Sistemas de Gestión Integrados: anexo SL (II)

En la anterior entrada explicábamos cómo nos lo montamos en S2 Grupo para integrar eficientemente en un único sistema de gestión requisitos de diversas normas que versan sobre temas bien diferentes. En otras empresas he tenido ocasión de comprobar otros enfoques similares. Resumiendo: diferentes normas desarrolladas sobre la base del ciclo PDCA son más o menos compatibles. Pero la compatibilidad se la tiene que montar uno mismo. Además diferentes requisitos compatibles son diferentes en alcance y redacción y, obviamente, al integrar dos o más normas de sistemas de gestión en un único Sistema de Gestión Integrado (SGI) hay que satisfacer el más exigente de todos ellos. En esta nueva entrada y en relación con este tema vamos a hablar sobre el anexo SL.

El anexo SL propone un marco genérico para cualquier sistema de gestión. La intención es que a partir de ahora toda norma ISO de sistema de gestión, tanto de nueva creación como tras su revisión, siga la estructura que se indica más adelante, con el objetivo de armonizar los requisitos comunes a todas las normas, como recursos humanos, control de documentos, objetivos y planificación o acciones correctivas, por poner algunos ejemplos. Además incorpora transversalmente algo novedoso y muy importante: la gestión de riesgos y oportunidades.

Resumiendo, la idea es que todas las normas converjan en una misma estructura común y con el mismo contenido (idéntica redacción de los requisitos normativos) salvo en su apartado 8.- Operación que será en el que, tras un primer apartado también común (8.1, de planificación y control operacional) cada norma desarrollará sus requisitos específicos (de seguridad, de continuidad, de gestión energética o de lo que sea).

A continuación se muestra el primer nivel de la estructura propuesta por el anexo SL junto con un breve comentario acerca de su contenido:

1.- Alcance, 2.- Referencias normativas y 3.- Términos y definiciones:

    sin comentarios. Y al que me diga que el auditor le ha auditado estos apartados, como he leído por ahí en algún foro, recomendarle encarecidamente que cambie de auditor y de entidad de certificación. Eso sí: interesante la iniciativa de armonizar algunas definiciones normativas.

4.- Contexto de la organización:

    alcance del sistema de gestión, partes interesadas, marco normativo.

5.- Liderazgo:

    compromiso de la dirección, política, funciones, responsabilidades y autoridad.

6.- Planificación:

    gestión de riesgos y oportunidades; objetivos y planificación. Se correspondería con la P del PDCA.

7.- Soporte:

    aquí entra todo lo que tiene que ver con recursos, formación, toma de conciencia y comunicación, así como todo lo relacionado con la gestión de la documentación del sistema de gestión.

8.- Operación:

    es en este apartado donde recaerán los requisitos específicos de cada norma. Sería la D del PDCA.

9.- Evaluación del desempeño:

    se correspondería con la C del PDCA e incluye seguimiento y medición, análisis de datos, auditoría interna y revisión por la dirección.

10.- Mejora:

    incluye no conformidades y acciones correctivas y mejora continua. Es la A que nos faltaba.

Buena pinta, ¿no?

A modo de ejemplo se muestra a continuación el índice de la norma ISO 22301 Societal security − Business continuity management systems − Requirements, la cual fue editada en mayo de 2012, ya con esta estructura:

Nótese que los requisitos específicos de continuidad de negocio son desarrollados en los apartados 8.2 a 8.5.

Sobre el papel parece todo muy lógico y coherente por lo que este nuevo enfoque parece adecuado por sí mismo. Pero especialmente va a facilitar la integración de diferentes sistemas de gestión, tanto para implantación como para auditoría. Ya era hora, ¿no?

Veremos si luego todos los actores involucrados son capaces de que se desarrolle e implante adecuadamente.

Más información en:

http://www.iso.org/iso/home/news_index/news_archive/news.htm?refid=Ref1621
http://www.irca.org/en-gb/resources/Guidance-notes/Annex-SL-previously-ISO-Guide-83/
http://www.aspectosprofesionales.info/2013/06/integrar-diferentes-normas-iso-gracias_20.html

Comments

  1. Vaya! Me parece un buen paso adelante en cuanto a unificación de normativas. Simplificaría bastante la labor de quienes llevan este tipo de controles y eliminaría ciertas barreras existentes hasta ahora.

    Un saludo

  2. ¡Por fin! ;)
    Me viene a la cabeza el Anexo C (informativo) de la norma ISO 27001. La tabla de correspondencias entre normas (27001, 9001, 14001) que aparece en el mismo deja ver hasta qué punto hacía falta una estructura común.
    Un saludo,
    Samuel.

Trackbacks

  1. […] Como muchos ya sabéis se ha publicado la nueva versión de la ISO/IEC 27001:2005 bajo el nombre ISO/IEC 27001:2013. En esta revisión la norma ha sufrido grandes cambios destacando por ejemplo la flexibilidad a la hora de elegir metodologías de análisis de riesgos o mejora continua, la estructura de documentación, nuevos controles, nuevos conceptos, etc. pero sobre todo en su estructura pasando a utilizar el modelo del “anexo SL” del que ya habló nuestro compañero Alberto Olmos en estas entradas: Sistemas de Gestión Integrados: anexo SL (I), Sistemas de Gestión Integrados: anexo SL (II). […]