido a la naturaleza de la organización y de su servicio, éste puede considerarse para su exclusión. Cuando se realicen exclusiones, no se acepta reclamar la conformidad contra esta norma internacional a menos que dichas exclusiones no afecten a la capacidad o responsabilidad de la organización para proporcionar servicios que cumplan los requisitos del cliente y los requisitos reglamentarios aplicables. Los requerimientos de esta norma serán de aplicación universal en lo que respecta a emplazamiento geográfico, sector industrial y tamaño de la compañía. Nota: Está previsto que la aplicación de la presente norma, sea proporcional a las circunstancias y necesidades de cada organización en particular. 3. Elementos normativos y su interpretación.

4 Página 4 de 19 La compañía deberá acatar la legislación nacional y cualquier otro derecho aplicable, cumplir con las obligaciones a las que la empresa se someta voluntariamente, y con lo establecido en la presente Norma. Cuando tanto la legislación nacional y los otros derechos aplicables, como las obligaciones a las que la empresa se someta, así como el contenido de la presente traten de la misma cuestión, se considerará aplicable la regulación más estricta. 4. Definiciones. Para los propósitos de esta norma aplican las definiciones contenidas en la Norma Internacional ISO 9000: Sistema de Gestión de Calidad para las operaciones de seguridad y prevención Requisitos generales. Los elementos del Sistema son la columna vertebral del Sistema de Gestión de Calidad para las Operaciones de Seguridad y Prevención. Constituyen los aspectos a considerar por parte de la Organización y revisten un carácter mandatario, que es requerido para poder obtener la certificación del sistema por una Auditoría de tercera parte. La organización debe establecer, documentar, implementar, mantener y mejorar continuamente la eficacia de un sistema de gestión de calidad para las operaciones de seguridad y prevención de acuerdo con los requisitos de esta Norma Internacional. La organización debe: a) identificar los procesos necesarios para el sistema de gestión de calidad para las operaciones de seguridad y prevención y su aplicación a través de la organización (véase 2.), b) determinar la secuencia e interacción de estos procesos, c) determinar los criterios y métodos necesarios para asegurar que tanto la operación como el control de estos procesos son eficaces, d) asegurar la disponibilidad de recursos e información necesarios para apoyar la operación y el seguimiento de estos procesos. e) medir, realizar el seguimiento y analizar estos procesos, f) implementar las acciones necesarias para alcanzar los resultados planificados y la mejora continua de estos procesos, y g) analizar los factores de riesgo de la misma y de sus clientes, además de las condiciones del entorno en el cual opera. En los casos en que la organización elija contratar externamente cualquier proceso que afecte la conformidad del servicio con los requisitos, debe asegurar el control sobre tales procesos, el cual debe estar identificado en el Sistema de Gestión. Nota: Los procesos necesarios para el sistema de gestión de calidad para las

5 Página 5 de 19 operaciones de seguridad y prevención a los que se ha hecho referencia anteriormente deberían considerar los procesos para las actividades de gestión, provisión de recursos, realización del producto y mediciones Requisitos de la documentación Generalidades. La documentación del sistema de gestión de calidad para las operaciones de seguridad y prevención debe incluir: a) declaraciones documentadas de una política de gestión de calidad para las operaciones de seguridad y prevención y de objetivos de la las mismas, b) un manual de gestión, c) los procedimientos documentados requeridos en esta Norma Internacional, d) los documentos requeridos por la organización para la planificación y operación eficaz de sus procesos, y e) los registros de las operaciones requeridos por esta Norma Internacional. (véase ). Nota 1: Donde aparezca el término "procedimiento documentado" dentro de esta Norma Internacional, se requiere que el procedimiento sea establecido, documentado, implementado y mantenido. Nota 2: La extensión de la documentación del sistema de gestión de calidad para las operaciones de seguridad y prevención puede diferir de una organización a otra debido a: a) el tamaño de la organización y el tipo de actividades; b) la complejidad de los procesos y sus interacciones, y c) la competencia del personal. Nota 3: La documentación puede estar en cualquier formato o medio Manual de Gestión. La organización debe establecer y mantener un manual de gestión que incluya lo siguiente: a) el alcance del sistema de gestión de calidad para las operaciones de seguridad y prevención, incluyendo los detalles y la justificación de cualquier exclusión (véase 2); b) una descripción de la interacción entre los procesos y procedimientos documentados del sistema de gestión Control de documentos Los documentos requeridos por el sistema de gestión deben controlarse. Los registros del sistema son un tipo especial de documento y deben controlarse de acuerdo con los requisitos dados en el apartado Debe establecerse un procedimiento documentado que defina los controles necesarios para:

6 Página 6 de 19 a) aprobar los documentos en cuanto a su adecuación antes de su emisión, b) revisar y actualizar los documentos cuando sea necesario así como para llevar a cabo su reaprobación en las distintas versiones que se realicen de los mismos, c) asegurar que se identifican los cambios y el estado de revisión actual de los documentos, d) asegurar que las versiones pertenecientes de los documentos aplicables se encuentran disponibles en los puntos de uso, e) asegurar que los documentos permanecen legibles y son fácilmente identificables, f) asegurar que se identifican los documentos de origen externo y que se controla su distribución, g) evitar el uso no intencionado de documentos obsoletos, y para aplicarles una identificación adecuada en el caso de que se mantengan por cualquier razón, e h) identificar y tener acceso a los requisitos legales aplicables a la organización y también a cualquier requisito al cual se encuentren sometidas y que sea aplicable a la gestión de calidad para las operaciones de seguridad y prevención Control de los registros del sistema de gestión. Deben establecerse y mantenerse registros del sistema de gestión para proporcionar evidencia de la conformidad con los requisitos así como de la operación eficaz del sistema de gestión. Los registros del sistema deben permanecer legibles, fácilmente identificables y recuperables. Debe establecerse un procedimiento documentado para definir los controles necesarios para la identificación, legibilidad, almacenamiento, protección, recuperación, tiempo de retención y disposición de los registros. 6. Responsabilidad de la dirección Compromiso de la dirección. La dirección de la organización debe proporcionar evidencia de su compromiso para el desarrollo e implementación del sistema de gestión y para la mejora continua, de acuerdo a los ítems que se detallan a continuación: a) comunicando a la organización la importancia de satisfacer tanto los requisitos del cliente como los legales y reglamentarios; b) estableciendo la Política de las Operaciones de Seguridad y Prevención; c) asegurando que se establecen los objetivos del sistema de gestión; d) llevando a cabo las revisiones por la dirección, y e) asegurando la disponibilidad de los recursos necesarios para el funcionamiento del sistema Enfoque al cliente. La dirección de la organización debe asegurar que los requisitos del cliente se

7 Página 7 de 19 determinan, analizan y cumplen con el propósito de satisfacer sus necesidades. (véanse los apartados y ) Política de las Operaciones de Seguridad y Prevención. La dirección de la organización debe definir, documentar y respaldar su Política de las Operaciones de Seguridad y Prevención, asegurando que la misma: a) es adecuada al propósito de la organización; b) incluye el compromiso de satisfacer los requisitos y de mejorar continuamente la eficacia y eficiencia del sistema de gestión; c) proporciona un marco de referencia para establecer y revisar los objetivos del sistema de gestión; d) se comunica y entiende dentro de la organización; y e) se revisa para mantenerla adecuada continuamente Planificación Generalidades. Para que el sistema no fracase debe existir una adecuada planificación. Esto implica la identificación de los requisitos en materia de seguridad y prevención de la totalidad de las operaciones que realice la organización, estableciendo criterios de desempeño, definiendo lo que se debe hacer, quien es el responsable, cuando se debe hacer y el resultado esperado Objetivos. La dirección de la organización debe asegurar que los objetivos del sistema de gestión, incluyendo aquellos necesarios para cumplir los requisitos del servicio [véase 8.1. a)], se establecen en las funciones y niveles pertinentes dentro de la misma. Los objetivos de gestión deben ser medibles y coherentes con la Política de las Operaciones de Seguridad y Prevención Planificación del sistema de gestión de calidad para las operaciones de seguridad y prevención. La dirección de la organización debe asegurar que: a) la planificación del sistema de gestión se lleva a cabo con el fin de cumplir los requisitos dados en el apartado 6.1., así como los objetivos del sistema, y b) se mantiene la integridad del sistema de gestión cuando se planifican e implementan cambios en éste Responsabilidad, autoridad y comunicación Responsabilidad y autoridad. La dirección de la organización debe asegurar que las responsabilidades, autoridades y su interrelación están

8 Página 8 de 19 definidas y comunicadas dentro de la organización Representante de la dirección. La dirección de la organización debe designar un miembro de la dirección quien, con independencia de otras responsabilidades, debe tener la responsabilidad y autoridad que incluya: a) asegurar que se establecen, implantan y mantienen los procesos necesarios para el sistema de gestión; b) informar a la dirección de la organización sobre el desempeño del sistema de gestión y de cualquier oportunidad de mejora; c) asegurar que se promueva la toma de conciencia de los requisitos de los clientes en todos los niveles de la organización. Nota: La responsabilidad del representante de la dirección puede incluir relaciones con partes externas sobre asuntos relacionados con el sistema de gestión Comunicaciones Generalidades. La organización debe establecer y mantener procedimientos y condiciones para: a. La comunicación abierta y efectiva de información sobre la seguridad y prevención con sus clientes y proveedores. b. El suministro de asesoría y servicios de especialistas. c. La participación y el compromiso de los empleados y asociados a la misma Comunicación interna. La dirección de la organización debe asegurar que se establecen los procesos apropiados de comunicación dentro de la misma y que la comunicación se efectúa considerando la eficacia del sistema de gestión Revisión por la dirección Generalidades. La dirección de la organización debe como mínimo una vez al año en forma planificada, revisar el sistema de gestión de la misma, para asegurar su continua consistencia, adecuación, eficiencia y eficacia. La revisión debe incluir la evaluación de las oportunidades de mejora y la necesidad de efectuar cambios en el sistema de gestión, incluyendo la política de las Operaciones de Seguridad y Prevención, así como los objetivos del sistema. Deben mantenerse registros de las revisiones por la dirección (véase ) Información para la revisión.

9 Página 9 de 19 La información para la revisión por la dirección debe incluir información sobre: a) resultados de auditorías; b) retroalimentación de los clientes; c) desempeño de los procesos y conformidad del servicio; d) análisis de los distintos informes de operaciones que se hayan elaborado; e) evaluación de las distintas situaciones de riesgo que hayan surgido en las prestaciones que se realizan; f) situación de las acciones correctivas y preventivas; g) acciones de seguimiento de revisiones anteriores de la dirección; h) cambios planificados que podrían afectar al sistema de gestión; i) recomendaciones para la mejora Resultados de la revisión. Los resultados de la revisión por la dirección deben incluir las decisiones y acciones asociadas a: a) la mejora de la eficacia del sistema de gestión y sus procesos; b) la mejora del servicio en relación con los requisitos del cliente; c) la necesidad de recursos. 7. Gestión de los recursos Suministro de recursos. La organización debe determinar y proporcionar los recursos necesarios para: a) implementar y mantener el sistema de gestión y mejorar continuamente su eficacia, b) aumentar la satisfacción del cliente, c) prever la cobertura de las áreas claves de la organización. (Ej.: Operaciones, Riesgos, Planificación, RR.HH.) 7.2. Recursos humanos Generalidades. El personal que realice trabajos que afectan la gestión de calidad para las operaciones del servicio, debe ser competente con base en la educación, formación, habilidades y experiencia apropiadas. El personal que cumple funciones directivas, gerenciales, de supervisión y/o que requieran habilidades especiales por las características del servicio deberá cumplir además con los siguientes requisitos: a. Tener suficiente conocimiento, habilidades y experiencia en operaciones de seguridad y prevención de manera segura y confiable, conforme con los requisitos legales y reglamentarios vigentes.

10 Página 10 de Competencia, formación y entrenamiento. La organización debe: a) determinar las competencias necesarias para el personal que realiza trabajos que afecten la calidad del servicio; b) proporcionar formación o tomar otras acciones para satisfacer dichas necesidades; c) evaluar la eficacia de las acciones tomadas; d) asegurar que su personal es consciente de la relevancia e importancia de sus actividades y como contribuyen al logro de los objetivos de gestión, y e) mantener los registros apropiados de la educación, formación, habilidades, entrenamiento y experiencia (véase ) Infraestructura. La organización debe determinar, proporcionar y mantener la infraestructura necesaria para lograr la conformidad con los requisitos del servicio. La infraestructura incluye, por ejemplo, los: a) edificios, espacio de trabajo y servicios asociados; b) equipos para los procesos, electrónicos, mecánicos, armas, y todo aquello relacionado con el hardware y software, y c) servicios de apoyo tales como transporte o comunicación Ambiente de trabajo. La organización debe determinar y gestionar las condiciones del ambiente de trabajo necesarias para lograr la conformidad con los requisitos del servicio. 8. Prestación del Servicio Planificación de la prestación del servicio. La organización debe planificar y desarrollar los procesos necesarios para la prestación del servicio. La planificación de la prestación del servicio debe ser consistente con los requisitos de otros procesos del sistema de gestión (véase 5.1.). En la planificación de la prestación del servicio, la organización debe determinar, cuando sea apropiado, lo siguiente: a) los objetivos de gestión y los requisitos para el servicio; b) las necesidades de establecer procesos, documentos y proporcionar recursos específicos para el servicio; c) las actividades requeridas de, validación, seguimiento, y supervisión específicos para el servicio así como los criterios para la aceptación del mismo; d) el control operacional de las actividades cubiertas. e) los registros que sean necesarios para proporcionar evidencia de que lo procesos de realización y el producto resultante cumplen los requisitos (véase ).

11 Página 11 de 19 El resultado de esta planificación debe presentarse en forma adecuada para el método de operar de la organización Nota 1: Un documento que especifica los procesos del sistema de gestión (incluyendo los procesos de prestación de servicio) y los recursos que deben aplicarse a un servicio, proyecto o contrato especifico, puede denominarse plan de gestión. Nota 2: La organización también puede aplicar los requisitos dados en el apartado 8.3. para el desarrollo de los procesos de prestación del servicio Preparación y respuesta a eventos críticos. La organización debe establecer y mantener procedimientos documentados para identificar y responder ante situaciones críticas, al igual que para prevenir el impacto y efecto que estos eventos o situaciones puedan generar sobre sus operaciones o la imagen de la organización Proceso de evaluación de riesgos. La organización debe establecer y mantener un procedimiento documentado para realizar la evaluación de riesgos de sus prestaciones de servicio, cuando las características de la misma requieran la aplicación de este proceso Previsiones. La organización debe prever los planes operacionales para implementar las medidas de evaluación de riesgos mencionados en el numeral 8.2., cumpliendo los requisitos indicados en el numeral h) Procesos relacionados con el cliente Determinación de los requisitos relacionados con la prestación del servicio. La organización debe determinar: a) los requisitos especificados por el cliente, incluyendo los requisitos para las actividades de implantación, seguimiento y supervisión; b) los requisitos no especificados por el cliente pero necesarios para la utilización prevista o especificada; c) los requisitos legales y reglamentarios relacionados con la prestación del servicio, y d) cualquier requisito adicional determinado por la organización Revisión de los requisitos relacionados con la prestación del servicio. La organización debe revisar los requisitos relacionados con la prestación del servicio. Esta revisión debe efectuarse antes de que la organización se comprometa a proporcionar un servicio al

12 Página 12 de 19 cliente (Ej.: envío de ofertas, aceptación de contratos o pedidos, aceptación de cambios en los contratos o pedidos), y debe asegurar que: a) los requisitos de la prestación del servicio están definidos; b) las diferencias existentes entre los requisitos del pedido o contrato y los expresados previamente son resueltas, y c) la organización tiene la capacidad para cumplir con los requisitos definidos. Deben mantenerse registros de los resultados de la revisión y de las acciones originadas por la misma (véase ). Cuando el cliente no proporcione una declaración documentada de los requisitos, la organización debe confirmar los requisitos del cliente antes de la aceptación y debe considerar en la revisión de los requisitos relacionados con la prestación del servicio, a aquellos que surjan de los análisis de riesgos y evaluaciones realizadas en las inspecciones correspondientes. Cuando se cambien los requisitos de la prestación del servicio, la organización debe asegurar que la documentación pertinente se modifica y que el personal asignado es consciente de los requisitos modificados Comunicación con los clientes. La organización debe determinar e implementar mecanismos eficaces para la comunicación con los clientes, relativas a: a) la información sobre el producto y/o prestación; b) el tratamiento de preguntas, contratos y pedidos, incluyendo las modificaciones, y c) la retroalimentación del cliente, incluyendo sus quejas Diseño y desarrollo Planificación del diseño y desarrollo. La organización debe planificar y controlar el diseño y desarrollo de la prestación del servicio. Durante la planificación del diseño y desarrollo la organización debe determinar: a) las etapas del diseño y desarrollo; b) la revisión y validación, apropiadas para cada etapa del diseño y desarrollo, y c) las responsabilidades y autoridades para el diseño y el desarrollo. La organización debe gestionar las interfases entre los diferentes grupos implicados en el diseño y desarrollo para asegurar una comunicación eficaz y una clara asignación de responsabilidades. Los resultados de la planificación deben actualizarse, cuando sea apropiado, a medida que progresa el diseño y desarrollo.

13 Página 13 de Elementos de entrada para el diseño y desarrollo. Deben determinarse los resultados de entrada relacionada con los requisitos de la prestación del servicio y mantenerse registros (véase ). Estos deben incluir: a) los requisitos funcionales y de desarrollo; b) los requisitos legales y reglamentarios aplicables; c) la información aplicable proveniente de diseños previos similares, cuando corresponda, y d) cualquier otro requisito esencial para el diseño y desarrollo. Estos elementos deben revisarse para verificar su adecuación. Los requisitos deben estar completos, sin ambigüedades y no deben estar en conflicto entre sí Resultados del diseño y desarrollo. c) contener o hacer referencia a los criterios de aceptación de la prestación del servicio, y d) especificar las características de la prestación del servicio que son esenciales para la implantación correcta y segura del mismo Control de cambios del diseño y desarrollo. Los cambios de diseño y desarrollo deben identificarse y deben mantenerse registros. Los cambios deben revisarse, cuando sea apropiado, y aprobarse antes de su implementación. La revisión de los cambios del diseño y desarrollo debe incluir la evaluación del efecto de los cambios en la aplicación de la prestación del servicio. Deben mantenerse registros de los resultados de la revisión de los cambios y de cualquier acción que sea necesaria (véase ). Los resultados del diseño y desarrollo deben proporcionarse de tal manera que permitan la verificación contra las entradas del diseño y desarrollo y deben aprobarse antes de la implantación del servicio. Los elementos de salida del diseño y desarrollo deben: a) cumplir los elementos de entrada del diseño y desarrollo; b) proporcionar información apropiada pertinente para las compras y suministros relacionados con el servicio; 8.6. Compras Proceso de compras. La organización debe asegurar que el producto, equipo y/o servicio adquirido cumple los requisitos de compra especificados. El tipo y alcance de control aplicado al proveedor y el producto adquirido debe depender del efecto del producto, equipo y/o servicio adquirido en la posterior prestación del servicio. La organización debe evaluar y seleccionar los proveedores en función de

14 Página 14 de 19 su capacidad para suministrar productos, equipos y/o servicios de acuerdo con los requisitos de la organización. Deben establecerse los criterios para la selección, la evaluación y la re-evaluación de los mismos. Deben mantenerse registros de los resultados de las evaluaciones y de cualquier acción necesaria que se derive de la misma (véase ) Información de las compras. La información de compra debe describir el producto, equipo y/o servicio a comprar, incluyendo, cuando sea apropiado: a) requisitos para la aprobación del producto, equipo y/o servicio, procedimientos, procesos y equipos, b) requisitos para la calificación del personal, y c) requisitos del sistema de gestión de la calidad del proveedor. La organización debe asegurar la adecuación de los requisitos de compra especificados antes de comunicarlos al proveedor Verificación de los productos comprados. La organización debe establecer e implementar la inspección u otras actividades necesarias para asegurar que el producto, equipo y/o servicio comprado cumplen los requisitos de compra especificados Operaciones de prestación de servicio Control de las operaciones de prestación de servicio. La organización debe planificar y llevar a cabo la prestación del servicio bajo condiciones controladas. Las condiciones controladas deben incluir, cuando sea aplicable: a) la disponibilidad de información que describa las características de la prestación del servicio; b) la disponibilidad de instrucciones de trabajo; c) la utilización del equipo apropiado; d) la disponibilidad y utilización de equipos de medición y seguimiento; e) la implementación de actividades de seguimiento y medición Validación de los procesos de prestación de servicios. La organización debe validar todo proceso de prestación de servicio, la forma de validar estos procesos es después de que la prestación del servicio esté siendo ejecutada. La validación debe establecer las disposiciones para estos procesos para alcanzar los resultados planificados. La organización debe establecer los preparativos necesarios para estos procesos, incluyendo, cuando sea aplicable:

15 Página 15 de 19 a) criterios definidos para la revisión y aprobación de los procesos, b) aprobación de equipos y calificación del personal, c) la utilización de métodos y procedimientos específicos, y d) los requisitos aplicables a los registros (véase ) Identificación y trazabilidad. Cuando sea apropiado, la organización debe identificar la prestación del servicio y todos los productos, equipos, personal y/o servicios que se utilicen en la misma, por medios adecuados. Cuando la trazabilidad sea un requisito, la organización debe controlar y registrar la identificación de la totalidad de los componentes indicados en el párrafo anterior (véase ) Bienes del cliente. La organización debe cuidar los bienes del cliente mientras estén bajo el control de la organización o estén siendo utilizados por la misma. La organización debe identificar, verificar, proteger y mantener los bienes del cliente suministrados para su utilización o incorporación dentro de la prestación del servicio. Cualquier bien del cliente que se pierda, deteriore o que de algún otro modo se estime que es inadecuado para su uso debe ser registrado (véase ) y comunicado al cliente. Nota: Los bienes del cliente incluyen cuando corresponda la propiedad intelectual Control de los equipos de medición y de seguimiento. La organización debe determinar las actividades de medición y seguimiento que se requieran para proporcionar la evidencia de la conformidad de la prestación del servicio con los requisitos especificados (véase ). La organización debe establecer procesos para asegurar que las actividades de medición y seguimiento pueden realizarse y se realizan de una manera coherente con los requisitos de medición y seguimiento. Donde sea necesario asegurar la validez de los resultados, los equipos de medición deben: a) calibrarse o verificarse a intervalos específicos o antes de su utilización, contra patrones de medición trazables nacionales o internacionales; cuando no existan tales patrones deben registrarse la base utilizada para la calibración o verificación; b) ajustarse o re-ajustarse según sea necesario; c) identificarse para posibilitar la determinación del estado de calibración; d) protegerse contra ajustes que pudieran invalidar el resultado de la medida;

16 Página 16 de 19 e) protegerse contra daños y el deterioro durante la manipulación, mantenimiento y almacenamiento. Además la organización debe evaluar y registrar la validez de los resultados de las mediciones anteriores cuando se detecte que el equipo no está conforme con los requisitos. La organización debe tomar las acciones apropiadas sobre el equipo y sobre cualquier producto afectado. Deben mantenerse registro de los resultados de la calibración y la verificación. Debe confirmarse la capacidad de los programas informáticos para satisfacer su aplicación prevista cuando éstos se utilicen en las actividades de seguimiento y medición de los requisitos especificados. Esto debe llevarse a cabo antes de iniciar su utilización y confirmarse de nuevo cuando sea necesario. c) mejorar continuamente la eficacia del sistema de gestión. Esto debe incluir la determinación de los métodos aplicables, las técnicas estadísticas, y el alcance de su utilización Monitoreo, medición y seguimiento Satisfacción del cliente. Como una de las medidas del desempeño del sistema de gestión, la organización debe realizar el seguimiento de la información relativa a la percepción del cliente respecto a si la organización ha cumplido sus requisitos. Deben determinarse los métodos para obtener y utilizar dicha información. Nota: Véase la Norma ISO a modo de guía. 9. Monitoreo, medición, análisis y mejora Generalidades. La organización debe establecer y mantener procedimientos documentados para planificar e implementar los procesos de seguimiento, medición, análisis y mejora necesarios para: a) demostrar la conformidad de la prestación del servicio, b) asegurar la conformidad del sistema de gestión, y Operaciones La organización debe realizar mediciones proactivas del desempeño del sistema de gestión, mediante: a. Inspecciones y seguimiento, b. monitoreo de la conformidad con las disposiciones sobre seguridad, c. sistemas de seguridad física, d. seguridad electrónica, e. controles de acceso, f. selección de personal, g. control de documentos y de la información, h. manejo de sellos y precintos de seguridad, i. inspección de vehículos de transporte, y

17 Página 17 de 19 j. otros controles que sean necesarios La organización debe realizar mediciones reactivas del desempeño, monitoreando los siguientes elementos: a. Incidentes, b. accidentes, c. situaciones críticas, d. otras evidencias históricas de desempeño deficiente en la seguridad de las operaciones Auditoría interna. La organización debe llevar a cabo a intervalos planificados auditorías internas para determinar si el sistema de gestión: a) está conforme con las actividades planificadas (véase 8.1.), con los requisitos de esta Norma Internacional y con los requisitos del sistema de gestión establecidos por la organización, y b) se ha implementado y se mantiene de manera eficaz. Se debe planificar un programa de auditorías tomando en consideración el estado y la importancia de los procesos y áreas a auditar, así como con los resultados de auditorías previas. Se deben definir los criterios de auditoría, el alcance de la misma, su frecuencia y metodología. La selección de los auditores y la realización de las auditorías deben asegurar la objetividad e imparcialidad del proceso de auditoría. Los auditores no deben auditar su propio trabajo. Deben definirse en un procedimiento documentado las responsabilidades y requisitos para la planificación y realización de auditorías, y para la presentación de resultados y el mantenimiento de los registros (véase ). La dirección responsable del área que esté siendo auditada debe asegurar que se toman acciones sin demora injustificada para eliminar las no conformidades detectadas y sus causas. Las actividades de seguimiento deben incluir la verificación de las acciones tomadas y el informe de los resultados de la verificación. Nota: Véase la Norma ISO a modo de guía Medición y seguimiento de los procesos. La organización debe aplicar métodos apropiados para el seguimiento, y cuando sea aplicable, la medición de los procesos del sistema de gestión. Estos métodos deben demostrar la capacidad de los procesos para alcanzar los resultados planificados. Cuando no se alcancen los resultados pretendidos, deben llevarse a cabo correcciones y acciones correctivas, según sea conveniente, para asegurar la conformidad de la prestación del servicio Medición y seguimiento de la prestación del servicio.

18 Página 18 de 19 La organización debe medir y hacer un seguimiento de las características de la prestación del servicio para verificar que se cumplen los requisitos de la misma. Este debe realizarse en las etapas apropiadas del proceso de prestación del servicio de acuerdo con los preparativos planificados (véase 8.1.). De mantenerse evidencia de la conformidad con los criterios de aceptación. Los registros deben indicar la(s) persona(s) que autoriza(n) la implantación de la prestación del servicio (véase ). La autorización para la implantación de la prestación del servicio no deben llevarse a cabo hasta que se hayan completado satisfactoriamente las disposiciones planificadas (véase 8.1.), a menos que sean aprobados de otra manera por una autoridad pertinente, y cuando corresponda, por el cliente Control del servicio y/o producto no conforme. La organización debe asegurar que el producto, equipo y/o servicio que no sea conforme con los requisitos, se identifica y controla para prevenir su utilización o implantación no intencionados. Los controles y las responsabilidades relacionadas con los mismos, así como las autoridades para tratar los productos, equipos y/o servicios no conformes deben estar definidas en un procedimiento documentado. La organización debe tratar los productos, equipos y/o servicios no conformes mediante una o más de las siguientes maneras: a) tomando acciones para eliminar la no conformidad detectada; b) autorizando su utilización, implantación o aceptación bajo concesión por una autoridad competente, y cuando corresponda, por el cliente; c) tomando acciones para prevenir su utilización o aplicación original. Deben mantenerse registros (véase ) de la naturaleza de las no conformidades y de cualquier acción tomada posteriormente, incluyendo las concesiones que se hayan obtenido. Cuando se corrige un producto, equipo y/o producto no conforme, debe someterse a una nueva verificación para demostrar su conformidad con los requisitos. Cuando se detecta un producto, equipo y/o servicio no conforme después de la implantación o cuando se ha comenzado su utilización, la organización debe adoptar las acciones apropiadas respecto de las consecuencias, o efectos potenciales, de la no conformidad Análisis de datos. La organización debe determinar, recopilar y analizar los datos apropiados para demostrar la adecuación y la eficacia del sistema de gestión y para evaluar donde pueda realizarse la mejora continua del sistema de gestión. Esto debe incluir

19 Página 19 de 19 los datos generados del resultado de la medición y seguimiento y de cualquier otra fuente pertinente. El análisis de datos debe proporcionar información sobre: a) la satisfacción del cliente (véase ); b) la conformidad con los requisitos de la prestación del servicio (véase ); c) las características y tendencias del proceso y de las prestaciones de servicio incluyendo las oportunidades para llevar a cabo acciones preventivas, y d) los proveedores Mejora Mejora continua. La organización debe mejorar continuamente la eficacia del sistema de gestión, objetivos del sistema, resultados de las auditorías, análisis de datos, acciones correctivas y preventivas y la revisión de la dirección Acción correctiva. La organización debe tomar acciones para eliminar la causa de no conformidades con objeto de prevenir su repetición. Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades encontradas. Debe establecerse un procedimiento documentado para definir los requisitos para: a) revisar las no conformidades (incluyendo las quejas de los clientes); b) determinar las causas de las no conformidades; c) evaluar la necesidad de adoptar acciones para asegurar que las no conformidades no vuelvan a ocurrir; d) determinar e implementar las acciones necesarias; e) registrar los resultados de las acciones tomadas (véase ), y f) revisar las acciones correctivas tomadas Acción preventiva. La organización debe determinar acciones para eliminar las causas de no conformidades potenciales y para prevenir su ocurrencia. Las acciones preventivas tomadas deben ser apropiadas a los efectos de los problemas potenciales. Debe establecerse un procedimiento documentado para definir los requisitos para: a) determinar no conformidades potenciales y sus causas; b) evaluar la necesidad de actuar para prevenir la ocurrencia de no conformidades; c) determinar e implementar las acciones necesarias; d) registrar los resultados de las acciones tomadas (véase ), y

20 Página 20 de 19 e) revisar las acciones preventivas tomadas. BIBLIOGRAFÍA a) IS0 9000:2005 Sistemas de Gestión de Calidad. Fundamentos y Vocabulario. b) ISO 9001:2000 Sistemas de Gestión de Calidad. Requisitos. c) ISO 19011:2000 Directrices para la auditoría de los Sistemas de Gestión de Calidad. d) CAB-IS-SS 10402:2000 Sistemas de Gestión y Control de las Operaciones de Seguridad y Prevención.