ISOMANIA®

Publicación de circulación privada para líderes de sistemas de gestión de integrales de las

empresas clientes y alumnos de los diplomados de gestión integrales y los cursos especializados
en las normas ISO9001, ISO14001, ISO22000, ISO27001, ISO37001, ISO39001, ISO45001
realizados por la empresa HERNÁN JIMÉNEZ & ASOCIADOS en asocio con algunas universidades
y entidades educativas en toda la región.
Valor de la revista $10.000.oo.

Revista número 45 de febrero de 2020

Dirección: Hernán Jiménez Barrero
Correo: hernan.jimenez.barrero@gmail.com
Celular: (313)3210580.
BOGOTÁ – COLOMBIA.

ISO9001:2015 sistema de gestión y métodos de

El requisito: 7.1.2 Personas
Una de las grandes dudas de todas las
personas responsables de administrar
sistemas de gestión de la calidad y(o)
sistemas de gestión integrales consiste
▪ Proporcionar
en conocer la manera de documentar el
requisito “7.1.2 Personas”.
En la norma ISO9001:2105 el numeral
7.2.1 dice: “La organización debe
determinar y proporcionar las personas
necesarias para la implementación
eficaz del sistema de gestión de la
calidad y para la operación y control de
sus procesos”
Los requisitos desglosados:
▪ Proporcionar personas
necesarias para la
implementación: La
organización debe contar con
asesoría, persona de soporte del
comunicación con especialistas
que le permitan diseñar su
sistema de gestión de la calidad
y entrenar a su personal en las
buenas prácticas de industria. El
audito puede revisar las fuentes
que tuvo disponibles la empresa
para poder diseñar su sistema
de gestión y garantizar que el
personal comprendiera su nuevo
rol en los procesos de la
organización.
personas
necesarias para la operación: El
auditor debe revisar que el
sistema de gestión cuenta con
las personas requeridas para
que la operación se lleve a cabo
conforme a lo pactado con el
cliente. Por ejemplo, en un hotel
la recepción se dice que
funcionar domingo a domingo,
las 24 horas del día, se hace
necesario que exista el personal
que labore en por turnos en
esos horarios, cumpliendo con la
legislación laboral establecida en
la región en la cual este el
establecimiento comercial, es
decir sin exceder el número de
2|Página HERNÁN JIMÉNEZ & ASOCIADOS
horas extras y horas laborales la cual preste sus servicios o lleve a
semanales legal. En otras cabo la manufactura de un producto.
palabras, el personal operativo
debe de poder cumplir con los Este es un requisito impuesto por la
requisitos establecidos, con una organización ISO a algunos países que
carga normal de trabajo y con infringen las normas internacionales
una productividad básica laborales reconocidas como es el caso
establecida sin esfuerzos de China, en donde los horarios
adicionales. normales laborales son de 12 horas
▪ Proporcionar personas diarias, sin límite semanal de horas
necesarias para el control: El extras y un calendario de 28 días
auditor debe revisar que se seguidos laborales con solamente dos
cuenta con el personal necesario días al mes de descanso, haciendo caso
para llevar a cabo las omiso de los domingos y feriados. En la
inspecciones documentadas. Por legislación internacional, se espera una
ejemplo, se cuenta con el jornada de 8 horas, con un día de
personal de laboratorio descanso cada 7 días calendario.
requerido para tomar las
muestras y realizar las pruebas a Con este requisito se limita la
un producto o el personal posibilidad de que las organizaciones
necesario para supervisar en lleven a cabo el denominado dumping a
sitios como un call center las expensas de sus colaboradores directos
llamadas mediante monitoreo. que trabajan bajo la modalidad de
De igual manera, de acuerdo empleados o de contratistas. Buscando
con el horario establecido, los un respeto básico del derecho al trabajo
controles se deben realizar presentado en la declaración
dentro del espacio de horarios internacional de los derechos humanos.
aceptado legalmente, sin
exceder horas extras o jornadas
normales de trabajo para las
personas que hacen control
como es el caso de:

o Supervisores
o Analistas de control de
calidad
o Analistas de laboratorio
o Auditores de calidad
BIBLIOGRAFÍA
▪ NTC-ISO 9000:2005
o Directores de calidad ▪ NTC- ISO9001:2015
o Supervisores de servicios ▪ ISO17020
▪ ISO17021
o Chef ▪ ISO17025
▪ Informe del Comité 176
La empresa en resumen debe de contar
con la nómina o los contratistas
requeridos para poder atender los
requisitos pactados con los clientes en
su oferta comercial, sin exceder los
horarios reglamentados en la región en
3|Página HERNÁN JIMÉNEZ & ASOCIADOS

ISO14001 :2015 dotaciones y elementos de

Gestión de residuos protección personal dañados. Si
la cantidad no es significativa, se
hace necesario que la empresa
los entregue en sitios
geográficos establecidos porque
la ruta no resulta posible
económicamente para un
proveedor. El proveedor incinera
La gestión de residuos en las
estos residuos y entrega un
organizaciones no implica que las
certificado a la organización.
personas tengan que incurrir en
▪ Residuos eléctricos: Son
grandes costos para retirar de sus
altamente contaminantes y no
instalaciones los residuos, por esa razón
biodegradables, razón por la
en este documento se presentan varias
cual requieren una clasificación
opciones para su tratamiento.
diferente a los residuos
ordinarios. Se hace necesario
▪ Residuos aprovechables:
separarlos y asegurar una
Permite reciclar a través de un
cantidad que permita a un
proveedor que recoge los
proveedor especializado
productos bien clasificados
recogerlos en la empresa.
durante la labor de trabajo de la
Normalmente, el proveedor
empresa. En otras palabras, los
retira los metales pesados y las
trabajadores deben separar la
partes aprovechables de los
madera, plásticos, papel, cartón
residuos eléctricos y recupera
y demás productos
los metales pesados. Entrega un
aprovechables, clasificarlos bien
recibo de retiro de residuos a la
y el proveedor que viene según
empresa.
un calendario previamente
▪ Residuos reutilizables: permiten
acordado lo recoge para
volver a ser empleados en el
reciclarlo y la paga a la empresa
proceso industrial. Por ejemplo,
por esos productos un dinero,
sobrante de un producto
que algunas ocasiones se usa
plástico, se corta, se retira del
para acciones de mejora de las
producto y se coloca en un
condiciones de los trabajadores:
recipiente que luego es
mejora en sus sitios de
nuevamente cargado en las
descanso, almuerzo,
extrusoras para producir nuevo
construcción de una enfermería.
producto. Requiere estar bien
De ese dinero recaudado, en
clasificado, aislado de
algunas ocasiones el proveedor
contaminación para asegurar
descuenta el costo del
que vuelva a servir, sin perder
transporte.
sus propiedades.
▪ Residuos Peligrosos: Se requiere
▪ Residuos de compostaje:
seleccionar un proveedor
Permite llevar a cabo la
especializado y se debe pagar
biodegradación de residuos
para que se lleve de la empresa
orgánicos para convertirlos en
los residuos hospitalarios,
abonos. Se puede realizar en
aceitosos, antiguos uniformes,
residuos de comida en
4|Página
restaurantes o industria de
alimentos y permite aprovechar
el material orgánico para
descomponerlo en camas en las
cuales de aplican lombrices y
cultivos biológicos que
transforman el producto verde
en abono. El abono se vende a
otras fincas o se emplea para
nuevos cultivos en la misma
finca en la cual se produce el
compostaje. En algunas
instalaciones se aprovecha el
gas metano se produce para
emplearlo como material de
calentamiento.
▪ Residuos de material inerte. En
algunas empresas de extracción
o del sector de construcción, se
produce gran cantidad de
residuo estéril, es decir arena o
compuestos que no permiten el
cultivo futuro o ser
descompuestos. Se conoce
como material interne que por
su naturaleza no permite el
cultivo o la propagación de
bacterias. Ese material se trata
de no contaminarlo y se emplea
para relleno en otras obras
civiles, para rellenar terrenos y
hacer terrazas sobre las cuales
después de deposita capa
vegetal. Se reconoce algún
dinero por este material y el
auditor revisa que las terrazas o
rellenos correspondan a la
cantidad de material estéril
retirado para evitar que exista
un mal uso de esta materia
prima. La idea en lo posible es
que este material permita
reconstrucción de zonas para
futuros cultivos, colando
material vegetal encima y
tratando en la medida de las
posibilidades de no contaminarlo
con otras sustancias.
HERNÁN JIMÉNEZ & ASOCIADOS
▪ Residuos a cargo del proveedor:
permite que el proveedor recoja
los envases y los vuelva a
emplear en futuras entregas,
limitando la contaminación y de
daños a propiedades por mal
uso de envases como los
productos químicos. El
proveedor entrega certificado de
entrega y recolección de
envases. Se logra de esta
manera una sinergia proveedor
cliente que limita el consumo de
recursos empaque.
▪ Relleno sanitario: Los residuos
sin clasificar son entregados
como residuos ordinarios que
son colocados en el relleno
sanitario por las empresas de
servicios públicos, lo cual es lo
menos deseable en un modelo
de sostenibilidad. Por ello la idea
es que, en la medida de las
posibilidades, las empresas
limiten el uso de esta práctica y
se logre mejorar el
aprovechamiento práctico de los
residuos.
BIBLIOGRAFÍA
▪ NTC- ISO14001:2015
▪ ISO17021
5|Página
ISO27001:2013
Gestión de servidores
La gestión de servidores ha tenido un
gran cambio en los últimos años gracias
a los servicios de alquiler de espacio en
la nube, lo cual modifica de manera
trascendental la manera de realizar el
establecimiento y la auditoria a equipos
tipo servidores.
Servidores remotos: Los
servidores que no se encuentran en
instalaciones de la empresa deben de
ser controlados:
➢ Contar administración segura e
independiente de los usuarios de
la red. Los usuarios que otorgan
permisos no pueden visualizar
contenidos de carpetas privadas,
pero puede crear, borrar o
modificar accesos a contenidos.
➢ Asegurar encriptamiento y clínica, el farmaceuta solo puede
claves variables de
encriptamiento para evitar el
robo de información mediante la
interceptación de líneas de
comunicación.
➢ Limitaciones al uso de los
servidores por parte de los
usuarios para evitar copia de
información, borrado o De
modificación de registros de
eventos que no se puedan
cambiar. Por ejemplo, el registro
de valoración de una propiedad
no se puede modificar una vez
que el perito entrega su
veredicto. Ese registro debe
quedar congelado, consultable
por otros usuarios, pero no
modificable.
➢ Trazabilidad en las transacciones
con congelamiento de acciones.
Por ejemplo, un médico expide
un medicamento al paciente. La
HERNÁN JIMÉNEZ & ASOCIADOS
cantidad que debe consumir y
los horarios de consumo deben
quedar congelados en la red.
Una vez que otro usuario, el
farmaceuta, entrega los
medicamentos, debe quedar un
registro inmodificable. Esto
obliga al paciente a regresar al
médico si requiere más
medicamentos, impide que el
paciente se extralimite consumo
de medicamentos y limita el
tráfico de medicamentos no
autorizados. Esa lógica debe ser
visible en la red de la empresa y
contar con registros de hacker
ético.
➢ Información personal está
restringida a otros usuarios que
no tengan un perfil profesional
que permite visualizar esa
información. Por ejemplo, el
medico puede ver la historia
ver de esa historia clínica, la
sección de medicamentos
recetados, consumidos o
entregados. El auditor no puede
ver el nombre del paciente y su
información personal, solo
puede visualizar el diagnóstico y
los medicamentos recetados.
esta manera puede
comprobar que los protocolos se
están cumpliendo, pero no
puede visualizar información
confidencial personal.
➢ La información no es copiable
fuera del servidor por control de
software. Esto limita el robo de
información por parte de los
usuarios porque no están en
disco duro local, no está
disponible para copia en puertos
USB y el buffer de copiar y
pegar esta neutralizado en los
aplicativos. De esta manera
información confidencial como
6|Página
nombres, identidades,
direcciones, correos electrónicos
y teléfonos no con copiables. En
algunas aplicaciones es posible
que esté disponible la
localización del usuario mientras
se lleva a cabo una operación,
como es el caso de un servicio
de transporte. El conductor debe
saber dónde recoger al usuario y
en qué lugar lo debe dejar. Pero
no conserva información
privilegiada que unas horas más
tarde le permita saber los
desplazamientos realizados por
ese antiguo usuario al que le
presto un servicio. Se debe
contar con registros de esas
pruebas de límites de
conocimiento de información
personal por parte de los
usuarios de una aplicación y su
desconexión una vez finalizado
el servicio.
➢ Información íntima o personal
debe de estar bloqueada
excepto casos específicos como
es el caso de fotos de desnudos,
mejores de edad y situaciones
personales. Solamente por
requisitos médicos o de la policía
por seguimientos a ➢ Si se presenta un retraso o una
investigaciones es posible que
se conserve este tipo de
información por fuera de los
registros del servidor para ser
empleada como evidencia
objetiva legal o casos médicos.
➢ El personal de soporte físico de
los servidores en la empresa que
presta el servicio de alquiler de
espacio en disco no debe poder
tener acceso a la información de
la empresa y de debe contar con
pruebas de hacker ético sobre el
tema de ingresos no autorizados
a información de la empresa.
Igualmente, debe contar con
HERNÁN JIMÉNEZ & ASOCIADOS
registros visuales de las
intervenciones a los servidores
para limitar reemplazos de
discos duros en caliente con
información de clientes.
➢ Discos retirados de los
servidores deben ser destruidos
con evidencia fotográfica o de
video para evitar robos de
información privilegiada.
Servidores de respaldo: Los
servidores remotos que cuenta la
empresa para soportar la falla del
servidor principal deben de permitir a
las organizaciones tener seguridad en
esa función, lo cual requiere:
➢ Una localización diferente a la
de los servidores operativos.
➢ Contar con métodos de
generación de energía eléctrica
alternos
➢ Contar con métodos de acceso
alternos, es decir otras redes de
comunicaciones diferentes a las
empleadas con los servidores
operativos.
➢ Los registros de actualizan en
tiempo real, a la par que el
computador servidor.
falla, existe un método probado
y documentado de actualización
del computador espejo, en un
plazo de tiempo establecido y
sin necesidad de volver a iniciar
los servidores.
➢ Los servidores de respaldo
deben permitir reemplazar al
equipo servidor ordinario en
caso de falla. Se debe contar
con registros de soporte de
pruebas y recuperación posterior
de esa situación.
BIBLIOGRAFÍA
▪ NTC- ISO27001:2013
▪ ISO17021
7|Página HERNÁN JIMÉNEZ & ASOCIADOS

ISO45001:2018 pero disminuye cada vez que la

INDICADORES empresa crea una nueva sede
de trabajo o cuando de cambia
La norma ISO45001:2018 contempla el una tecnología.
establecimiento de una serie de ▪ Indicadores de resultado:
indicadores de gestión que permiten: Permite medir el
comportamiento de variables
▪ Indicadores de proceso: permite críticas en una fecha de corte,
medir los indicadores de como, por ejemplo:
comportamiento de un proceso. ▪
Por ejemplo, en un programa de o Horas trabajadas
manejo de productos químicos o Horas perdidas por
permite determinar le número enfermedad común.
de envases entregados por el o Horas pérdidas por
proveedor, el número de enfermedad laboral
envases empleados y el número reconocida.
de envases vacíos que el o Horas perdidas por
proveedor retira y vuelve a accidentes laborales
emplear. En otras palabras, o Horas perdidas por
permite medir el balance de uso permisos solicitados por
de esos químicos. los trabajadores para
▪ Indicadores de gestión, perfil o realizar actividades
avance: permite determinar el personales.
grado de cumplimiento de un o Horas no laboradas por
conjunto de requisitos. Las parada de equipos
normas de SGSST tienen una debido a deficiencias de
serie de requisitos que deben mantenimiento.
ser cumplidos, por ejemplo,
contar con botiquín de primeros Estos indicadores deben ser analizados
auxilios. Ese requisito si se periódicamente y se debe determinar
cumple, la lista de chequeo acciones de mejora correspondientes.
empleada en la empresa para
medir el grado de cumplimiento BIBLIOGRAFÍA
tiene un puntaje positivo. Si no
se cuenta con ese elemento o
está en mal estado, se califica
de manera negativa. Ello ▪ NTC-ISO 45001:2018
permite a las empresas ▪ ISO17021
establecer el grado de
cumplimiento del sistema de
gestión de la salud y la
seguridad en el trabajo en un
sitio específico en el cual la
empresa desarrolla actividades.
El valor aumenta a medida que
la empresa mejora sus controles
y el grado de cumplimiento,
8|Página HERNÁN JIMÉNEZ & ASOCIADOS

EDITORIAL 7.2. Competencias laborales

7.3. Toma de conciencia
7.4. Comunicaciones
7.5. Información documentada
8. Operación
9. Evaluación de resultados
9.1. Monitoreo, medición, análisis y
evaluación
9.2. Auditoría interna
9.3. Revisión por la dirección
HERNÁN JIMÉNEZ BARRERO
GERENTE GENERAL Y CONSULTOR 10. Mejora
HJ & ASOCIADOS 10.1. No conformidad y acción
correctiva
10.2. Mejora continua
La nueva norma ISO30401 permite Anexo A: El espectro del conocimiento
implementar la gestión del Anexo B: Relaciones entre la gestión
conocimiento en las organizaciones del conocimiento y las disciplinas
mediante la creación de un sistema de adyacentes
gestión del conocimiento basado en: Anexo C: Cultura de la gestión del
conocimiento.
1. Alcance Bibliografía.
2. Referencias normativas
3. Términos y definiciones
4. Contexto de la organización
4.1. Comprendiendo la organización
y su contexto.
4.2. Comprendiendo las necesidades
y expectativas de las partes
interesadas
4.3. Determinado el alcance del
sistema de gestión del
conocimiento.
4.4. Sistema de gestión del
conocimiento.
4.5. Gestión de la cultura del El sistema complementar la norma
conocimiento ISO9001:2015 y permite a la
5. Liderazgo organización garantizar su
5.1. Liderazgo y compromiso funcionamiento de manera permanente
5.2. Política e impersonal, al mismo tiempo que
5.3. Roles, responsabilidades y colabora con el posible restablecimiento
autoridades del negocio ante una catástrofe y la
6. Planeación expansión de las actividades de la
6.1. Acciones para la gestión de empresa en otros países, pues la
riesgos y oportunidades manera de realizar las actividades está
6.2. Objetivos en el sistema de documentada empleando métodos
gestión del conocimiento visuales y con información en la nube,
7. Soporte empleando los nuevos equipos
7.1. Recursos
9|Página
disponibles de bajo costo: celulares
para documentar y consultas la manera
de realizar las actividades en una
organización.
Por ello se presentan dos ganancias:
▪ Fácil documentación sobre la
manera de llevar a cabo las
actividades de los procesos de la
empresa, generalmente
mediante cortos videos
realizados por los mismos
empleados y colgados en la
nube de intranet de la empresa.
Cabe recordar que, por tratarse
de información confidencial, no
se encuentra documentada en la
internet. Solamente información
pública se coloca en Internet:
por ejemplo, la manera de
instalar un componente vendido
por la empresa, con el objeto de
que pueda existir en el mercado
local personas capaces de
realizar esa labor y se
multipliquen las ventas del
fabricante al contar con técnicos
preparados de manera
autodidacta.
▪ La posibilidad de mantener en
tiempo real la información de la
empresa mediante herramientas
como swap empresarial en el
cual están en línea los directivos
de una empresa y todos se
enteran sobre retrasos,
restricciones que se presenten
en los procesos o modificaciones
en horarios laborales para solo
presentar algunas de las
posibles modificaciones en las
actividades diarias de una
organización que pueden afectar
el trabajo y requiere acciones
inmediatas para su atención.
HERNÁN JIMÉNEZ & ASOCIADOS
Es necesario contar con una
persona que lleve a cabo el control
de la información que se pública
tanto en la intranet como en el
internet de la empresa y lleve un
control de versiones para asegurar
que todo el personal tenga acceso a
la última versión del conocimiento
emitida y se conserve información
obsoleta para poder realizar
trazabilidad en el momento en el
cual se requerido.
La auditoría asegura que la
información este restringida pero
disponible de acuerdo con el cargo y
la consulta requerida. Para mayor
información puede consultar la
norma o los cursos que dictamos
sobre el tema, pues permite ahorrar
mucho dinero en su organización el
asegurar información oportuna a
quien lo requiere, basada en el
conocimiento adquirido por los
empleados.
BIBLIOGRAFÍA
www.iso.ch
https://www.iso.org/committee/7203746.html
https://www.iso.org/obp/ui/#iso:std:iso:21041:ed-
1:v1:en
María Lazarte. Comunicación Specialist and Social
Media Manager. Comunicación Services. Teléfono: +41
22 749 02 21. Correo: lazarte@iso.org. Organización
ISO, 2018.
Katie Bird. Head, Communication. ISO Teléfono:
+41 22 749 0431, correo: bird@iso.org. Organización
ISO, 2018.