Nº 287 NOVIEMBRE 2013

R E V I S T A

D E

L A

N O R M A L I Z A C I Ó N

Y

L A

C E R T I F I C A C I Ó N

ISO 22320

C...
AENOR

3

SUMARIO

nº 287 / NOVI EM B RE 2013

TIC
Normas para las evidencias
electrónicas

4
6

32

Estadística
Criterios...
AENOR

4

S TA F F

REDACCIÓN Y
ADMINISTRACIÓN

Deunvistaz
◗ Normalización

Génova,
Génova, 66
28004 Madrid
28004 Madrid
T...
{

Más información en la revista digital,
disponible en www.aenor.es/revista
• en abierto para todos • sin claves de acces...
AENOR

6

TIC
La mayoría de las organizaciones basan sus operaciones en información generada, gestionada y conservada en f...
AENOR

7
AENOR

8

LOS DATOS
Tabla 1
Actividades/roles del SGEE (Sistema de Gestión de Evidencias Electrónicas)
Dirección

Establec...
AENOR

Gráfico 1
Estudio evidencias electrónicas
100
90

Ramón García
Jiménez

Teniente Coronel
de la Guardia Civil
Subdir...
AENOR

10
AENOR

11

GESTIÓN DE EMERGENCIAS

La Norma ISO 22320 recoge las mejores
prácticas para proporcionar una respuesta eficaz
...
AENOR

12

LOS DATOS
Figura 1
Etapas para dar una respuesta eficaz ante un incidente: antes, durante y después
GESTIÓN DE ...
AENOR

13

ENTREVISTA

Carlos Paniceres
Consejero Delegado
TRANSINSA
(España)

« La norma ayudará a dar una mejor
¿Qué mot...
AENOR

LOS DATOS

Ejemplo de proceso de mando y control en una
organización jerárquica única con necesidades
de coordinaci...
AENOR

15

Esta certificación es compatible
con otros sistemas de gestión tradicionales como el de Gestión Ambiental ISO 1...
AENOR

16

La solución informática Certool es una herramienta concebida para implantar y mantener
de forma eficaz los dife...
AENOR

17

Seguimiento
y análisis de
indicadores
AENOR

18

y acciones de mejora. Y Certool Premium es una solución global que incluye todas las funcionalidades necesarias...
AENOR

ENTREVISTA

19

Mariano Bonilla

« Administramos mejor los diferentes
aspectos del sistema de gestión
¿Qué sistemas...
AENOR

20

elementos del sistema (productos,
procesos, proveedores, etc.). Y analizar la información y tomar decisiones al...
AENOR

ENTREVISTA

los servicios que se prestan desde
AENOR para su implementación y
mantenimiento, esta solución tecnológ...
AENOR

22

ENTREVISTA

Ana Ferrón

Environment, Health and Safety Manager
GlaxoSmithKline

“ Todos los años aprendemos
cos...
AENOR

23

Tenemos una dependencia jerárquica internacional, ya que estamos integrados dentro
de lo que se llama Environme...
AENOR

24

ENTREVISTA

Ana Ferrón
último operario de una línea de producción.
En segundo lugar, el establecimiento de polí...
AENOR

25

el well-being, el bienestar de las personas,
que contempla un aspecto psicosocial. Por
ello, creo que estas cue...
AENOR

26
AENOR

27

IQNet SR10

IQNet SR10 celebra su primer aniversario con más de 30 organizaciones certificadas. Esta herramient...
AENOR

28

Figura 1
Responsabilidad social y sostenibilidad

Acciones
puntuales,
al margen del
negocio

ONG y organizacion...
AENOR

29

EXPERIENCIAS
LOS DATOS

31
10
20
7

Nº total de Certificados
IQNet SR10 emitidos en
todo el mundo
Nº de países ...
AENOR

30

Figura2
Ejemplos de identificación de grupos de interés y asuntos relevantes
GRUPOS DE INTERES

ASUNTOS RELEVAN...
AENOR

31

EXPERIENCIAS

Estrategia empresarial
Javier Alonso Jácobo

Representante de la Alta Dirección
Red Eléctrica del...
AENOR

32
AENOR

33

ESTADÍSTICA

Criterios
globales

En 2013 se celebra el Año Internacional de Estadística.
Las normas UNE existen...
AENOR

34

LOS DATOS
Tabla 1
Actividad del AEN/CTN 66/SC 3 Métodos estadísticos
Aplicación de los métodos estadísticos al ...
AENOR

35

OPINIÓN

Mariano Prieto
Contraste de hipótesis para evaluar la conveniencia de extrapolar lo observado en una m...
AENOR

36

CASOS PRÁCTICOS

Aigües de Lleida es el primer servicio de gestión de agua que verifica
su huella de carbono en...
AENOR

37

agua, como para mantener y mejorar el medio ambiente. Y en esta línea de compromiso también ha querido cuantifi...
REVISTA AENOR NOVIEMBRE 2013
REVISTA AENOR NOVIEMBRE 2013
REVISTA AENOR NOVIEMBRE 2013
REVISTA AENOR NOVIEMBRE 2013
REVISTA AENOR NOVIEMBRE 2013
REVISTA AENOR NOVIEMBRE 2013
REVISTA AENOR NOVIEMBRE 2013
REVISTA AENOR NOVIEMBRE 2013
REVISTA AENOR NOVIEMBRE 2013
REVISTA AENOR NOVIEMBRE 2013
REVISTA AENOR NOVIEMBRE 2013
REVISTA AENOR NOVIEMBRE 2013
REVISTA AENOR NOVIEMBRE 2013
REVISTA AENOR NOVIEMBRE 2013
REVISTA AENOR NOVIEMBRE 2013
REVISTA AENOR NOVIEMBRE 2013
REVISTA AENOR NOVIEMBRE 2013
REVISTA AENOR NOVIEMBRE 2013
REVISTA AENOR NOVIEMBRE 2013
REVISTA AENOR NOVIEMBRE 2013
REVISTA AENOR NOVIEMBRE 2013
REVISTA AENOR NOVIEMBRE 2013
REVISTA AENOR NOVIEMBRE 2013
REVISTA AENOR NOVIEMBRE 2013
REVISTA AENOR NOVIEMBRE 2013
REVISTA AENOR NOVIEMBRE 2013
REVISTA AENOR NOVIEMBRE 2013
REVISTA AENOR NOVIEMBRE 2013
Upcoming SlideShare
Loading in...5
×

REVISTA AENOR NOVIEMBRE 2013

1,562

Published on

Published in: Education
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,562
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
31
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

REVISTA AENOR NOVIEMBRE 2013

  1. 1. Nº 287 NOVIEMBRE 2013 R E V I S T A D E L A N O R M A L I Z A C I Ó N Y L A C E R T I F I C A C I Ó N ISO 22320 Coordinación en la gestión de emergencias ENTREVISTA REPORTAJE Ana Ferrón IQNet SR10 Environment, Health and Safety Manager GlaxoSmithKline El estándar internacional celebra su aniversario con más de 30 organizaciones certificadas
  2. 2. AENOR 3 SUMARIO nº 287 / NOVI EM B RE 2013 TIC Normas para las evidencias electrónicas 4 6 32 Estadística Criterios globales unificados 36 Casos prácticos Aigües de Lleida reduce las emisiones de CO2 40 De un vistazo Normas en nuestra vida Vivienda (III) Dormitorio focus Gestión de emergencias Preparados para actuar 10 43 Oro azul Certool Totalmente renovado Entrevista Ana Ferrón, Environment, Health and Safety Manager GlaxoSmithKline 16 50 Tras la huella hídrica 22 52 El reto del agua IQNet SR10 Gestión responsable y sostenible Panorama: Nuevas Normas / 26 EDITORIAL Avanzando con la sociedad U na de las razones de la utilidad de las normas técnicas es su constante evolución y desarrollo. De la misma forma que a principios del siglo XX permitieron el paso de la sociedad artesana a la sociedad industrial, actualmente están facilitando la transformación de la sociedad industrial a la tecnológica. Un ejemplo de ello lo encontramos en la serie de normas UNE 71505 sobre la gestión de evidencias electrónicas. Tanto en nuestra vida privada como en el entorno empresarial generamos, gestionamos y conservamos información en formato electrónico. Por ello cada vez es más frecuente que los registros electrónicos sean considerados pruebas judiciales, y la familia de normas mencionada ayuda a la gestión de estas evidencias. El inicio del siglo XXI trajo consigo ataques terroristas y desastres naturales que evidenciaron la necesidad de gestionar eficazmente esas circunstancias para salvar vidas, minimizar 54 Publicaciones / Entregas de Certificado / Formación / Asociados / Agenda daños y asegurar la continuidad. La respuesta de la normalización ha sido la ISO 22320 de gestión de emergencias, que antes de que termine este año será adoptada como norma española. Este documento está dirigido tanto a las organizaciones dedicadas profesionalmente a la gestión de emergencias como a entidades susceptibles de sufrir incidentes. Su certificación viene a completar la oferta de AENOR en materia de gestión del riesgo, abordada en anteriores números de esta revista. Hace un año que la red internacional de certificación IQNet lanzó el referencial SR10 para la gestión de la responsabilidad social. Con este motivo la revista incluye un reportaje sobre el recorrido que está teniendo esta herramienta en todo el mundo y los testimonios de dos de las organizaciones que lo han adoptado, Domecq Bodegas y la compañía peruana Red Eléctrica del Sur. Una de las cuestiones que más valoran nuestros lectores es la opinión de los distintos expertos que colaboran en cada número. En éste que ponemos en sus manos hay un buen número de ellos procedentes de sectores y países bien distintos: cuerpos de seguridad del estado, empresas de servicios, industria, administración pública, etc. Esta variedad es otra constatación del desarrollo que tiene el uso de normas y su posterior certificación. Desde aquí agradecemos a todos ellos su colaboración, y confiamos que su experiencia les resulte de interés. ESCRÍBANOS A: comunicacion@aenor.es
  3. 3. AENOR 4 S TA F F REDACCIÓN Y ADMINISTRACIÓN Deunvistaz ◗ Normalización Génova, Génova, 66 28004 Madrid 28004 Madrid Tel. 914 326 000 Tel. 914 326 000 Fax: 913 190 581 Fax: 913 190 581 NORMALIZACIÓN Acuerdos en Murcia y Tenerife CONSEJO DE REDACCIÓN Director Director Avelino Brito Marquina Avelino Brito Marquina Vocales Vocales Jaime Alonso Álvarez Jaime Alonso Álvarez Julián Caballero Acebo Julián Caballero Acebo Mario Calderón Fernández Mario Calderón Fernández Pablo Corróns Crespí Pablo Corróns Crespí Manuel Dorado González Manuel Dorado González Tomás Ferreras Rodríguez Tomás Ferreras Rodríguez Jaime Fontanals Rodríguez Jaime Fontanals Rodríguez Javier García Díaz Javier García Díaz Jesús Gómez-Salomé Villalón Jesús Gómez-Salomé Villalón Alberto Latorre Palazón Alberto Latorre Palazón Susana Lozano Godoy Susana Lozano Godoy Susana Pedrero Villén Susana Pedrero Villén Gonzalo Piédrola Aleixandre Gonzalo Piédrola Aleixandre Raquel Rodríguez Álvarez Raquel Rodríguez Álvarez Manuel Romero Alarcón Manuel Romero Alarcón José Luis Tejera Oliver José Luis Tejera Oliver Javier Toral Nistal Javier Toral Nistal Francisco Verdera Martí Francisco Verdera Marí Yolanda Villaseñor Sebastián Yolanda Villaseñor Sebastián REDACCIÓN TURISMO Destinos turísticos inteligentes Promovido por la SETSI e impulsado por SEGITTUR, se ha constituido en AENOR el Subcomité 5 Destinos turísticos dentro del AEN/CTN 178 Ciudades inteligentes, que se encargará de elaborar la primera norma en este ámbito. Para ello, se ha aprobado la creación de cinco líneas de trabajo que tendrán en cuenta aspectos de sostenibilidad, innovación, tecnología, accesibilidad y gobernanza. Las Normas UNE 166000 de gestión de la innovación serán documentos de partida del trabajo del SC 5. w ◗ Evaluación de la conformidad Rocío García Lorenzo REDACCIÓN Marta Santos Náñez Rocío García Lorenzo Marta Santos Náñez DISEÑO Y REALIZACIÓN MÉXICO Y PERÚ Formación IQNet SR10 AGENCIADOS www.agencia2.com DISEÑO Y REALIZACIÓN IMPRESIÓN AGENCIADOS www.agencia2.com AGSM Publicidad: Guillermo EDICIÓN Bendala revistaaenor@agencia2.com AENOR N.A. 71.970 Tlf.: 628 050 923 DEPÓSITO LEGAL IMPRESIÓN M 12.602-1978 ISSN: 2255-0801 AGSM SUSCRIPCIÓN ANUAL EDICIÓN (11 NÚMEROS) AENOR IVA incluido 72,11€ N.A. 71.970 DEPÓSITO LEGAL M 12.602-1978 ISSN: 2255-0801 SUSCRIPCIÓN ANUAL (11 NÚMEROS)responsable de las AENOR no se hace opiniones incluido 45€ IVAque aparecen en los artículos. Se autoriza la reproducción no luAENOR no se trabajos aparecidos en crativa de los hace responsable de las opiniones que aparecen notificación esta publicación,previa en los artículos. Se autoriza la reproducción no lual Consejo de Redacción, citándose la crativa de los trabajos aparecidos en fuente y el autor. esta publicación,previanotificación al Consejo de Redacción, citándose la fuente y el autor. Mejorar la competitividad del tejido económico murciano y tinerfeño. Con este objetivo AENOR ha firmado recientemente sendos acuerdos de colaboración con el Gobierno de la Región de Murcia y el Cabildo de Tenerife. En el primer caso, el acuerdo contempla la realización de acciones de difusión, divulgación y promoción de la calidad industrial, así como el desarrollo de estudios e informes conjuntos. En el segundo caso, se trata de facilitar a las empresas tinerfeñas el acceso a las normas técnicas. w MÉXICO Gestión de la Energía La Norma UNE-EN ISO 50001 ha sido el foco central de dos conferencias impartidas en México. En el marco de The Green Expo, el foro de negocios más importante de medio ambiente, energía, agua y ciudades sostenibles, se explicaron las ventajas de establecer, implementar, mantener y mejorar los sistemas de gestión de la energía en cualquier sector productivo. Y en el Centro Banamex, se resaltaron los beneficios que ofrece al sector de la obra pública y civil la certificación UNE-EN ISO 50001. w AENOR ha impartido un curso sobre IQNet SR10 en Guadalajara (México) en el que han participado 20 empresas de diferentes sectores, como CRV, HP, Jalisco Sustentable o Educla Consultores. También en el ámbito de la Resposabilidad Social, se llevó a cabo en Lima un desayuno de trabajo con el objetivo de exponer las equivalencias de IQNet SR10 con la Norma ISO 26000. Representantes de organizaciones peruanas como Pacífico Seguros, Cámara de Comercio Peruano Nórdica o Egasa acudieron a esta cita. w
  4. 4. { Más información en la revista digital, disponible en www.aenor.es/revista • en abierto para todos • sin claves de acceso { CENTROAMÉRICA Visita de la SIECA En el marco del Programa de Apoyo a la Creación de un Sistema Regional de Calidad y a la Aplicación de Medidas Sanitarias y Fitosanitarias en Centroamérica (PRACAMS), en el que AENOR trabaja, la entidad recibió la visita de Carmen Gisela Vergara, Secretaria General de la Secretaría de Integración Económica Centroamericana (SIECA). Avelino Brito, Director General de AENOR, junto a otros expertos de la entidad, explicaron el funcionamiento de las actividades de normalización y evaluación de la conformidad. PRACAMS es un ambicioso proyecto, financiado por la Unión Europea, cuyo objetivo es promover la creación de un sistema regional de calidad y de aplicación de medidas sanitarias y fitosanitarias en Centroamérica. Igualmente, trata de ofrecer apoyo al sector privado para el cumplimiento de las normas internacionales de calidad en productos de exportación. Sus beneficiarios directos son las instituciones de la infraestructura de la calidad de Costa Rica, El Salvador, Guatemala, Honduras, Nicaragua y Panamá, todos ellos miembros de SIECA. La SIECA es el órgano técnico regional que asiste, técnica y administrativamente, al proceso de integración económica centroamericana del Sistema de la Integración Centroamericana (SICA). AENOR ha participado como socio de SIECA en varios proyectos y actualmente gestiona, con otros socios, PRACAMS. w RESPONSABILIDAD SOCIAL Certificado efr para AENOR AENOR se ha convertido en la primera certificadora en recibir el certificado efr, que concede la Fundación MásFamilia. Éste acredita el cumplimiento de los requisitos establecidos en el modelo de gestión entidad familiarmente responsable efr 1000-1 para grandes organizaciones. Ana Mato, Ministra de Sanidad, Servicios Sociales e Igualdad, hizo entrega de este certificado a las 66 entidades que en el último año han logrado este reconocimiento. w CHINA Calidad para impulsar la industria Una delegación de autoridades de la ciudad china de Chengdú, encabezada por su vicealcaldesa, Tian Rong, visitó AENOR para conocer de primera mano cómo un sistema de certificación de la calidad puede impulsar la industria. Chengdú es la capital de la provincia de Sichuán, una de las más notorias del país asiático. Tiene 14 millones de habitantes y en su área empresarial tienen sede 30 compañías del Fortune 500. w AENOR 5
  5. 5. AENOR 6 TIC La mayoría de las organizaciones basan sus operaciones en información generada, gestionada y conservada en formato electrónico. Por ello, estos datos se convierten en un medio fundamental para evidenciar cualquier hecho o situación. La serie de Normas UNE 71505 apoya la gestión de estas evidencias electrónicas. Así, define un lenguaje común, describe controles y procesos de seguridad, y establece formatos. Normas para las evidencias electrónicas Paloma García Dirección de Normalización AENOR U n correo electrónico, un sms, un whatsapp, una fotografía digital, una entrada en una red social o la apertura de la cerradura electrónica de la puerta de una habitación en un hotel pueden convertirse en el medio fundamental para evidenciar un hecho o situación. Desde el punto de vista de las relaciones entre particulares, esto está provocando una mayor sensibilización hacia el respeto y la preservación de derechos fundamentales, la privacidad y la intimidad. Si miramos al mundo empresarial, la práctica totalidad de las operaciones que se llevan a cabo en una organización están basadas en información generada, gestionada y conservada en formato electrónico. Este nuevo entorno interviene inevitablemente en la configuración de las relaciones que mantienen las empresas entre sí y con los particulares. Y, a su vez, origina y plantea nuevos retos legales, encaminados a proporcionar una mayor protección de los derechos e intereses tanto de las empresas como de los particulares. Como consecuencia directa de esta nueva forma de trabajo, se está produciendo un creciente uso de registros electrónicos como pruebas judiciales. Y, en igual proporción, está aumentando la preocupación por la protección de su integridad y autenticidad. Por todo ello, poder manejar de una manera adecuada las evidencias electrónicas constituye una necesidad. Los aspectos técnicos son fundamentales para garantizar, entre otras características, la integridad de las mismas. Pero estas soluciones, por sí solas, pueden no ser suficientes, por lo que se hace necesario añadir medidas organizativas que permitan asegurar tanto la integridad de la información que constituye cada evidencia como el mantenimiento de la cadena de custodia. El gran potencial de las Tecnologías de la Información ofrece unas oportunidades ilimitadas de gestión de la información: creación, almacenamiento, compartición, clasificación, etc. Pero también, en muchos casos, esta información puede ser fácilmente modificada, destruida o borrada. En febrero de este año, la Asociación de Usuarios de Telecomunicaciones y de la Sociedad de la Información (AUTELSI), publicó un informe resultado del estudio llevado a cabo respecto al estado actual de las principales cuestiones relativas a la obtención, conservación y, en su caso, aportación en juicio de las evidencias electrónicas. Todo ello a la luz de los medios tecnológicos y legales existentes, y enfocado tanto a los riesgos detectados en este ámbito como a las medidas (técnicas, organizativas y legales) capaces de mitigarlos. En dicho informe se recogen algunos datos significativos, como los que se muestran en el gráfico 1. La normalización responde Como respuesta a esta realidad, en el grupo de trabajo de evidencias electrónicas que forma parte del órgano técnico de AENOR dedicado a la seguridad en Tecnologías de la Información
  6. 6. AENOR 7
  7. 7. AENOR 8 LOS DATOS Tabla 1 Actividades/roles del SGEE (Sistema de Gestión de Evidencias Electrónicas) Dirección Establecimiento del SGEE Establecimiento de criterios de riesgos de negocio Definir controles basados en requisitos legales Definir los criterios de seguridad del sistema (I,C, D, A, nR) Implantar los mecanismos de generación de evidencias Velar por el cumplimiento de los criterios de seguridad del sistema (I,C, D, A, nR) Revisión del SGEE Solicitud de evidencias Análisis de solicitudes Coordinar las solicitudes y participantes en la explotación de la evidencia Negocio R C E C C C I R E I C C C I C C C Seguridad Auditoría C C C C C C C C E I I I R I I I R I I R I I R C I I I I E R E C E R I R I I I I I I R C I C E R I C I I Coordinador Propietario Solicitante RRHH Organización Servicios Sistemas de Jurídicos Información R E I C C C C I La tabla representa la matriz de actividades que pueden ejecutar los roles identificados en la Norma UNE 71505-2, estableciendo si lo hacen en su función de Encargado (E), Responsable (R), Consultado (C) o Informado (I). A estos efectos serán: • Encargado (E) TIC • Responsable (R) • Consultado (C) • Informado (I) la persona que tiene que hacer una determinada tarea. Es la persona que debe ser “capaz de dar una respuesta”, respuesta que normalmente se expresa en forma de acción. la persona que es responsable último de que una determinada tarea se haga, y quien debe rendir cuentas si algo no se ha hecho o se ha hecho tarde o mal. cada una de las personas a las que se debe involucrar en el proceso de toma de decisiones. Son personas cuya opinión y/o aprobación es necesaria antes de realizar una tarea en concreto y por este motivo se dice que la comunicación con estas personas es bidireccional. las personas a las que hay que mantener informadas sobre el estado del proyecto o proceso, normalmente tras completar una tarea determinada. A diferencia del caso anterior, la comunicación con estas personas es unidireccional. (AEN/CTN 71/SC 27/GT 7), se comenzó hace algunos años un ambicioso proyecto que ha visto la luz el pasado mes de julio. Se trata de la serie de Normas UNE 71505 de apoyo a la gestión de las evidencias electrónicas y que consta de tres partes. La parte 1 establece un lenguaje común con el objetivo de posibilitar un mejor entendimiento de los diferentes conceptos que habitualmente se manejan en el entorno de gestión de una evidencia electrónica. Tomando como punto de partida una propuesta de definición para lo que es una evidencia y una evidencia electrónica, se aportan un total de 30 definiciones para conceptos como prueba electrónica, huella digital o administración de las evidencias electrónicas, entre otras. Describir los controles y procesos aplicables a la gestión de la seguridad de las evidencias electrónicas para posibilitar su integración en el sistema de gestión de seguridad de la información de una organización es el fin de la parte 2. Para ello, la Norma UNE 71505-2 adopta un enfoque por procesos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un Sistema de Gestión de Evidencias Electrónicas (SGEE). Esta
  8. 8. AENOR Gráfico 1 Estudio evidencias electrónicas 100 90 Ramón García Jiménez Teniente Coronel de la Guardia Civil Subdirección General de Planificación y Gestión de Infraestructuras y Medios para la Seguridad Ministerio del Interior (España) 100% 80 70 76,6% 60 53,3% 50 40 43,3% 30 33% 20 20% 10 25% 6,6% 0 Q1 Q2 Q3 Q4 Q5 Q6 Q7 Q8 Fuente: Informe AUTELSI Q1: empresas encuestadas que manifestaron que, en al- facilitadas por la compañía para el desarrollo de sus gún momento, se han visto obligadas a obtener, analizar y, en su caso, aportar a terceros evidencias electrónicas. Q2: empresas encuestadas que realizan un cifrado de las evidencias obtenidas. Q3: empresas encuestadas que indicaron disponer de mecanismos de salvaguarda para la aportación de evidencias electrónicas. Q4: respuestas positivas a la pregunta de si se tienen en cuenta los aspectos relativos a la gestión de evidencias electrónicas en las políticas y procedimientos implantados en su organización. Q5: empresas encuestadas que han informado a sus trabajadores y colaboradores respecto a sus obligaciones en el uso de las herramientas informáticas norma contiene un anexo de carácter normativo que recopila una serie de buenas prácticas para el SGEE basadas en la definición de cuatro controles específicos, que tienen en cuenta aspectos relativos a la gestión de la identidad, trazabilidad, almacenamiento y custodia segura, junto a una serie de 17 controles ampliados de la Norma UNE-ISO/IEC 27002 Tecnología de la Información. Técnicas de seguridad. Código de buenas prácticas para la gestión de la seguridad de la información. La Norma UNE 71505-2 da un paso importante como herramienta de ayuda a la gestión de las evidencias electrónicas mediante la propuesta de dos matrices. En el capítulo de funciones y responsabilidades se ha elaborado una matriz de incompatibilidades entre las funciones organizativas 9 OPINIÓN tareas. Q6: casos de uso no autorizado de herramientas informáticas por parte de los trabajadores y que han implicado la apertura de procesos disciplinarios. Q7: empresas encuestadas que se han visto ante la necesidad de aportar evidencias electrónicas al menos en alguna ocasión. Estos requerimientos se han producido tanto en el marco de procedimientos internos (a solicitud de departamentos de Auditoría Interna o RRHH), como de procedimientos judiciales, arbitrales o de carácter administrativo Q8: Casos de suministro de evidencia calificada como de eficacia nula, relativa a salida de información corporativa. establecidas en la organización y los roles establecidos por el SGEE. Asimismo, incluye una matriz de funciones que representa qué actividades pueden desempeñar los roles establecidos por el SGEE y con qué figura se desenvuelven (ver tabla 1). Por último, la Norma UNE 71505-3 está dedicada a los formatos de las evidencias electrónicas. Se trata de un aspecto clave, ya que generalmente estas evidencias necesitan ser intercambiadas de manera segura entre diferentes organizaciones. Es por ello de gran importancia la definición de formatos y mecanismos de intercambio normalizados que garanticen la confiabilidad entre las partes. El anexo A de esta norma incluye los métodos y algoritmos actualizados tanto para la protección de la información como para la autenticación de la misma. ◗ Norma de referencia La Norma UNE 71506 completa el grupo de normas sobre gestión de evidencias electrónicas en el ámbito de las TI, junto con la serie UNE 71505, publicadas en 2013. Si bien, la UNE 71506 es la única que aborda una metodología para el análisis forense de este tipo de evidencias; y su contenido ha querido reflejar, principalmente, una visión práctica de estos análisis. Esta norma puede contribuir en el ámbito nacional, pensando en los distintos agentes implicados del mundo empresarial o de la Administración, a disponer de una metodología clara que expone cómo tratar las evidencias electrónicas en un ámbito forense. O mejor dicho: su contenido reseña cómo se deberían hacer las cosas en el campo forense cuando se quieren tratar las evidencias electrónicas. Por su parte, en el ámbito europeo, puede servir de base para otros documentos que se están redactando en los comités CEN/PC 405 y CEN/TC 419 y que van desde la mera inspección ocular hasta la defensa del informe pericial, independientemente de la temática que sea. De esta manera se formará un corpus normativo de referencia en este ámbito ante los Tribunales de Justicia o la cúpula directiva de las distintas empresas. Y de manera genérica, la Norma UNE 71506 también puede constituir una referencia clara que deberían tener en cuenta todas las entidades e instituciones implicadas en este ámbito, y cuyo objetivo sea la consecución de la acreditación de calidad necesaria para el tratamiento de estas evidencias electrónicas con una visión forense.
  9. 9. AENOR 10
  10. 10. AENOR 11 GESTIÓN DE EMERGENCIAS La Norma ISO 22320 recoge las mejores prácticas para proporcionar una respuesta eficaz ante un incidente de acuerdo con una serie de requisitos mínimos aplicables a cualquier tipo de organización. Establecer el mando y el control; información operativa, oportuna y fiable, y coordinación y cooperación son algunas de las cuestiones que aborda. Su adopción como norma UNE esta prevista para finales de 2013. Preparados para actuar Lucía Ortiz Dirección Comercial de Certificación AENOR S on numerosos los desastres, catástrofes e incidentes que han tenido un gran impacto en la sociedad en los últimos años y han dejado ver las deficiencias existentes a la hora de planificar, gestionar y dar respuesta ante una situación de emergencia. En nuestras retinas quedan imágenes de catástrofes como la del Prestige en 2002, la planta nuclear de Fukushima en 2011, la fiesta de Halloween en el pabellón polideportivo Madrid Arena en 2012 o el descarrilamiento del tren en Santiago de Compostela el pasado verano. Por otro lado, la planificación y actuación ante emergencias ha venido impuesta, en muchas ocasiones, por legislación que obliga al empresario a gestionar determinados riesgos específicos. Es el caso de la gestión de los riesgos asociados a la seguridad y salud de los trabajadores tras la Ley 31/1995 de Prevención de Riesgos Laborales, en la que las organizaciones deben tomar medidas en materia de primeros auxilios, lucha contra incendios y evacuación de los trabajadores del centro de trabajo; o el RD 393/2007 sobre la Norma Básica de Autoprotección, que establece un catálogo de actividades que por sus características deben planificar y organizar su propia autoprotección y coordinarse con los organismos públicos de protección. También cabe resaltar la prevención de accidentes graves para aquellas actividades en las que intervengan sustancias peligrosas, de forma que se tomen medidas de control de los riesgos inherentes al accidente y a la limitación de sus consecuencias, legislado a través de la Directivas europeas SEVESO. O más recientemente la Ley 8/2011 sobre Protección de Infraestructuras Críticas, dirigida a la prevención y protección de aquellos servicios básicos para la ciudadanía, como pueden ser el suministro eléctrico, de agua o las telecomunicaciones, entre otras. Cuando una situación de emergencia ocurre, suele tener un carácter súbito e indeseado. Y lo que resulta primordial es salvar las vidas de las personas en riesgo y minimizar los daños que puedan repercutir tanto en la organización en sí como en la comunidad en donde se encuentra. Las últimas experiencias han dejado entrever una falta de integración de la planificación y actuación ante un incidente en la estructura general de
  11. 11. AENOR 12 LOS DATOS Figura 1 Etapas para dar una respuesta eficaz ante un incidente: antes, durante y después GESTIÓN DE RIESGOS EN EL TIEMPO ANTES Sociedad INCIDENTE DESPUÉS Evaluación de riesgos y categorización Detección y activación de avisos y alarmas Evaluación de impacto Actividad económica (negocio) Prevención y Preparación Infraestructuras y servicios críticos Mando y control Información operacional Coordinación y cooperación Gestión del Riesgo y preparación ante incidentes ISO 22399 ISO 31000 GESTIÓN DE EMERGENCIAS las organizaciones. Históricamente, en las organizaciones se ha trabajado en términos de seguridad desde sus dos vertientes. Por un lado, desde el punto de vista de la integridad física y salud de las personas (en inglés conocido por safety), desarrollado en las empresas mediante la aplicación de medidas relacionadas por la prevención de riesgos laborales. Y, por otro, las medidas relacionadas con la otra parte de la seguridad, conocida como “seguridad física” (o security) más relacionadas con la prevención de delitos como ataques, sabotajes o robos, gestionadas a través de las áreas de seguridad de la organización. Ambos ámbitos de la seguridad, pueden dar lugar a la materialización de riesgos críticos o situaciones de emergencia que pueden comprometer el futuro de la organización y Sociedad Recuperación y resiliencia de la organización Actividad económica (negocio) Gestión de emergencias Gestión de Crisis y de Continuidad del negocio Infraestructuras y servicios críticos ISO 22320 ISO 22301 Mitigación de los efectos su continuidad. De ahí, la importancia de gestionar las posibles emergencias a través de un análisis de los diferentes escenarios de riesgos teniendo en cuenta el ámbito global de la seguridad, así como a través de una estructura organizativa definida y adecuada. En ella, es fundamental contar con un mando y control eficaz para dar respuesta ante una emergencia, una coordinación efectiva dentro y con otras organizaciones implicadas, así como un despliegue de medios y recursos necesarios en función de la criticidad de la situación. Actualmente, las amenazas son cada vez mayores y la tolerancia al riesgo es cero. Por ello, a la hora de dar respuesta ante una emergencia ya no vale sólo con disponer de planes y procedimientos de actuación ante determinados escenarios, que permita el cumplimiento estricto de la legislación. Se espera ir más allá y contar La Norma ISO 22320 contribuirá a que las organizaciones implicadas en la respuesta ante un incidente funcionen con una eficacia conjunta y de manera más óptima con una estructura y aspectos organizativos que aporten seguridad en su sentido más amplio del término. La Norma ISO 22320 Y con el objeto de dar una respuesta eficaz ante un incidente nace la Norma ISO 22320:2011 Protección y Seguridad de los Ciudadanos -Gestión de Emergencias - Requisitos relativos a la respuesta ante incidentes. Esta norma establece las mejores prácticas en el ámbito mundial para proporcionar una respuesta eficaz ante un incidente de acuerdo con una serie de requisitos mínimos aplicables a todas las organizaciones, del sector público o privado, que puedan participar en la preparación, gestión y actuación ante situaciones de emergencia, ya sean en un ámbito local (limitado sólo a un edificio), a una región, en el ámbito nacional o internacional. Dichos requisitos mínimos se basan en: • Establecimiento del mando y el control en las estructuras organizativas y procedimientos de toma de decisiones, apoyo a la decisión, la trazabilidad y cómo
  12. 12. AENOR 13 ENTREVISTA Carlos Paniceres Consejero Delegado TRANSINSA (España) « La norma ayudará a dar una mejor ¿Qué motivó a TRANSINSA a implantar y certificar la ISO 22320? gestionar la información y comunicación. Se deben establecer unos objetivos y metas para dar respuesta a un incidente. • Ayuda a asegurar que la información es operativa, oportuna y fiable estableciendo procesos de planificación, recopilación, procesado, explotación y revisión de la información. • Establece las bases para la coordinación y la cooperación, asegurando que todas las partes pertinentes actúan alineadas durante un desastre, es decir, no se producen problemas de comunicación y se aseguran del uso de recursos de manera combinada y eficaz. Establece como parte esencial requisitos sobre la interoperabilidad entre las organizaciones involucradas para conseguir el éxito de respuesta ante incidentes. Esta norma contribuirá a que las organizaciones implicadas en la respuesta ante un incidente funcionen con una eficacia conjunta y de manera más óptima. Antes de finalizar 2013 se espera la publicación de la Norma UNE-ISO 22320, adoptada Nuestra apuesta por la calidad viene de lejos. Contamos con certificaciones de gestión de la calidad ISO 9001, ambiental ISO 14001 y calidad para empresas de transporte sanitario UNE 179002. Además, participamos en la elaboración de esta última norma y nos convertimos en la primera empresa del sector en obtener el certificado según sus requisitos. También hemos conseguido el Sello de Excelencia EFQM +200. Con la certificación ISO 22320, de la que también somos pioneros, buscábamos una nueva herramienta que nos ayudara a garantizar el mejor servicio posible y afianzar el compromiso con nuestra actividad, que consideramos que implica una responsabilidad con la sociedad. ¿Cómo fue el proceso de implantación? Relativamente sencillo. Ya teníamos experiencia previa en la implantación de sistemas de gestión, y nuestra actividad principal tiene que ver con las emergencias, por lo que muchos conceptos no nos eran nuevos. Otras fortalezas nos ayudaron en la implantación: años de experiencia en el sector, disponibilidad de una red programada para el apoyo de lo urgente o atención 24 horas para la gestión de la información y comunicación para coordinar recursos. Por tanto, el principal reto fue adaptar los requisitos de la norma a nuestro sector. ¿Cómo perciben sus interlocutores su certificación? Hemos recibido felicitaciones por parte de las autoridades y de la sociedad en « respuesta a los ciudadanos general. Esta certificación continúa nuestra apuesta por las políticas de calidad, ya que transmite confianza y seguridad. Se trata de la garantía de una respuesta eficaz ante cualquier situación de emergencia a través de la coordinación con otras organizaciones implicadas en el proceso. Así, ayuda a establecer mejoras de actuación, compromisos y procedimientos operativos ante incidentes que abarquen todas las posibilidades imaginables y sean eficaces. ¿Cuáles son las claves para una buena gestión de una emergencia? Cuatro aspectos marcan las claves: previsión, coordinación, comunicación e información. La previsión de los procedimientos operativos ante cualquier situación garantiza la rapidez en la respuesta. Coordinar a todas las partes involucradas asegura una reacción eficaz. En el caso de la comunicación, gestionar la información es vital durante una emergencia. Y facilitar información de conocimientos específicos sobre la respuesta a emergencias es básico, incluyendo simulacros donde se ponen en práctica los procedimientos para las distintas situaciones posibles. ¿Cómo cree que esta norma puede ayudar a las distintas partes que gestionan una emergencia? Sobre todo en la coordinación entre los organismos y las partes involucradas. Si todos hablamos el mismo lenguaje y trabajamos con los mismos procedimientos, la respuesta ante situaciones de emergencia mejorará y será más eficaz. Y, en definitiva, se dará una mejor respuesta a los ciudadanos.
  13. 13. AENOR LOS DATOS Ejemplo de proceso de mando y control en una organización jerárquica única con necesidades de coordinación limitadas Proceso para proporcionar información operacional INCIDENTE Toma y reparto de decisiones F O R M A C IÓ N D E RE SU LT Difusión e Integración Análisis y Producción Recopilación y distribución de la información (*) Evaluación de la situación y pronóstico (*) E IN MISIÓN Procesado y Explotación OS Información de resultados y control Implantación de las decisiones UA N CIÓ AD EV AL 14 Planificación y Dirección Recopilación Planificación (*) (*) Con necesidades limitadas de coordinación con socios externos a la organización GESTIÓN DE EMERGENCIAS de forma directa de la norma internacional y traducida al español. En general, la gestión de emergencias utiliza un enfoque de gestión de riesgos para la prevención, preparación, respuesta y recuperación antes, durante y después de eventos potencialmente desestabilizadores y perjudiciales. Estos eventos pueden ser resultado, por ejemplo, de desastres naturales, falta de protección de los sistemas de información y comunicación, ataques terroristas o malintencionados, o un incendio que afecte a una planta industrial. Se deben definir para cada uno de los escenarios posibles un nivel de respuesta escalable con su correspondiente despliegue de recursos y medios. Las actividades principales para dar respuesta eficaz ante un incidente pasan por diferentes etapas, como se muestra en la figura 1. En primer lugar, un momento previo en el que se deben evaluar y categorizar los riesgos, y en función de ello elaborar unos planes y protocoles de actuación frente a cada escenario. A continuación, el momento en el que se desata el suceso perturbador, que es detectado a través de la activación de las alarmas correspondientes que den paso a los procesos de mando y control, de información operacional, así como a la coordinación y cooperación con el objetivo de mitigar de inmediato los efectos negativos. Una vez transcurrido el incidente, el objetivo es trabajar en la recuperación y capacidad de la organización para restablecer la normalidad de la actividad lo antes posible. Para abordar adecuadamente las adversidades a las que se puede estar expuesto, se debe hacer uso de una metodología de gestión de riesgos para comprender y acometer con total fundamento aquellas situaciones críticas. A raíz de ello, el fin es elaborar los planes de preparación y de actuación ante dichas situaciones, estableciéndose unas metas y unos objetivos para dar una respuesta en el momento, de forma que las consecuencias sean mínimas. Para ello, resulta interesante el enfoque planteado por la Norma ISO 31000, que aporta los principios y directrices de la Gestión del Riesgo. La certificación de Gestión de Emergencias La certificación de la Gestión de Emergencias según las directrices propuestas por la Norma ISO 22320, se dirige a cualquier tipo de organización -privada, pública, gubernamental o sin ánimo de lucro-, pero diferenciando dos enfoques distintos en función de la actividad de la organización. En primer lugar, aquellas organizaciones dedicadas profesionalmente a gestionar emergencias en su día a día, como organizaciones del ámbito sanitario o de las fuerzas de seguridad y protección, ya sean públicas o privadas. Y, en segundo lugar, organizaciones responsables que estén comprometidas con dar una respuesta de forma eficiente y eficaz ante emergencias que les puedan afectar, pensando en minimizar el impacto del incidente y asegurar su continuidad.
  14. 14. AENOR 15 Esta certificación es compatible con otros sistemas de gestión tradicionales como el de Gestión Ambiental ISO 14001, el de Seguridad y Salud en el Trabajo OHSAS 18001 o la nueva especificación EA 31 Sistemas de Gestión del Riesgo. Y es que comparte con ellos algunas herramientas comunes a cualquier sistema de gestión, como la planificación, establecimiento de objetivos y metas, o acciones correctivas, añadiendo, en este caso, una perspectiva completa en cuanto a la respuesta ante incidentes, no cubierta íntegramente en otros sistemas de gestión. El proceso de certificación, de igual manera que en otros casos, comienza con una auditoría dividida en dos fases. Una fase I en la que se realiza un estudio documental, se confirma el alcance y se comprueba que existe un nivel adecuado de implantación. Y una fase II en la que se evidencia lo descrito en la documentación y el cumplimiento efectivo de aquellos requisitos establecidos. Si existe conformidad, se procederá a la emisión de La gestión de emergencias utiliza un enfoque de gestión de riesgos para la prevención, preparación, respuesta y recuperación, antes, durante y después de eventos potencialmente desestabilizadores y perjudiciales un certificado y, posteriormente, de manera anual, se comprobará a través de las auditorías de seguimiento que se mantienen las condiciones que dieron lugar a la concesión del certificado de Gestión de Emergencias. En general, las organizaciones que implantan un Sistema de Gestión de Emergencias en su organización según la Norma ISO 22320 consiguen, sobre todo, desarrollar y mejorar sus capacidades para dar respuesta ante cualquier tipo de emergencia, independientemente de la dimensión de la misma; esto es, ya sea un incidente, una crisis, interrupciones de la actividad o un desastre. Se garantiza que la información operativa es veraz y fiable, ya que se establecen procesos de gestión de información y datos; y se minimizan los malentendidos al establecer una base de coordinación y cooperación entre las partes implicadas, así como una gestión más eficiente de los recursos compartidos. En aquellas organizaciones en las que su actividad principal consiste en participar e intervenir en situaciones de emergencia, la certificación ISO 22320 aporta seguridad en el desarrollo de su actividad profesional. Asimismo, reconoce el compromiso de dar una respuesta eficaz a través de los objetivos de respuesta planteados, así como una gestión más eficiente de sus medios y recursos. Con este certificado se reconocerá a las organizaciones responsables implicadas en la respuesta eficaz ante cualquier tipo de incidente de manera más óptima y eficiente junto con las partes implicadas, y comprometidas con su futuro y la continuidad de su actividad. ◗
  15. 15. AENOR 16 La solución informática Certool es una herramienta concebida para implantar y mantener de forma eficaz los diferentes sistemas de gestión de una organización. Este software se ha renovado, y su nueva versión cuenta con una mayor adecuación y potencia funcional. Además, es más fácil de usar y se adapta aún mejor a cualquier entidad. Eduardo García Bermejo Dirección Comercial de Certificación AENOR Totalmente renovado H ace ya más de una década que AENOR puso a disposición de las organizaciones la solución informática Certool, herramienta concebida para implantar y mantener de forma eficaz los diferentes sistemas gestión. Certool es un software basado en los modelos que se definen en las normas ISO de sistemas de gestión, que incorpora todo el saber hacer de AENOR en esta materia y que se nutre continuamente del feedback de los clientes. Pretende dar respuesta a cada organización en función de sus necesidades en materia de gestión de sistemas y presenta dos productos. Certool Compact es una solución dirigida a resolver necesidades imprescindibles en la gestión del sistema como el control documental, gestión de no conformidades
  16. 16. AENOR 17 Seguimiento y análisis de indicadores
  17. 17. AENOR 18 y acciones de mejora. Y Certool Premium es una solución global que incluye todas las funcionalidades necesarias para dar respuesta a los requisitos comunes que se establecen en las normas de sistemas de gestión. Este carácter modular, unido a la posibilidad de administrar sistemas multi-centro, permite que cada organización pueda elegir la solución que mejor se adapte a sus necesidades en un momento determinado y escalar conforme cambien sus necesidades organizacionales o funcionales. Asimismo, su completo sistema de permisos de usuarios, hace posible que cada persona pueda acceder justo a la información que necesita en un determinado momento. Certool está dirigido a cualquier tipo de organización, independientemente de su tamaño y sector de actividad, con uno o múltiples centros de trabajo o unidades de negocio. Permite gestionar uno o más sistemas, integrados o gestionados de forma independiente, en proceso de implantación, implantados o certificados. Por último, abarca todas las funciones y personas de la organización. Más prestaciones Pero si en todos los sectores cambian las necesidades y expectativas de los clientes, especialmente en el campo de las tecnologías de la información estos cambios se producen a una velocidad de vértigo. Esto obliga a mantener Certool en continua evolución para ofrecer un producto siempre actualizado, tanto tecnológicamente como funcionalmente. Así, hace ahora dos años, y a partir de un minucioso análisis de las necesidades y expectativas de los usuarios de Certool, se inició un proceso de innovación del Diseño de procesos y generación de documentos
  18. 18. AENOR ENTREVISTA 19 Mariano Bonilla « Administramos mejor los diferentes aspectos del sistema de gestión ¿Qué sistemas de gestión tiene el Fondo Social de la Vivienda implantados? El Fondo Social para la Vivienda (FSV) ha implantado y certificado un Sistema de Gestión de la Calidad de acuerdo con la Norma UNE-EN ISO 9001 para todos los procesos de la institución; esto es, un total de 22 procesos y siete subprocesos. ¿Qué alcance tiene el certificado UNE-EN ISO 9001? El alcance de nuestro certificado cubre la prestación de servicios de aprobación de créditos hipotecarios para la adquisición de vivienda. En este sentido, engloba tres centros de trabajo -la oficina central y dos agencias regionales- con un total de 465 empleados de la institución. ¿Por qué opta la organización a la implantación de Certool? Certool es una herramienta que permite administrar de mejor manera los diferentes aspectos que un sistema de gestión requiere para su correcta implantación. Gestión de procesos, control documental y registros, indicadores, auditorías de calidad, productos no conformes, acciones de mejora, no conformidades o gestión de recursos, son algunos de estos aspectos. ¿Qué ventajas aporta Certool en la gestión de los sistemas? EL FSV ha obtenido resultados « producto y los servicios asociados a su implantación. El objetivo era crear un entorno más fácil de usar, práctico y potente funcionalmente; pero, al mismo tiempo, respetar y mejorar todas aquellas características y prestaciones mejor valoradas por los usuarios. Este proceso acaba de finalizar con el nacimiento de un nuevo Certool, una solución totalmente renovada para aportar más eficiencia a los sistemas de gestión de las organizaciones, contribuyendo a su competitividad. Certool ofrece nuevas funcionalidades y se han mejorado significativamente las incluidas en anteriores versiones. Los principales cambios son los que se analizan a continuación. Diseño de procesos. Incorpora un nuevo generador de diagramas de flujo que permite diseñar, de forma fácil e intuitiva, los más complejos mapas y diagramas de procesos con una apariencia visual atractiva. Editor y gestor documental. Permite elaborar documentos y generarlos automáticamente a partir de plantillas previamente diseñadas con un formato homogéneo y visualmente atractivo. Automatiza las actividades para el control documental: generación, revisión, aprobación y distribución. Diseño de formularios y reglas de cálculo. Esta nueva prestación permite diseñar cualquier tipo de formulario y definir además reglas de cálculo que se podrán utilizar para el seguimiento y medición de los distintos elementos del sistema de gestión. Se evita así tener que utilizar hojas de cálculo u otras aplicaciones dispersas y no integradas. Seguimiento, medición y análisis. Permite programar y automatizar el seguimiento y medición de los distintos Gerente General y Coordinador Responsable del Sistema de Gestión de Calidad Fondo Social para la Vivienda (FSV) (El Salvador) favorables con la implantación de Certool. En primer lugar nos ha permitido identificar los procesos con las vinculaciones importantes asociadas, tales como requisitos, objetivos, indicadores o documentos. Por otra parte, contribuye a la estandarización en el diseño y descentralización del registro del seguimiento de los indicadores de los procesos. Otra ventaja que hay que destacar es la ampliación del control y registro de la planificación, realización y seguimiento de auditorías de calidad. En este sentido, permite la mejora en los controles incrementando la información relevante disponible por diversas características para la gestión y toma de decisiones. Obtención de información histórica en una misma fuente de información; desarrollo de flujo documental por cada tipo de instrumento normativo o formulario; ahorro en consumo de papelería e insumos derivados del uso del sistema en las consultas habilitadas; mayor seguridad en los accesos, registros e información por la automatización; mejor organización y control de las tareas por el envío de alertas para el cumplimiento de las actividades asignadas, o constantes actualizaciones por mejoras en el software, servicio oportuno de soporte técnico de consultas y muy buena resolución de incidencias son otros de los beneficios de trabajar con Certool.
  19. 19. AENOR 20 elementos del sistema (productos, procesos, proveedores, etc.). Y analizar la información y tomar decisiones al respecto. Módulos indicadores. Este nuevo módulo permite diseñar indicadores, hacer su seguimiento y configurar múltiples cuadros para las distintas funciones de la organización. A través del cuadro de indicadores se obtiene información de la evolución de los indicadores con inmediatez y precisión. Gestor de flujos de trabajo. Se incorporan nuevos workflows y se potencian los incluidos en la anterior versión, lo que permitirá automatizar los proceso de la organización, evitando errores y duplicidad de tareas. Entre estos workflows están la gestión de no conformidades y acciones de mejora; control de la documentación; programación, seguimiento y medición de procesos, productos, infraestructuras, etc. o gestión de indicadores. Organizados de tareas y comunicación. Todas las tareas programadas se gestionan desde un organizador centralizado que permite a cada usuario conocer en cada momento su carga de trabajo y a los supervisores realizar el seguimiento de las tareas asignadas al personal a su cago. Para facilitar la comunicación, todas las tareas programadas y alertas son comunicadas mediante la emisión automática de un correo electrónico. Explotación de la información. Para que la obtención de la información resulte ágil y precisa se incorporan mejoras como nuevo diseño de los informes que los hacen más claros y accesibles; posibilidad de exportar informes a Pdf y Excel; configurador de informes y gráficos; o tratamiento estadístico de los datos. Ventajas y beneficios Tanto por las funcionalidades y características de Certool, como por Flujos de trabajo configurables
  20. 20. AENOR ENTREVISTA los servicios que se prestan desde AENOR para su implementación y mantenimiento, esta solución tecnológica aporta múltiples ventajas. Se adapta a las particularidades de la organización y está adecuada funcionalmente para cubrir las necesidades en materia de gestión de sistemas. Asimismo, permite ampliar el alcance para adaptarse a los cambios de la organización y de su sistema, así como gestionarlo desde una plataforma única, evitando la utilización de aplicaciones y otros soportes inconexos y de difícil mantenimiento. Por otra parte, es accesible desde cualquier equipo con acceso al servidor de la organización, ya sea a través de la red o de Internet. Su facilidad de uso incrementa la satisfacción de los usuarios, su motivación y productividad. En lo que respecta a sus funcionalidades, homogeniza toda la información documentada del sistema; hace posible informatizar la mayoría de los registros del sistema; automatiza los flujos de trabajo, evitando errores y duplicidad de tareas; facilita la comunicación entre las personas implicadas en el sistema; permite obtener fácilmente información actualizada del sistema de gestión, y reduce tiempos y costes, tanto en la fase de implantación del sistema como en su mantenimiento posterior. Por último, sus servicios permiten que esta herramienta siempre esté actualizada y en continua evolución funcional y tecnológica. Además, cuenta con programas de formación adaptados a las necesidades de la organización para una eficaz implementación y un servicio de apoyo permanente para atender cualquier tipo de consulta. La modalidad de prestación de estos servicios puede ser presencial o asistida on line. ◗ Amaya Caballero Directora del Departamento de Calidad Fraternidad-Muprespa (España) « Certool nos permite la gestión de sistemas multicentro ¿Qué sistemas de gestión tienen implantados y cuál es su alcance?, ¿cuántos centros de trabajo y empleados abarcan? En Fraternidad-Muprespa, Mutua de Accidentes de Trabajo y Enfermedades Profesionales de la Seguridad Social (MATEPSS) nº 275, tenemos implantados los Sistemas de Gestión de la Calidad (UNE-EN ISO 9001), Ambiental (UNE-EN ISO 14001 y EMAS) y Seguridad de la Información (UNE-ISO/IEC 27001) con el objetivo principal de satisfacer las expectativas y necesidades de nuestros mutualistas y demás grupos de interés. Nuestros servicios informáticos cuentan desde 2004 con la certificación UNE-EN ISO 9001 para la actividad de desarrollo y producción de aplicaciones informáticas; desde 2005 con la UNE-EN ISO 14001 en el centro de Alcobendas (150 trabajadores), y en 2010 nos convertimos en la primera mutua que certificó todos sus sistemas informáticos de acuerdo con la Norma UNE-ISO/IEC 27001. Nuestro siguiente reto es obtener la certificación UNE-ISO/IEC 20000-1 de Gestión del Servicio de TI. En 2011, integrado dentro de nuestro Plan Estratégico Corporativo 2011-2014, lanzamos un proyecto de implantación del sistema de Gestión de Calidad y Ambiental en la red de centros asistenciales. Tras la certificación en enero de 2013 de los dos centros piloto, Burgos y Vitoria, está en marcha la implantación en otros 50 (700 trabajadores) distribuidos por todo el territorio español. El objetivo « Certool incorpora todo el saber hacer de AENOR en materia de sistemas de gestión y se nutre continuamente con el feedback de los clientes 21 es alcanzar el despliegue en toda la red asistencial de la Mutua (más de 100 centros con más de 1.400 trabajadores). Asimismo, pretendemos finalizar 2013 con la certificación OHSAS 18001 de Seguridad y Salud en el Trabajo en los servicios centrales. ¿Por qué opta la organización por la implantación de Certool? Tras realizar un estudio de mercado, llegamos a la conclusión de que había dos tipos de paquetes informáticos de calidad: los que son un módulo más un sistema tipo ERP y los paquetes específicos. Los primeros los descartamos por su alto coste de integración con nuestros sistemas informáticos. De entre los segundos, optamos por Certool por la solvencia del fabricante, que es AENOR, por la rápida puesta en marcha y por la seguridad de que las funcionalidades que ofrece cumplirían, sin duda alguna, con los requisitos de las normas ISO. ¿Qué ventajas aporta Certool para la gestión de los sistemas? Son muchas. La gestión de sistemas multicentro, idónea para la implantación en nuestra red de centros asistenciales, es una de ellas. Nos permite trabajar aisladamente pero manteniendo una visión global e integrada, lo que facilita la definición de las líneas de mejora y toma de decisiones corporativas. La usabilidad y facilidad de manejo también son ventajas que hay que destacar, junto con el servicio ofrecido al cliente por parte del equipo de desarrollo de AENOR.
  21. 21. AENOR 22 ENTREVISTA Ana Ferrón Environment, Health and Safety Manager GlaxoSmithKline “ Todos los años aprendemos cosas nuevas en las auditorías” Fotografías: José Antonio Rojo GSK es una de las principales compañías farmacéuticas del mundo. En España emplea a 1.850 profesionales que desarrollan actividades de investigación y desarrollo, producción y comercialización. Para el año 2050 tiene como objetivo corporativo neutralizar sus emisiones. Su gerente de Medio Ambiente, Salud y Prevención en España, Ana Ferrón, explica cómo los sistemas de gestión ayudan a la compañía a reducir riesgos . Usted es vocal de dos Comités Técnicos de Normalización sobre bioseguridad, ¿cómo describiría el trabajo del comité? Sí, he participado en la revisión de dos normas sobre gestión del riesgo biológico en el laboratorio y competencia profesional en bioseguridad. Era la primera vez que participaba en un proceso similar y la experiencia ha sido muy positiva y enriquecedora, porque nos ha permitido aportar nuestra experiencia en la gestión de los riesgos biológicos dentro de los laboratorios de investigación. Y, al mismo tiempo, hemos podido aprender de otras empresas, sus experiencias y puntos de vista. ¿Qué papel atribuye a las normas en una economía desarrollada? ¿Hemos llegado a un nivel satisfactorio en su uso? Las normas nos han aportado una metodología de trabajo que nos permite sistematizar y simplificar procesos. Pero, también, establecen un medio de comunicación único entre las partes interesadas: empresas, administración pública y consumidor. Creo que sí se está haciendo un importante uso de las normas, pero quizás habría que seguir avanzando para que al consumidor le llegue que cuando compra un producto, éste se ha fabricado siguiendo una norma específica. GSK opera en un sector de alta sensibilidad donde, por parte del consumidor, la tolerancia al fallo es mínima. En este entorno, ¿qué papel juegan los sistemas de gestión? Los sistemas de gestión están basados en el llamado ciclo de Deming (Planificar, Hacer, Verificar y Actuar). Esto, junto con los altos estándares de calidad que tiene una compañía farmacéutica, nos ayuda a que en nuestros procesos el fallo esté totalmente controlado. Para nosotros, los sistemas de gestión son una garantía para que de producirse un fallo éste sea muy pequeño. ¿Cómo es la estructura del departamento de Medio Ambiente y Seguridad de GSK? Nuestro departamento constituye el servicio propio mancomunado de medio ambiente y prevención de las empresas de comercialización, producción farmacéutica e investigación y desarrollo en España de GSK. Está formado por técnicos en medio ambiente y prevención muy cualificados, y también está integrado en el departamento el servicio médico.
  22. 22. AENOR 23 Tenemos una dependencia jerárquica internacional, ya que estamos integrados dentro de lo que se llama Environmental, Health and Safety Shared Services, la prestación de servicios de medio ambiente y prevención en los centros de trabajo de los distintos países. ¿Entonces, tienen una política global que se adapta al mercado local? Efectivamente, tenemos políticas y estándares globales de medio ambiente seguridad y salud internacionales pero que contemplan la adaptación a los requisitos locales. Requisitos que se refieren tanto al cumplimiento de la legislación local como a cuestiones culturales de cada país. A su juicio, ¿cuáles son los elementos clave para la implantación con éxito de un sistema de gestión ambiental y seguridad y salud en una organización como GSK? Destacaría tres cuestiones fundamentales: el compromiso de todos los niveles de la organización, desde la alta dirección hasta el BÍO Ana Ferrón se incorpo- ró a GlaxoSmithKline España en 2004 come jefe de Medio Ambiente y, desde 2010, es Environmental, Health & Safety Manager. Anteriormente fue técnico de Medio Ambiente en la Fundación para la Gestión y Protección del Medio Ambiente. Es Ingeniero Agrónomo, especialidad en Industrias Agroalimentarias por la Universidad Politécnica de Madrid, así como Máster en Ingeniería y Gestión Medioambiental por la Escuela de Organización Industrial (EOI). También es Técnico Superior en Prevención de Riesgos Laborales y Máster en Calidad Industrial por la Escuela Técnica Superior de Ingenieros Industriales de Madrid.
  23. 23. AENOR 24 ENTREVISTA Ana Ferrón último operario de una línea de producción. En segundo lugar, el establecimiento de políticas y estándares globales cuyo objetivo sea el cuidado de las personas que trabajan para la compañía y el medio ambiente que nos rodea. Y el tercero, que haya departamentos que consigan adaptar esas políticas. Y no sólo que las adapten, sino que las implanten y mejoren; que establezcan programas de seguimiento, control, y que nos ayuden a En la actividad comercial, por ejemplo, el mayor riesgo en lo que a salud y seguridad se refiere está relacionado con la conducción, por ello desarrollamos un programa específico de conducción segura para conductores. En el caso de las fábricas de producción, uno de los riesgos mayores podría ser explosiones, por ello desarrollamos programas específicos de Process safety, en los que tratamos de reducir o eliminar los riesgos. En lo que El estándar OHSAS 18001 ha experimentado una notable progresión en poco tiempo, situándose entre los tres referenciales más implantados. ¿A qué atribuye ese éxito? En términos de cultura global, creo que cada vez hay una mayor concienciación de las organizaciones en cuanto a la mejora de la seguridad y salud de las empresas. Por otro lado, la Ley de Prevención contempla la obligación de implantar un sistema de “La experiencia de trabajar en el desarrollo de normas técnicas es muy enriquecedora por el intercambio de experiencias que supone” “Tenemos un único sistema de gestión de medio ambiente, seguridad y salud para todas las unidades de negocio, con programas específicos para cada una de ellas” que este sistema de gestión continúe y mejore día a día. La actividad de GSK en España abarca ámbitos tan distintos como producción, comercialización e investigación y desarrollo. ¿Qué particularidades presenta cada uno tanto en el campo ambiental como de la seguridad laboral? Para nosotros esas actividades son unidades de negocio y para todas ellas apostamos por la creación de un único sistema de gestión de medio ambiente y seguridad y salud. Lo hacemos así porque nos resulta fundamental la simplificación y estandarización de los procesos, eso sí adaptándolo a cada uno de los distintos negocios, porque cada uno tiene sus particularidades, aspectos ambientales y riesgos de seguridad y salud distintos. ¿Puede dar algún detalle de las actuaciones que desarrollan para cada unidad de negocio? a I+D se refiere, tenemos un programa muy robusto de bioseguridad, ya que trabajamos con agentes biológicos de los grupos 2 y 3 (agentes que pueden suponer peligro para los trabajadores y con riesgo de que se propague a la colectividad). prevención de riesgos laborales, por lo tanto OHSAS 18001 ayuda a las organizaciones en este sentido. En cualquier caso, creo que los beneficios de esta certificación explican por sí mismos por qué las organizaciones han apostado por ella. ¿Cómo conviven en su organización el sistema de gestión según la Norma UNE-EN ISO 14001 y el Reglamento EMAS? Ambos se complementan. Sin la ISO 14001 muy difícilmente es posible tener un sistema de gestión ambiental basado en el reglamento EMAS, porque la norma internacional ayuda a cumplir todos los requisitos que establece EMAS. Y EMAS, por su parte, ayuda a tener un sistema de indicadores básicos que ayuda a medir el desempeño ambiental de la organización, básico para la ISO 14001. Por otro lado, ayuda a identificar objetivos y metas ambientales de forma más efectiva. Además, contribuye a que los proveedores habituales cumplan los requisitos que la organización suscribe. ¿Cuáles son a su juicio estos beneficios? Ayuda a identificar peligros, establecer mejoras de control, desarrollar programas específicos de reducción de riesgos, reducir el número de incidentes y el absentismo. Y, como consecuencia de todo ello, a tener un control más efectivo de los costes derivados de estos incidentes. ¿Y hacia dónde cree que va a evolucionar la salud y seguridad en el trabajo? Hasta estos últimos años, en general los servicios de prevención propios y ajenos estaban muy preocupados por el cuidado físico del individuo, cuestiones como seguridad, higiene industrial o ergonomía. Pero ahora cada vez hay una mayor tendencia a cuidar
  24. 24. AENOR 25 el well-being, el bienestar de las personas, que contempla un aspecto psicosocial. Por ello, creo que estas cuestiones se van a ir integrando, de forma cada vez más efectiva, en la gestión de la prevención. ¿Ustedes ya lo están haciendo? Sí, de hecho nuestro objetivo para el próximo año es lograr la certificación según el Modelo de Empresa Saludable, que sigue las para reducir nuestras emisiones y como paso previo estamos calculando nuestra huella de carbono. Aunque en este ámbito llevamos tiempo trabajando. Por ejemplo, tenemos una instalación fotovoltaica con la que compensamos nuestras emisiones. Nosotros consumimos lo que consumimos por necesidades de nuestra actividad, pero al mismo tiempo, estamos proporcionando a la línea eléctrica una energía limpia considerable. de auditores que nos auditan todos los años, que nos conoce bien y que, francamente, nos ayuda a mejorar año tras año. Porque siempre aprendemos algo nuevo, nuevas líneas de trabajo, aspectos que tenemos que mejorar, procesos que hay que cambiar, etc. Para nosotros la auditoría no es “un trámite para”, porque si fuera así no nos interesaría. Desde el punto de vista externo, queremos una entidad certificadora que tenga un prestigio claro por su solvencia técnica. “La prevención de la salud y seguridad laboral tiende cada vez más a cuidar el bienestar de las personas” “Para nosotros la auditoría no es “un trámite para”, porque si fuera así no nos interesaría” cuestiones que mencionaba. Tenemos, por ejemplo, programas muy específicos para incrementar o mejorar la resiliencia personal. Así, tenemos el Personal resilience, un programa individual de día y medio de duración en el que se analizan y establecen acciones concretas para mejorar las cuatro energías de las personas: física, emocional, mental y espiritual. Tenemos otro programa similar, pero dirigido a managers y profesionales con personas a su cargo y con formato más largo, que es Energy for performance. También contamos con la herramienta Team resilience para realizar la evaluación psicosocial del manager junto con su equipo. ¿Qué gestión se hace en GSK de los grandes retos de hoy en materia de sostenibilidad, como puedan ser los Gases de Efecto Invernadero o la eficiencia energética? Desde el punto de vista global, GSK tiene el compromiso en 2050 de ser empresa carbon neutral. Para ello, se está trabajando en el establecimiento de objetivos y metas ¿Qué criterio mantiene GSK en cuanto a la implantación de políticas de sostenibilidad entre sus proveedores? Como parte de la implantación de EMAS y como parte de las políticas de GSK tenemos dos grandes líneas de trabajo. En primer lugar, proporcionamos a los proveedores una serie de requisitos ambientales. Además, con el personal implant que tenemos dentro de la organización, que está muy relacionado con aspectos ambientales como servicios de catering, limpieza o mantenimiento de las instalaciones, tenemos una relación de partners. Es decir, establecemos requisitos ambientales comunes dentro de nuestras instalaciones y establecemos objetivos comunes de mejora ambiental. En definitiva, participan dentro del sistema de gestión ambiental como una parte más. ¿Qué espera GSK de una entidad certificadora? Desde el punto de vista interno, para nosotros el objetivo de la auditoría es que nos ayude a mejorar. Afortunadamente, tenemos un grupo ¿Cómo ha evolucionado en nuestro país el papel del responsable de medio ambiente y seguridad y salud en la empresa? Ha evolucionado de forma positiva porque hay una mayor concienciación de los aspectos relacionados con el medio ambiente y la prevención. Hace años las organizaciones no se preocupaban tanto de cuidar sus aspectos ambientales. Nosotros fuimos pioneros en España al ser la primera empresa en obtener EMAS, en 1999, y lo hicimos de forma experimental en nuestros centros de Investigación y Desarrollo. En aquella época sólo las grandes compañías tenían departamentos de medio ambiente. Pero a medida que la sociedad ha ido evolucionando esta posición se ha ido integrando en las empresas y ha ido adquiriendo prestigio. No es tanto una cuestión de estar presente en un comité de dirección como que el departamento ha ganado peso en la organización, y ha logrado una mayor concienciación de los aspectos ambientales y de seguridad y salud. ◗
  25. 25. AENOR 26
  26. 26. AENOR 27 IQNet SR10 IQNet SR10 celebra su primer aniversario con más de 30 organizaciones certificadas. Esta herramienta permite integrar la responsabilidad social y la sostenibilidad en la gestión estratégica de las entidades, aumentando su credibilidad y transparencia ante los grupos de interés. Gestión responsable y sostenible Salvador Román Gerente de Responsabilidad Social AENOR H ace más de un año se publicó el estándar internacional IQNet SR10, fruto de un consenso global. Y es que IQNet es la mayor red mundial de organismos de certificación, formada por 37 miembros líderes en certificación en sus países de origen. Este estándar nació con el objetivo de dar respuesta a una demanda de las organizaciones, que necesitaban contar con una herramienta de gestión que las ayudase a integrar la responsabilidad social, ser más sostenibles y competitivas, y mejorar su compromiso con sus grupos de interés. Además, permite demostrar su compromiso a través del reconocimiento y la certificación por parte de una entidad independiente, como es el caso de AENOR. En este sentido, IQNet SR10 considera los principios, materias fundamentales, asuntos y recomendaciones de la Norma ISO 26000 Guía de Responsabilidad Social. Ya son más de 30 las organizaciones de 10 países diferentes las que han apostado por la certificación IQNet SR10. Los principales organismos de certificación de 20 países -entre ellos AENOR- están reconocidos por IQNet para poder certificar con este modelo. El interés mostrado por organizaciones tanto del ámbito nacional como internacional ha llevado a AENOR a impartir formación a expertos de Alemania, Francia, Japón, Argentina y México, entre otros países. Algunas organizaciones asocian la responsabilidad social con acciones hacia grupos sociales desfavorecidos y sostenibilidad con respeto al medio ambiente. Sin embargo una gestión responsable y sostenible implica un compromiso con todos los grupos de interés y considerar tanto aspectos ambientales como sociales, económicos y de buen gobierno (ver figura 1).
  27. 27. AENOR 28 Figura 1 Responsabilidad social y sostenibilidad Acciones puntuales, al margen del negocio ONG y organizaciones sociales como público objetivo Centrada en “dar” o “donar” (filantropía) ENFOQUE REACTIVO HACIA LA RS Y LA SOSTENIBILIDAD Finalidad: buena imagen Integrada en el negocio: planes, objetivos, metas Inversión generadora de valor: largo plazo ENFOQUE ESTRATÉGICO Y DE GESTIÓN IQNet SR10 Planteamiento a corto plazo: gasto IQNet SR10 En este sentido, IQNet SR10 es una potente herramienta de gestión que ayuda a integrar la responsabilidad social y la sostenibilidad en la estrategia y en la gestión de las organizaciones. Esto requiere enfocar la responsabilidad social como un compromiso hacia todos los grupos de interés y no sólo hacia organizaciones sociales o colectivos desfavorecidos; y considerar la sostenibilidad contemplando y dando respuesta no únicamente a los aspectos ambientales, sino también los económicos, sociales y de buen gobierno. Asimismo, la organización responsable tiene que ser eficaz y competitiva, generar beneficios para todos los Objetivo: sostenibilidad - desarrollo sostenible grupos de interés (riqueza, empleo, productos de calidad, desarrollo de su comunidad, etc.) y no sólo beneficios económicos para unos pocos. Para cualquier organización El modelo de certificación voluntario IQNet SR10 es aplicable a cualquier organización, independientemente del sector en el que actúe. Asimismo, está especialmente dirigido a ayudar a aquellas organizaciones que quieran promover una gestión responsable y una mejora de las relaciones con sus grupos de interés. Y que apuesten por la sostenibilidad con una visión estratégica de perdurar en el tiempo en el medio y largo plazo, más allá de acciones puntuales o en el beneficio a corto plazo. Orientada a todos los grupos de interés Centrada en cómo se realiza el negocio y cómo se obtienen los beneficios Las organizaciones que apuestan por este modelo de certificación valoran y reconocen la importancia de cómo se realizan las actividades, cómo se toman las decisiones y cómo se obtienen los beneficios. Se trata pues de entidades donde los principios y valores, el buen gobierno y la transparencia son algunas de sus características y valores fundamentales. Todas estas organizaciones han desarrollado un código de conducta. En el caso de organizaciones con sistemas de gestión eficientes y consolidados enfocados a grupos de interés específicos UNE-EN ISO 9001 (calidad), UNE-EN ISO 14001 (medio ambiente), OHSAS 18001 (seguridad y salud en el trabajo), Modelo EFQM, etc., IQNet SR10 facilita la integración
  28. 28. AENOR 29 EXPERIENCIAS LOS DATOS 31 10 20 7 Nº total de Certificados IQNet SR10 emitidos en todo el mundo Nº de países en los que hay empresas certificadas Bélgica, Bolivia, Croacia, China, España, Georgia, República Checa, Perú, Rusia y Turquía. Nº de organismos de certificación reconocidos por IQNet para certificar de acuerdo con el estándar AENOR es el único español. Hay organismos en: Alemania, Bélgica, Brasil, Croacia, China, Corea, Finlandia, Israel, Italia, Japón, México, Portugal, República Checa, Rusia, Serbia, Suiza, Turquía y Venezuela. Nº de idiomas a los que está traducida la IQNet SR10 Español, inglés, checo, ruso, italiano, alemán, chino. Uno de los aspectos que más valor aporta al proceso de certificación según IQNet SR10 son las entrevistas con los grupos de interés entre ellos y los complementa considerando otros grupos de interés (proveedores, inversores, administraciones y gobiernos, comunidad) o ampliando los aspectos que hay que considerar (igualdad, conciliación, transparencia, no corrupción, etc.). Ver figura 2. El Modelo IQNet SR10 es totalmente complementario y compatible con la verificación de informes de sostenibilidad o responsabilidad social (GRI), y facilita y ayuda, en gran medida, la realización de los mismos, sistematizando y mejorando la gestión. Por ejemplo, la Comarca de Bilbao del Servicio Vasco de Salud o la Unión Comprometidos con la Responsabilidad Social Raquel Valentín-Fernández CSR manager Domecq Bodegas (España) La Responsabilidad Social es uno de los pilares fundamentales de Domecq Bodegas y por eso se encuentra en el ADN de nuestra cultura, abarcando las diferentes áreas de la actividad a todos los niveles. Con el fin de dar coherencia a las diferentes iniciativas, se ha creado una plataforma de Responsabilidad Social basada en cinco pilares: respetar a nuestros grupos de interés, conservar el medio ambiente, promover el consumo responsable, fomentar el espíritu emprendedor y compartir nuestras culturas. Además, se ha reforzado nuestro compromiso en la gestión de la Responsabilidad Social implantando el Estándar internacional IQNet SR10, siendo la primera compañía vitivinícola y del sector alimentario del mundo en obtenerla. Sin duda, la metodología propuesta por IQNet SR10 nos ha ayudado a orientar la gestión integrada de los grupos de interés: identificándolos, conociendo los impactos que les generamos y estableciendo un diálogo activo con ellos para conocer sus expectativas e ir mejorando la satisfacción de cada uno. Por otro lado, hemos integrado fácilmente el resto de sistemas de gestión que tenemos certificados: UNE-EN ISO 9001 (calidad), UNE-EN ISO 14001 (medio ambiente), OSHAS 18001 (seguridad y salud en el trabajo) y UNE-EN ISO 22000 (inocuidad alimentaria); así como la gestión de los aspectos económico-financieros y de buen gobierno. En el ámbito de los mercados, hemos conseguido ganar en confianza, sobre todo en países donde la Responsabilidad Social comienza a tener un papel relevante entre los consumidores. Es el caso de Canadá y los países nórdicos. En definitiva, la certificación IQNet SR10 ha sido fundamental para establecer unas bases sólidas en la forma de gestionar la Responsabilidad Social de Domecq Bodegas. Además, ha ayudado a que nuestros profesionales sean los mejores embajadores. Domecq Bodegas, filial del Grupo Pernod Ricard, es líder en la elaboración y exportación de vinos de calidad de España, y goza de un gran reconocimiento en el ámbito mundial. Nuestros vinos llegan a más de 70 países. Así, contamos con un total de seis bodegas repartidas en cuatro denominaciones de origen: Rioja (Campo Viejo, Ysios, AGE), Ribera del Duero (Tarsus), Rueda (Aura) y Navarra (Vinícola Navarra) y marcas tan reconocidas como Campo Viejo, Azpilicueta, Alcorta, Ysios, Tarsus, Aura y Siglo.
  29. 29. AENOR 30 Figura2 Ejemplos de identificación de grupos de interés y asuntos relevantes GRUPOS DE INTERES ASUNTOS RELEVANTES Accionistas o propietarios Empleados Clientes Proveedores Gobiernos y administración Comunidad, sociedad y medio ambiente Rentabilidad, beneficios, eficacia, buen gobierno, transparencia, etc. Condiciones laborales, seguridad laboral, formación, igualdad, conciliación, etc. Calidad y seguridad de los productos, servicio posventa, publicidad no engañosa, etc. Cumplimento de contratos, honestidad, no corrupción, derechos humanos, etc. Cumplimiento obligaciones fiscales, no corrupción, colaboración y transparencia, etc. Prevención de la contaminación y del cambio climático, uso eficiente de recursos, compromiso, promoción del desarrollo local, etc. claros de interpretación y actuación. Marketing y prácticas comerciales; trato con proveedores; derechos humanos; regalos; políticas de remuneración; cumplimiento con leyes y regulaciones, o conflictos de interés son ejemplos de materias que puede incluir un código de conducta. Elementos clave del modelo IQNet SR10 1) Una Política de Responsabilidad Social, que debe incluir, entre otros asuntos, el compromiso de cumplir los principios de la responsabilidad social establecidos en la ISO 26000. 2) Un código de conducta, que concreta cómo se comporta la organización ante sus grupos de interés, redactado de la manera más objetiva posible y con criterios 3) Una identificación detallada de cuáles son los grupos de interés y los asuntos que son significativos (ver figura 2). 4) La priorización de grupos de interés y asuntos significativos o materiales y establecimiento de planes con objetivos y metas sobre ellos. 5) El establecimiento de métodos de seguimiento, medición, análisis y mejora, a través de indicadores, auditorías internas, evaluaciones de cumplimiento legal y revisiones por la alta dirección, entre otros. IQNet SR10 de Mutuas realizan las auditorias de IQNet SR10 conjuntamente con la verificación de su memoria GRI. Las organizaciones que han obtenido el certificado IQNet SR10 pertenecen a diferentes sectores y tipologías. Empresas con presencia internacional como REE o Domecq Wines; Administraciones Públicas como el Hospital Virgen de las Nieves o la Comarca Bilbao del Servicio Vasco de Salud; pymes como Construcciones Ecay, o una cadena de hoteles turca, BERA TURİZM, entre otras. Proceso de certificación El modelo IQNet SR10 es voluntario y se puede utilizar sin necesidad de
  30. 30. AENOR 31 EXPERIENCIAS Estrategia empresarial Javier Alonso Jácobo Representante de la Alta Dirección Red Eléctrica del Sur (REDESUR) (Perú) AENOR ha impartido formación a expertos de Alemania, Francia, Japón, Argentina y México, entre otros países certificarse; pero incluye requisitos, lo que permite que una tercera parte independiente reconozca su cumplimiento. Los grupos de interés también juegan en el proceso de certificación un papel protagonista. Así, durante la auditoria inicial los auditores mantienen entrevistas con varios de ellos. Se trata de uno de los elementos más valorados de todo el modelo, ya que se genera una información muy valiosa para la organización y es una muestra de transparencia y compromiso hacia todos ellos. El equipo auditor se entrevista siempre con la alta dirección, con empleados y clientes de la organización. Pero también se llevan a cabo entrevistas con, por ejemplo, asociaciones de pacientes y organizaciones sociales en el caso de que entidades del ámbito sanitario; o representantes sindicales e inspección de trabajo si la auditoría se realizando en una empresa de construcción. Este modelo permite realizar auditorías integradas con sistemas de gestión UNE-EN ISO 9001, UNE-EN ISO 14001, OHSAS 18001 y con la verificación de Memorias de Sostenibilidad GRI. Beneficios de la certificación Las principales ventajas que encuentran las empresas que apuestan por esta certificación son las siguientes: en primer lugar, un aumento de la credibilidad y transparencia ante los grupos de interés. Y es que se concede un reconocimiento externo conjunto por una tercera parte independiente como AENOR e IQNet de que la gestión se realiza de una manera responsable y sostenible, y conforme a un referencial internacional. También hay que destacar mejoras derivadas del propio proceso de auditoría, que implica revisiones y entrevista con grupos de interés. Como se ha visto anteriormente uno de los elementos más valorados por las organizaciones auditadas es la información obtenida de dichas entrevistas. Por último, con esta certificación se incrementa la confianza y tranquilidad para la organización, ya que se realizan las actividades de una manera responsable, con conocimiento por parte de los grupos de interés y con una mayor garantía para inversores y futuros accionistas del compromiso y la sostenibilidad de la organización. ◗ REDESUR es la sociedad concesionaria para la explotación del reforzamiento de los sistemas electricos de transmisión y prestación del servicio de transmisión electrica del sur del Perú desde 1999, tras la firma del contrato de concesión con el Ministerio de Energia y Minas de Perú. En 2004 se convirtió en la primera empresa peruana en obtener la triple certificación para los Sistemas de Gestión de la Calidad, Seguridad y Salud en el Trabajo y Medio Ambiente. Y cinco años más tarde, su compromiso con la sociedad la llevó a ser pionera en la obtención del certificado AENOR de Responsabilidad Social RS10, que en 2011 se convirtió en IQNet SR10. La estrategia y experiencia en la gestión de la Responsabilidad Social Corporativa (RSC) en REDESUR viene marcada desde las políticas y actuaciones del grupo REE, formando parte del plan estratégico de la compañía y de las actuaciones claves que lo desarrollan. La Política de RSC contiene los principios que rigen las actividades de la empresa y los compromisos que ésta asume y que garantizan una gestión empresarial sostenible, ética y responsable. Y la asunción de un compromiso permanente con los distintos grupos de interés, en especial con la sociedad. Este sistema está constituido por un conjunto de elementos estructurales de gestión, de despliegue temporal, seguimiento, evaluación y difusión que aseguran una gestión adecuada de los impactos sociales y ambientales significativos de nuestras actividades y servicios con los grupos de interés. El sistema de gestión de RSC se imbrica con el Sistema Integrado de Gestión de la Calidad, Ambiental, y Seguridad y Salud en el Trabajo. Esto permite incorporar parámetros que ya formaban parte de nuestra actividad y compromisos: principios éticos y de conducta, cadena de valor con proveedores, derechos humanos y laborales, preocupación por las personas de la organización o adecuación al entorno social. Este certificado nos permite interactuar de una manera más directa con los grupos de interés, lograr su satisfacción y mejorar continuamentenuestros procesos.
  31. 31. AENOR 32
  32. 32. AENOR 33 ESTADÍSTICA Criterios globales En 2013 se celebra el Año Internacional de Estadística. Las normas UNE existentes en este ámbito contienen el conocimiento aceptado internacionalmente tanto de metodologías tradicionales como de aplicaciones más actuales, por lo que son herramientas útiles para los profesionales del sector. Algunos de los campos que cubren son métodos estadísticos al análisis y gestión de procesos; procedimientos de muestreo de aceptación, y contraste de hipótesis. unificados Ivan Moya Dirección de Normalización AENOR M óviles y tabletas, medicinas y diagnósticos clínicos, ropa, agricultura, transporte público o los vuelos en avión son sólo algunos de los ejemplos de cómo la estadística nos rodea de forma masiva, casi sin ser conscientes de ello. Los métodos estadísticos son determinantes en la automatización de redes de telecomunicaciones, en la mejora de procesos de fabricación de todo tipo de artículos como textiles, fármacos o material electrónico, en los niveles de hierro o glucosa en sangre que tomamos como normales, en el aumento de la eficiencia en la agricultura, el servicio de autobuses, trenes y metro, o en la gestión del tráfico aéreo. Y la declaración de 2013 como Año Internacional de la Estadística tiene como objetivo reconocer internacionalmente la contribución que esta disciplina hace al progreso de la sociedad. El desarrollo de la estadística ha crecido en los últimos años de manera considerable, al incrementarse la necesidad de manejar gran cantidad de datos y de extraer conclusiones útiles de los mismos. Precisamente puede decirse que es éste el objetivo más destacable de la estadística: ser la máquina de procesado que transforma la materia prima que constituyen innumerables datos en resultados objetivos que permiten tomar decisiones. No sólo eso, la estadística aporta también las pautas que permiten valorar si los datos de partida son válidos para desgranar el fenómeno objeto de estudio, proporcionando los criterios que han de tener para asegurar una representatividad aceptable. La aplicabilidad de lo anterior comprende desde la mejora de un proceso industrial concreto hasta el análisis económico de una actividad determinada, pasando por la evaluación de un sistema de enseñanza o la estrategia en el planteamiento de políticas sociales.
  33. 33. AENOR 34 LOS DATOS Tabla 1 Actividad del AEN/CTN 66/SC 3 Métodos estadísticos Aplicación de los métodos estadísticos al análisis y gestión de procesos, permitiendo la toma de decisiones de acuerdo con datos objetivos, contribuyendo a reducir la variabilidad y a aumentar la calidad del resultado. Procedimientos de muestreo de aceptación para verificar que lo que se ha producido cumple las especificaciones, sin que dicha verificación tenga un coste excesivo. La aplicación de estas normas permite reducir la cantidad de producto inspeccionado a media que aumenta la confianza en el mismo, abaratando costes y reduciendo tiempos. UNE-ISO 13053-1 2012 Métodos cuantitativos en la mejora de procesos. Seis Sigma. Parte 1: Metodología DMAIC UNE-ISO 13053-2 2012 Métodos cuantitativos en la mejora de procesos. Seis Sigma. Parte 2: Herramientas y técnicas UNE-ISO 7870-1 2013 Gráficos de control. Parte 1: Directrices generales ESTADÍSTICA Consenso internacional De lo anterior se deduce la importancia de contar con unos criterios uniformes a la hora de aplicar los métodos estadísticos en éstas y otras áreas. La actividad de la Organización Internacional de Normalización (ISO) y de AENOR en el campo de la estadística tiene el objetivo de conseguir esta uniformidad, plasmando en normas criterios unificados para la utilización de dichas herramientas. Entre los diversos campos en los que ISO desarrolla su actividad, la estadística toma forma a través del comité técnico ISO/TC 69 Aplicación de los métodos estadísticos. Este órgano técnico, en el que participan más de 50 países, es responsable del desarrollo de normas genéricas sobre la aplicación de métodos estadísticos para UNE-ISO 2859-1 2012 Procedimientos de muestreo para la inspección por atributos. Parte 1: Planes de muestreo para las inspecciones lote por lote, tabulados según el nivel de calidad aceptable (NCA) UNE-ISO 2859-4 2013 Procedimientos de muestreo para la inspección por atributos. Parte 4: Procedimientos para la evaluación de los niveles de calidad declarados UNE-ISO 3951-2 2012 Procedimientos de muestreo para la inspección por variables. Parte 2: Especificación general para los planes de muestreo simples tabulados según el nivel de calidad aceptable para la inspección lote por lote de características de calidad independientes su uso tanto por otros comités técnicos de normalización como, directamente, en la industria o en el sector servicios, así como en actividades de certificación y acreditación. Su actividad se estructura en distintas áreas: terminología y símbolos; aplicaciones en gestión de procesos; muestreo de aceptación, medición y resultados; implementación de Seis Sigma y, por último, aplicaciones para nuevas tecnologías y desarrollo de productos. Estas normas internacionales se elaboran en un proceso de participación abierto, con un desarrollo inicial en el que participan todas las partes interesadas, apoyado por una consulta pública, consiguiendo documentos basados en los principios del consenso y la coherencia técnica. Trabajos nacionales En AENOR la estadística surge como apoyo a las actividades de gestión de La estadística ofrece la respuesta a muchas de las necesidades planteadas por la sociedad actual mediante su tarea fundamental de facilitar la toma de decisiones a partir de datos la calidad y evaluación de la conformidad, aportando las herramientas de control estadístico necesarias para su evaluación y éxito. Esta relación tiene su reflejo en la ubicación del Subcomité 3 Métodos estadísticos dentro de la estructura del AEN/CTN 66 Gestión de la calidad y evaluación de la conformidad. Actualmente, el AEN/CTN 66/SC 3 cuenta con 18 miembros provenientes de la empresa privada, del ámbito universitario, de la empresa pública y de organismos oficiales; todos ellos profesionales reconocidos en materia de conocimiento teórico y de la aplicación práctica de la ciencia estadística. Su trabajo se centra en dos objetivos principales: facilitar el acceso a estas normas mediante la selección de los documentos que se adoptan en nuestro país como normas UNE-ISO en español; y fomentar el conocimiento y aplicación de dichas normas en el mundo de la empresa. Para el primero de los objetivos se lleva a cabo una cuidadosa selección de las normas que se incorporan al catálogo de AENOR en función del nivel de utilidad que pueden tener para las empresas españolas y las necesidades
  34. 34. AENOR 35 OPINIÓN Mariano Prieto Contraste de hipótesis para evaluar la conveniencia de extrapolar lo observado en una muestra de la población bajo estudio UNE 66057 1978 Comparación de dos medias en el caso de observaciones apareadas UNE 66051 1978 Estimación de la diferencia entre las medias de dos lotes. Caso de varianzas desconocidas pero que se suponen iguales detectadas. Para el segundo, se ha desarrollado un programa de difusión de estos documentos en congresos y simposios, publicaciones y acercamiento al ámbito universitario. Los miembros del subcomité participan activamente en las distintas actividades y eventos que tienen lugar este año con motivo de la declaración del Año Internacional de la Estadística. En la tabla 1 se muestran ejemplos que ponen de manifiesto las distintas necesidades multisectoriales que abarca la actividad del Subcomité 3. Así pues, la estadística ofrece la respuesta a muchas de las necesidades planteadas por la sociedad actual mediante su tarea fundamental de facilitar la toma de decisiones a partir de datos, con el objetivo de representar la realidad y transformarla, anticipar su evolución o simplemente conocerla. Vocabulario y terminología, en línea con el entorno empresarial y aplicable a productos y servicios, persigue la unificación de criterios en la denominación de los distintos parámetros y herramientas. UNE-ISO 3534-1 2013 Estadística. Vocabulario y símbolos. Parte 1: Términos estadísticos generales y términos empleados en el cálculo de probabilidades UNE-ISO 3534-2 2013 Estadística. Vocabulario y símbolos. Parte 2: Estadística aplicada Los parámetros y herramientas estadísticas intervienen en todas las fases del ciclo de vida de un producto, desde la evaluación de las necesidades del mercado hasta la optimización del rendimiento en función del coste, pasando por el control de la distribución y la evaluación de la satisfacción del cliente. En definitiva, son casi ilimitados los procesos y actividades que pueden verse beneficiados por la aplicación de los métodos estadísticos que se traducen en aumento de la eficiencia y reducción de costes y esfuerzos. Las normas de estadística contienen el conocimiento aceptado internacionalmente tanto de metodologías tradicionales como de las aplicaciones más actuales y constituyen una inmejorable herramienta para los profesionales del sector. ◗ Presidente AEN/CTN 66/SC 3 Métodos estadísticos Decisiones fundamentadas La estadística es una disciplina de extraordinaria utilidad para el mundo de la empresa, puesto que ayuda en gran medida a tomar decisiones en situaciones de incertidumbre. Este tipo de decisiones constituye uno de los aspectos básicos de la gestión de los negocios. Por ello, son necesarias herramientas -y la estadística es una de las más importantes- que contribuyan a fundar esta tarea cada vez menos en la intuición y más en la racionalidad del método científico. Pero la estadística es difícil de entender y de manejar con soltura. Una de las dificultades prácticas más importantes con que se encuentran los gestores es la gran proliferación de fuentes de información en materia de estadística; esto hace que, a veces, no esté claro el método o procedimiento más recomendable que hay que emplear en cada caso. Las normas nacionales UNE e internacionales ISO en materia estadística acuden en ayuda del mundo de la empresa a través de un recurso fundamental: la uniformidad de criterio a la hora de elegir cuál es el procedimiento más idóneo para su aplicación en un caso concreto de entre las diferentes opciones posibles. De este modo, distintos técnicos emplearán siempre el mismo método de trabajo llegando a conclusiones consistentes. Disponer de estas recomendaciones, seleccionadas por los mejores expertos en cada materia y permanentemente actualizadas según el estado del arte, facilita de forma notable el trabajo en la empresa. Y es que aporta la confianza necesaria en que la decisión que se toma ante un conjunto de datos es la correcta desde el punto de vista científico-estadístico.
  35. 35. AENOR 36 CASOS PRÁCTICOS Aigües de Lleida es el primer servicio de gestión de agua que verifica su huella de carbono en España con AENOR. El alcance del estudio ha incluido las emisiones directas e indirectas a lo largo del ciclo integral del agua, que han alcanzado las 3.045 toneladas de CO2. Reducir las emisiones de CO2 Enrique Hernández Director de Responsabilidad Corporativa y Sistemas de Gestión Jaime Pérez de Boers Técnico de Sistemas de Gestión Francesc Quintillá Delegado de Lleida y Tarragona aqualia E l Grupo FCC, consciente de la posibilidad de desarrollar nuevas áreas como la adaptación a los impactos del cambio climático o el desarrollo de productos específicos que aporten soluciones al cambio global, definió en 2012 su Estrategia de Cambio Climático 2020. Esta estrategia, con cinco pilares básicos, 11 líneas estratégicas y casi 70 acciones, supone ante todo un modo de abordar las nuevas oportunidades que están surgiendo en torno a este reto ambiental, social y económico. Dentro de este esquema, aqualia, la empresa de Gestión Integral del Agua de FCC, decide en 2012 abordar el reto de calcular la Huella de Carbono de un Servicio Integral del Agua, concretamente el de la ciudad de Lleida. El informe se realiza de acuerdo a los requisitos de la Norma UNE-EN ISO 14064-1:2012 Gases de Efecto Invernadero. Parte 1: Especificaciones y orientaciones en el ámbito de la organización, para la cuantificación y la declaración de las emisiones y reducciones de gases de efecto invernadero. aqualia dispone, desde hace años, de un sistema de gestión integrado certificado con AENOR. Este sistema abarca todos los servicios prestados en el ámbito nacional e incluye los requisitos de los laboratorios acreditados, propiedad de aqualia. Asimismo, la compañía ha implantado y certificado el Sistema de Gestión de la Energía en sus instalaciones. Pero, sabiendo la importancia de contribuir a mitigar las acciones del cambio climático, aqualia ha decidido calcular la huella de carbono de su servicio. Este objetivo se enmarca en el compromiso de su matriz, FCC, y particularmente en el compromiso de reducción de las emisiones de CO2 a la atmósfera dentro de su Estrategia de Cambio Climático. Así, a través de la UTE Aigües de Lleida, aqualia se ha convertido en la primera empresa española que calcula y certifica con AENOR su huella de carbono en un servicio integral de gestión de agua. Esta certificación acredita la veracidad del cálculo de las emisiones de gases de efecto invernadero de Aigües de Lleida. Aigües de Lleida es la empresa que desde 1994 gestiona el ciclo integral del agua de la capital leridana. Esta gestión incluye su mantenimiento y explotación del abastecimiento, saneamiento y, desde 1996, también la depuración. Así, se encarga de la captación, tratamiento, distribución y saneamiento del agua que abastece a todos los núcleos urbanos del término municipal de Lleida. Para prestar el servicio, la empresa cuenta con un equipo de más de 60 profesionales altamente cualificados. Dispone de una oficina de atención al ciudadano dentro de la provincia y de un servicio telefónico para que los usuarios realicen cualquier gestión o consulta. Adicionalmente, y para controlar la calidad del agua, cuenta con un laboratorio externo encargado de controlar la calidad del agua que se distribuye a los ciudadanos. El objetivo fundamental de Aigües de Lleida es la mejora continua en la gestión integral del agua, estableciendo rigurosos controles de calidad tanto para lograr la máxima calidad del
  36. 36. AENOR 37 agua, como para mantener y mejorar el medio ambiente. Y en esta línea de compromiso también ha querido cuantificar las emisiones de gases de efecto invernadero (GEI) de su actividad. Cálculo en el servicio integral Como resultado del trabajo realizado, se ha redactado un informe de emisiones de CO2 equivalentes desglosadas por fuente de emisión. El trabajo de cálculo, que se ha realizado con una metodología desarrollada por los técnicos de aqualia y verificada por AENOR, arroja una cifra total de 3.045,31 toneladas de CO2 liberado a la atmósfera. El informe de emisiones ha permitido que aqualia consolide las emisiones GEI directas e indirectas del servicio integral del agua. Esta consolidación se realiza bajo un enfoque de control operacional. Según este límite, se contabilizarán como emisiones de alcance 1 y 2 aquellas emisiones derivadas de actividades, sobre las cuales la compañía tenga control Esta certificación acredita la veracidad del cálculo de las emisiones de gases de efecto invernadero de Aigües de Lleida en la operación, considerando éste como “autoridad para introducir sus políticas operativas”. Bajo este control son de obligatorio reporte todas las emisiones directas que se encuentren en las diferentes instalaciones definidas dentro del mapa de procesos, teniendo en cuenta que se define instalación como el conjunto de procesos que componen el Ciclo Integral del Agua. Las instalaciones que hay que incluir se pueden ver en la figura 1. El proceso de aducción está compuesto por la captación y cloración del

×