Certificación de la seguridad (y II)

En el post del otro día fuimos críticos con los esquemas de certificación y nombramos de pasada algunos de sus posibles problemas. Continuamos.

El rigor y la credibilidad de lo que se afirma en un certificado está reñido con varios factores. Entre ellos, tanto con la duración de las auditorías como con la preparación de los auditores y, por tanto, con su coste. También con el rigor a la hora de interpretar y exigir los requisitos contenidos en las normas, por tanto con el número de empresas tanto certificadas como potencialmente certificables y, consecuentemente, con los niveles de ingresos de las entidades de certificación. Podríamos pues decir que la credibilidad de un certificado es o debería ser directamente proporcional al coste de la auditoría. También que la credibilidad de los esquemas de certificación debe tener algún tipo de relación inversamente proporcional al número total de empresas certificables. Si prácticamente cualquier empresa que solicita una certificación la consigue sin mayores problemas esta dimensión de la credibilidad tiende a cero. Es cierto que algunos certificados son denegados o retirados con el tiempo pero suelen ser opciones reservadas para casos flagrantes. Y siempre se puede encontrar alguna entidad dispuesta a certificar casi cualquier cosa. Y es que en el mercado se ofrecen certificaciones a medida, a la baja (en lo técnico y en lo económico) y a la carta y las empresas que consideran la certificación como un fin en sí mismo recurren a ellas. Y la consiguen.

En un mundo en el que nadie regala nada me constan certificaciones de ISO 27001 emitidas por entidades acreditadas que han costado ¡poco más de 1.000€! Es difícil de creer y me refiero al certificado resultante. Si una certificación tan técnica e intrínsecamente tan compleja como ésta puede llegar a rebajarse hasta estos niveles excuso decirles coste y rigor de una certificación de, por ejemplo, una PYME sencilla en base a una norma sencilla.

En resumen: hay certificados que resultan poco creíbles. Lo malo es que no hay forma de distinguir los certificados “buenos” de los otros y, al final, todas las certificaciones emitidas son igual de válidas. Así de injusto.

Hace años se nos vendió otra cosa muy distinta acerca de las certificaciones pero la realidad es esta. Y la verdad es que es una lástima. En más de una ocasión he tenido que escuchar que una certificación sirve para poco o para nada. Lo malo es a quién lo he oído decir: a directores y responsables de empresas con sistemas de gestión como Dios manda, porque su certificado vale lo mismo que uno falso. El colmo lo escuché decir al gerente de una empresa dudosamente certificable pero certificada que me dijo, átense los machos, “me lo habéis dado hasta a mí”.

Y ya que nadie se va a tirar piedras sobre su propio tejado cabría aquí una reflexión acerca del papel desempeñado y del nivel de exigencia de ENAC, que es la entidad encargada de definir y exigir los mínimos, responsable de velar por el rigor de los esquemas de certificación y por la correcta actuación de las entidades certificadoras y, por tanto, responsable última de la veracidad de todo lo que se afirma sobre un certificado. El papel desempeñado por ENAC es fundamental. En realidad es la base de todo, pero visto lo visto podríamos decir que hay de un margen de mejora amplio.

Al final parece obvio que la certificación no ha logrado resultar lo que se pretendía cuando empezábamos a trabajar en estos temas, allá por el año 94 ó 95. Consecuentemente, muchas empresas medianas y grandes continúan haciendo auditorías a sus proveedores, que era otro de los beneficios supuestamente reportados por las auditorías de tercera parte: proporcionar confianza y ahorrar a los unos y a los otros los costes y molestias de las auditorías de segunda parte. Pero no.

Si una organización necesita o no una certificación es algo que sabrá o debería saber su dirección. Pero si una organización necesita o no de un buen sistema de gestión no es cuestionable, es una obviedad: seguro que sí.

Afortunadamente llevo muchos años dedicándome a los sistemas de gestión, moviéndome entre normas y documentos de sistemas de multitud de empresas (centenares) y desde todas las ópticas posibles (consultor, director, auditor y otra vez consultor) y les puedo asegurar, tanto por vocación como por experiencia, que soy un auténtico convencido y acérrimo defensor de las bondades que conlleva la implantación de un sistema de gestión bien diseñado, hecho a medida para la empresa, un traje cómodo para la gestión del día a día pero también para no improvisar cuando surja un imprevisto. También soy un firme defensor, en general, de las normas en los que se basan; aunque también les puedo decir que no todas las normas con las que he tenido ocasión de auditar son correctas o están bien escritas, objetivamente hablando.

He sido testigo de la progresión a veces espectacular experimentada por algunas empresas durante los años siguientes a la implantación de su sistema de gestión en base a una norma. También en mi primera etapa como consultor fui testigo de empresas excelentes con sistemas de gestión excelentes que nunca se llegaron a certificar ya que el empresario no vio la necesidad. He visto sistemas de gestión reales, con los que de verdad se gestiona, dejando poco lugar a la improvisación, que tan malas consecuencias suele conllevar. Pero las cosas son como son y también he visto, posiblemente con demasiada frecuencia, sistemas de gestión paralelos, montados casi con la única finalidad de pasar auditorías. Lo malo es que las pasan.

Por ello a usted, como cliente, le diría que elija pero por favor elija bien; compruebe si un potencial proveedor dispone o no de una certificación pero primero: no cometa el error de quedarse sólo en eso y segundo: no descarte a una empresa por no disponer de una certificación si consigue buenas referencias, demostrables, o si posee una buena experiencia pasada. Fíjese también en el alcance del certificado; podría darse el caso de que usted esté contratando servicios no amparados por aquel, se trate o no de un certificado “auténtico”.

Se necesita mucho tiempo y esfuerzo para labrarse una buena reputación que, no obstante, suele resultar bastante frágil. El boca a boca es la mejor publicidad para lo bueno pero también para lo malo (especialmente para lo malo) por lo que si se granjea una mala fama es posible que ya no pueda levantarla ni con grúa. Por ello, a usted, como proveedor, con o sin certificado, le diría que procure dar un buen servicio y no fallar, que no caiga en la tentación de comprometerse a más de lo que puede (ni a nivel técnico ni de capacidad productiva) y que intente cumplir perfectamente tanto plazos como niveles de servicio acordados.

Algo muy positivo para su empresa y que sí le puede aportar una auditoría de tercera parte (en función de la fortuna que tenga usted con el auditor que le toque en suerte y del tiempo que le dejen al mismo para hacer su trabajo) es que puede obtener una valiosa visión externa de su organización, no sólo independiente si no también fresca y diferente. Con los auditores pasa lo mismo que con médicos, profesores y pasteleros: los hay buenos, malos y regulares. Un buen equipo auditor, preparado, con tiempo y con ganas, es capaz de hacerle en unos pocos días una radiografía de su empresa que puede aportarle mucho valor. Puede que le pongan ante los ojos algún problema que el día a día le hizo pasar por alto y hasta puede que reciba alguna sugerencia de mejora importante que le ayude a mejorar la calidad y/o la productividad y/o la seguridad de los procesos de su organización, y quizá algún coste asociado.

Una auditoría, ya sea de primera, de segunda o de tercera parte, es una herramienta de gestión potentísima que permite la observación objetiva y minuciosa de multitud de actividades que se desarrollan dentro de la empresa permitiendo fijar y extender las mejores y descartar las que no aportan valor y servir, de verdad, como una base sólida y contrastada para la mejora.

Terminaré diciéndole, por si no lo sabía, que usted puede elegir no sólo la entidad de certificación si no también el auditor que le envían, o al menos recusar al que le asignen inicialmente, por lo que si lo que espera de la auditoría es sacarle su jugo, un jugo por el que paga, y no sólo pasarla a toda costa tendrá la opción de elegir a un auditor de los buenos. En el otro extremo, podría tocarle otro tipo de auditor, ése que no pasa de la superficie y se pasea por las empresas sin cuestionarse nada o casi nada (que haberlos haylos, desde el inicio de los tiempos y, una vez más, sin que nadie haga nada). Así se asegura de conseguir el ansiado certificado, si ése es su objetivo.

Un último consejo si decide certificar su SGSI: mucho ojo con la publicidad que hace del certificado. El objetivo de la publicidad es, obviamente, llamar la atención, algo muy positivo en temas de calidad, responsabilidad social, gestión ambiental, etc. Pero puede que resulte menos positivo o conveniente llamar demasiado la atención en temas relacionados con la seguridad por motivos obvios. Quizá lo mejor con este tipo de certificaciones sea pasar discretamente. Especialmente si usted ha elegido la opción B y no cuenta con el respaldo de un buen SGSI que le pueda garantizar un elevado nivel de seguridad y la continuidad de su negocio.

Comments

  1. Hay un problema de fondo: la filosofia del auditor. Si por defecto un auditor tiene el DEBER de confiar en los registros que se le presentan, y DEBE confiar en las afirmaciones del auditado… ¿Cómo diferenciar un sistema de gestión real de uno falso? ¿Cómo puede un auditor tumbar un SGSI, si por norma tiene que fiarse de que todo lo que ve y oye es cierto?

  2. No es fácil ser auditor.
    Algo en lo que se incide insistentemente durante la formación de un auditor es, precisamente, en la objetividad e imparcialidad necesarias a la hora de auditar los registros que soportan la actividad de un sistema de gestión. Es básico; un auditor no puede poner en entredicho la validez de un registro por el hecho de que no coincida con sus gustos o porque lo pueda considerar manifiestamente mejorable o porque le parezca sospechoso, le produzca sensaciones “raras”, etc. Un auditor debe dejar de lado sensaciones y emociones y sólo puede tomar en consideración evidencias objetivas, le gusten o no, tanto en el fondo como en la forma. Esto debe ser así y no de otra manera.
    Otra cosa muy difierente es la postura de las entidades de certificación y la actitud de los auditores cuando se encuentran ante un registro para el cual lo que se evidencia es, precisamente, su falsedad. Y la realidad es que no pasa nada; cuando un auditor se encuentra ante algún registro falso (y los hay muy importantes, no sólo desde el punto de vista del sistema de gestión, si no también desde el punto de vista legal) lo más habitual es que se recoja en el informe como una ausencia del registro requerido pero sin hacer mención alguna a la falsedad detectada.
    Esto es así ante un registro físico; lo que pueda escuchar el auditor durante la auditoría, aunque sea una barbaridad, en general ni se menciona en el informe.
    Para mí, y se trata de una opinión personal, si un auditor se encuentra durante una auditoría ante un registro falso debería girarse sobre sus talones y dar por finalizada la auditoría para, a continuación, elevarlo a instancias superiores (la entidad en nombre de la que audita y ésta a ENAC) para impedir que dicha empresa pueda conseguir certificación alguna por lo menos en unos cuantos meses o incluso años.
    Me parece algo irrenunciable para dotar de confianza a un esquema cuyo objetivo principal y su razón de ser es, precisamente, la de proporcionar confianza.

    Un saludo.