INTEGRACIÓN DE SISTEMAS DE GESTIÓN

17 julio, 2019 por Govertis Blog 0 comentarios

INTEGRACIÓN DE SISTEMAS DE GESTIÓN

Es muy frecuente que en una misma empresa nos encontremos que la misma tiene implantados varios sistemas de gestión y que éstos son totalmente diferentes entre ellos e, incluso, a veces, incompatibles. Nos encontramos que las organizaciones definen tantos procedimientos para un mismo proceso como normas tienen implantadas o, incluso, se redactan procedimientos específicos para un determinado cliente solamente para poder incluir su nombre, cuando el proceso es el mismo. Estas prácticas generan una gran cantidad de documentación imposible de gestionar ¿cómo de sencillo puede resultar realizar un cambio en un proceso con tantas diferencias?

Por ejemplo, una organización puede disponer de un sistema de gestión de calidad basado en la norma 9001 que no tiene en cuenta los requisitos de su sistema de gestión de seguridad de la información basado en la norma 27001 y viceversa, encontrándonos dos maneras de gestionar un mismo proceso.

Ninguna norma nos obliga a definir un procedimiento diferente para gestionar no conformidades de calidad, medio ambiente, seguridad de la información o relativas a la norma que tengamos implantada en nuestra organización. Asimismo, tampoco nos solicitan analizar de manera diferente un contexto de nuestra organización, aunque sí que lo hagamos pensándolo desde diferentes perspectivas, el proceso para analizarlo será siempre el mismo. Tampoco nos piden planificar y realizar auditorías internas o medir la satisfacción de los clientes de manera diferente. Esto se debe principalmente a que muchas de las normas definen requisitos similares de forma diferente o aplican requisitos iguales en secciones diferentes, generando mucha confusión en los usuarios que optan por generar diferentes documentos para cada sistema.

La ayuda del Anexo SL:

El cambio que se viene realizando en las normas ISO durante los últimos años, la incorporación del Anexo SL como estructura común, es una ayuda innegable para reducir el problema de la duplicidad e incompatibilidad entre las diferentes normas, donde todas ellas adquieren un mismo vocabulario y una misma estructura. Esta estructura de alto nivel Anexo SL proporciona, con un texto base idéntico, una ayuda para reordenar y agrupar los requisitos de las normas que tengamos implantadas, teniendo en cuenta, además, una secuencia más lógica e intuitiva de requisitos que parten desde la estrategia diseñada por la Dirección y finalizan en el feedback que se le devuelve a la misma sobre el desempeño de todos los procesos de la organización.

 

CONSEJOS:

Hoy queremos daros varios consejos para conseguir integrar de manera sencilla los diferentes sistemas de gestión implantados en la organización sin necesidad de tener un mismo proceso definido tantas veces como sistemas de gestión tengamos implantados.

  1. Confía en el Anexo SL

Fíjate primero en las similitudes y después en las diferencias. Se trata de coger las diferentes normas que tengas implantadas en tu organización y analiza punto por punto en cada una. Por ejemplo, elige el punto 4. Contexto de la organización y analiza las diferencias entre normas y quédate primero con las similitudes. Define un proceso acorde a las prácticas que se llevan a cabo en tu organización y añade, posteriormente, esas pequeñas diferencias que ciertas normas exigen.

Si tienes implantada alguna norma que no tiene todavía su adaptación al Anexo SL puede ocurrir que un requisito determinado no esté definido o se encuentre en otra sección. Recuerda siempre que es más sencillo adaptar todas las normas a un mismo modo de actuación que definir las diferencias.

  1. Mapea que cumples los requisitos de todas las normas

Cuando tengas realizada la integración de todos los puntos, mapea que das cumplimiento a todos ellos. Un sencillo Excel con los “debe” de las normas, las normas y tus procesos, suele ser suficiente.

  1. No tengas tan en cuenta las diferencias dentro de tu organización

Es muy habitual que según el sistema de gestión que tengamos implantado, los involucrados sean diferentes. Por ejemplo, puede ser que tengamos un sistema de gestión de incidentes de seguridad implantado en nuestro Departamento de Infraestructuras y también un sistema de gestión de incidentes de seguridad en nuestro Departamento de Personal de la organización. O incluso, a nivel de Dirección, el informe de revisión por la Dirección realizado para nuestro Comité de Seguridad va a parar a unos actores determinados y nuestro informe de revisión por la Dirección del Comité de Gestión de la Calidad a otros.

Piensa que la forma de gestionar incidentes o de realizar un informe de revisión por la Dirección debería ser la misma, aunque los interlocutores cambien. Recuerda que el proceso debe ser el mismo independientemente de los involucrados.

Además, debes intentar que las herramientas sean comunes en toda la organización. Esto te ayudará a reducir las grandes diferencias. Por ejemplo, tener una única herramienta de gestión de incidencias para todos los departamentos te ayudará a definir de forma más homogénea un proceso y detectar mejoras en el mismo.

  1. Permite diferencias, pero siempre siguiendo tus procedimientos

Siempre hay procesos o procedimientos que requieren de pequeñas diferencias. Por ejemplo, un informe de revisión por la dirección tiene diferentes entradas y salidas (aunque muchas veces similares) en cada una de las normas. Puedes trabajar con anexos a un mismo informe.

También ayuda el disponer de formatos diferentes. Por ejemplo, para gestionar riesgos, el proceso de gestión puede ser el mismo para toda la organización, pero para un departamento puede ser más sencillo utilizar uno u otro formato.

  1. No digas nunca “es así porque lo pide la norma”

Si esta frase debes repetirla a menudo dentro de tu organización es porque no estás adaptando la norma a la realidad de la misma, sino todo lo contrario.

Los procesos no deben definirse de un modo determinado porque la norma lo pida, si no porque se realizan de ese modo en la organización. Si la manera de trabajar no se adecúa completamente con los requisitos de una norma, intenta implantar un plan de acción para subsanar las diferencias. Normalmente estos planes de acción o estas adaptaciones son mejoras para la organización.

 

Marta Viñuela Fuentes

Senior Consultant/Advisor en @govertis

Artículos Relacionados

por Govertis5 septiembre, 20150 comentarios

Bienvenido al blog experto en Gobierno TI, Seguridad, Riesgo y Cumplimiento Normativo

por Govertis4 enero, 20160 comentarios

Aspectos TIC en la reforma de la LECRIM (Parte I)

por Govertis27 enero, 20163 comentarios

LA PROTECCIÓN DE DATOS: 15 AÑOS ANTES Y 15 DESPUÉS…

Escribe un Comentario!

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

AJUSTES A LA CATEGORIZACIÓN DE LOS SISTEMAS DE INFORMACIÓN PARA SELECCIONAR LAS MEDIDAS DE SEGURIDAD DEL ANEXO II DEL ENSEntrada anterior:
Govertis afianza su presencia en LATAM con el desarrollo de importantes proyectos en PerúSiguiente entrada