Manual 10

María Dolores Cima Cabal
Otros sistemas de gestión

María Dolores Cima Cabal

Reservados todos los derechos. Está prohibido, bajo las sanciones
penales y el resarcimiento civil previstos en las leyes, reproducir,
registrar o transmitir esta publicación, íntegra o parcialmente, por
cualquier sistema de recuperación y por cualquier medio, sea
mecánico, electrónico, magnético, electroóptico, por fotocopia o por
cualquier otro, sin la autorización previa por escrito de UNIR.
© María Dolores Cima Cabal
© Universidad Internacional de La Rioja

Avenida de la Paz, 137
26006 Logroño – La Rioja
© Edición y composición: UNIR
ISBN: 978-84-18367-29-8
Actualizado: diciembre 2020
Impreso en España – Printed in Spain

ÍNDICE
Capítulo 1. Contexto, iniciativas de RSE y la norma SGE 21 ……………………………………..………..……….....…12
Capítulo 2. Gobierno de la organización …………………………………....………….………..………………..……..45
Capítulo 3. Personas que integran la organización ……………………………………………............70
Capítulo 4. Clientes, proveedores y cadena de suministro ………………………………………...…94
Capítulo 5. Entorno social y ambiental y relaciones con inversores, competencia y
Administración ……………………………………………………………………………………………………120
Capítulo 6. Sistemas de gestión I+D+i ……………………………………………………………………..145
Capítulo 7. Sistema de gestión de seguridad de la información ….………………………………...184
Capítulo 8. Implantación del sistema de seguridad de la información …..……………………....222
Capítulo 9. ISO 20000-1 …………………………………...…………………………………………………..241

Capítulo 1
Contexto, iniciativas de RSE
y la norma SGE 21
Capítulo 1: Contexto, iniciativas RSE y la norma SGE 21
1.1. Responsabilidad social de la empresa
Concepto
Numerosos factores impulsan el avance de la responsabilidad social corporativa (RSC)

o responsabilidad social empresarial (RSE):
» Las nuevas inquietudes y expectativas de los ciudadanos, consumidores, poderes

públicos e inversores en el contexto de la mundialización y el cambio industrial a gran
escala.
» Los criterios sociales influyen cada vez más en las decisiones de inversión de las
personas o las instituciones, tanto en calidad de consumidores como de inversores.
» La preocupación cada vez mayor sobre el deterioro medioambiental provocado por la
actividad económica.
» La transparencia de las actividades empresariales propiciada por los medios de
comunicación y las modernas tecnologías de información y comunicación.
Así como indica la SGE21, «la gestión ética y socialmente responsable se constituye como
una respuesta de las organizaciones a los retos de transparencia, integridad y
sostenibilidad entendida esta última en su triple vertiente: económica, ambiental y social»
(2017, p. 1).
Características de la RSC
Su voluntariedad
Compromiso con la estrategia y procesos en la organización
Diálogo y conocimiento de lo que esperan los grupos de interés
Promoción de la transparencia y la comunicación
Figura 1. Características de la RSC.
En cuanto a la definición sobre la responsabilidad social de la empresa, podemos

encontrar una amplia variedad, lo cual presenta una discusión sobre dicho concepto. Así,
© Universidad Internacional de La Rioja (UNIR)

12
este debate plantea la buena utilización de la responsabilidad social corporativa frente a

la responsabilidad social empresarial o la responsabilidad corporativa.
Pero, independientemente de este debate conceptual, con la nueva coyuntura económica

y social, para encontrar una definición adecuada hay que acudir a motivaciones que
van más allá de satisfacer a los accionistas de la empresa, de cumplir con la legislación
vigente y lo referente a los derechos de los trabajadores.
Por ello, debemos tener en cuenta diversos factores como los siguientes:
» Los impactos negativos que se causan en el entorno debido a nuestra manera de

producir, como pueden ser el cambio climático, los recursos finitos que utilizamos, un
crecimiento económico que no puede ser ilimitado, no velar por la seguridad y salud
de los trabajadores, el no respeto a los derechos humanos, etc.
» Economías de escala que favorecen la aparición y consolidación de multinacionales
que operan a nivel mundial sobre una economía globalizada.
» Aumento considerable del poder de grupos económicos; así, de las 100 primeras
economías mundiales, solo 49 corresponden a los estados y 51 a multinacionales.
» Descapitalización de empresas a favor de países en vías de desarrollo donde los
cumplimientos laborales y sociales son más laxos.
» La continua privatización de sectores y servicios públicos para que su gestión sea
privada.
» Mercados globales donde la diferencia en la producción es escasa, pero se incide más
en la responsabilidad y reputación de las empresas como elemento diferenciador.
» La sociedad, los consumidores, exigen a los gobiernos, en sus actuaciones y prestación
de los servicios, un mayor compromiso en cuanto a la responsabilidad de la gestión.
Veamos a continuación las definiciones de responsabilidad social corporativa

que proponen diferentes organismos:
» Libro verde de la Unión Europea: «Integración voluntaria, por parte de las empresas,
de las preocupaciones sociales y medioambientales en sus operaciones comerciales y
sus relaciones con sus interlocutores» (Comisión de las Comunidades Europeas, 2001,
p. 7).
» Definición consensuada entre el Observatorio de RSC, CEPES, Amnistía
Internacional, CERMI, Ayuda en Acción, CECU, Asgeco, Asociación Española de
Fundaciones, Cruz Roja, Fundeso y Fundación Eroski, con motivo de la primera

13
sesión del Foro de Expertos del Ministerio de Trabajo y Asuntos Sociales: «la RSC es
el conjunto de obligaciones legales (nacionales e internacionales) y éticas de la
empresa, que surgen de la relación con sus grupos de interés y del desarrollo de su
actividad, de la que se derivan impactos en el ámbito social, medioambiental, laboral
y de derechos humanos en un contexto global».
» Definición del World Business Council for Sustainable Development (WBCSD): «la
RSC es el compromiso que asume una empresa para contribuir al desarrollo
económico por medio de la colaboración con sus empleados, sus familias, la
comunidad local y la sociedad, con el objeto de mejorar la calidad de vida».
» Documento de AECA (2004), marco conceptual de la RSC: «la responsabilidad social
corporativa es el compromiso voluntario de las empresas con el desarrollo de la
sociedad y la preservación del medioambiente, desde su composición social y un
comportamiento responsable hacia las personas y grupos sociales con quienes
interactúa».
» Definición dada por Business for Social Responsability (BSR) (s. f.): «la
responsabilidad social empresarial se define como la administración de un negocio de
forma que cumpla o sobrepase las expectativas éticas, legales, comerciales y públicas
que tiene la sociedad frente a una empresa».
» El Instituto Ethos de Brasil (s. f.) define la RSC como «la forma de conducir los
negocios de una empresa de tal modo que esta se convierta en corresponsable por el
desenvolvimiento social».
Tal como se observa, las definiciones son muy variadas. Extrayendo las cuestiones más
importantes de cada una de estas definiciones, se puede decir que la RSC tiene las
siguientes características:
» Es algo voluntario para las organizaciones.

» La sociedad y sus expectativas son el pilar a partir del cual se desarrolla el concepto.
Todas las partes interesadas deben tenerse en cuenta.
» Busca la gestión global de una organización, dejando a un lado el concepto de gestión
que solo buscaba el beneficio económico. Se tienen en cuenta, además del factor
económico, los factores social y medio ambiental.

14
1.2. Instrumentos para la RSE. Principios inspiradores
En las últimas décadas se ha avanzado sustancialmente en lo referente a los derechos

humanos, sociales y medioambientales. En este sentido, muchos han visto en esta
evolución el origen de la RSC. Algunas de las primeras iniciativas que abrieron el
camino hacia lo que hoy conocemos son las siguientes:
» Declaración Universal de los Derechos Humanos (1948).

» Eliminación del trabajo infantil en Europa (1850-1920).
» Nacimiento de los fondos éticos (1950).
» Pacto Internacional de Derechos Económicos, Sociales y Culturales (1975).
» Convención sobre la eliminación de todas las formas de discriminación contra la
mujer (1979).
» Convención sobre los Derechos del Niño de la ONU (1989).
» Carta de la Tierra (1997).
» Declaración de la OIT relativa a los principios y derechos fundamentales en el trabajo
(1998).
» Pacto Mundial de las Naciones Unidas (2000).
» Objetivos de Desarrollo del Milenio (2000).
» Cumbre de Johannesburgo (2002).
Dos de los documentos que estimamos más representativos en la evolución hacia la RSC
son: el Pacto Mundial de las Naciones Unidas y los Objetivos de Desarrollo
del Milenio.
» Pacto Mundial de las Naciones Unidas (UNGC). Este pacto pide a las empresas que
hagan suyos, apoyen y lleven a la práctica en sus ámbitos de influencia un conjunto
de valores fundamentales, con diez principios básicos.
o Derechos humanos:
• Las empresas deben apoyar y respetar la protección de los derechos humanos
fundamentales internacionalmente reconocidos dentro de su ámbito de
influencia.
• Deben asegurarse de no ser cómplices en la vulneración de los derechos
humanos.
o Relaciones laborales:
• Las empresas deben apoyar la libertad de afiliación y el reconocimiento efectivo
del derecho a la negociación colectiva.

15
• La eliminación de toda forma de trabajo forzoso o realizado bajo coacción.

• La erradicación del trabajo infantil.
• La abolición de las prácticas de discriminación en el empleo y la ocupación.
o Medioambiente:
• Las empresas deben mantener un enfoque preventivo orientado al desafío de la
protección medioambiental.
• Adoptar iniciativas que promuevan una mayor responsabilidad ambiental.
• Favorecer el desarrollo y la difusión de tecnologías respetuosas con el
medioambiente.
o Lucha contra la corrupción:
• Las empresas deben luchar contra la corrupción en todas sus formas, incluidas
la extorsión y el soborno.
» Objetivos de Desarrollo del Milenio. En la Cumbre del Milenio de las Naciones

Unidas celebrada en septiembre de 2000 se acordó, por parte de los dirigentes
mundiales, una serie de objetivos y metas, añadiendo además unos plazos para su
cumplimiento en concreto, para luchar contra la pobreza, las enfermedades, el
analfabetismo, el medioambiente y la discriminación contra la mujer. Los ocho
objetivos del milenio establecidos hasta el año 2015 eran los siguientes:
o Erradicar la pobreza extrema y el hambre. Existen todavía 1 200 millones de
personas que viven con menos de un dólar al día.
o Lograr la enseñanza primaria universal. Hay 113 millones de niños que no asisten
a la escuela.
o Promover la igualdad entre los géneros y la autonomía de la mujer. Las dos terceras
partes de los analfabetos del mundo son mujeres y el 80 % de sus refugiados son
mujeres y niños.
o Reducir la mortalidad infantil. Todos los años mueren 11 millones de niños
pequeños.
o Mejorar la salud materna. En el mundo en desarrollo el riesgo de morir durante el
parto es de 1 de cada 48 casos.
o Combatir el VIH/SIDA, el paludismo y otras enfermedades. Son enfermedades que
han echado por tierra una generación de avances en materia de desarrollo.
o Garantizar la sostenibilidad de medioambiente. Hay más de 1000 millones de
personas que aún carecen de acceso al agua potable.
o Crear una alianza mundial para el desarrollo.

16
El nuevo acuerdo insta a los países a iniciar, a partir del año 2016, esfuerzos para
lograr los 17 objetivos de desarrollo sostenible (ODS) planteados en los
próximos 15 años.
Estos objetivos giran en torno a los siguientes ejes:

o Pobreza.
o Hambre y seguridad alimentaria.
o Salud.
o Educación.
o Igualdad de género y empoderamiento de la mujer.
o Agua y saneamiento.
o Energía.
o Crecimiento económico.
o Infraestructura.
o Reducir desigualdades entre los países.
o Ciudades.
o Producción y consumo sostenibles.
o Cambio climático.
o Océanos.
o Bosques, desertificación y diversidad biológica.
o Justicia y paz.
o Alianzas.
Principales iniciativas de la Comisión Europea en responsabilidad social
» Libro Verde:
o Pretendía fomentar un marco europeo para la responsabilidad social de las
empresas en el año 2001.
o Su objetivo era iniciar un debate sobre cómo puede fomentar la Unión Europea la
responsabilidad social de las empresas en los ámbitos europeo e internacional y,
en particular, sobre cómo aprovechar al máximo las experiencias existentes,
fomentar el desarrollo de prácticas innovadoras, aumentar la transparencia e
incrementar la fiabilidad de la evaluación y la validación.
o A lo largo de todo el Libro Verde se dan pautas sobre aspectos relacionados con la
responsabilidad social, tanto con la dimensión interna como externa de la empresa.
o Aborda la integración de la gestión de la responsabilidad social en la estrategia
organizacional, la elaboración de informes de sostenibilidad, el etiquetado de

17
productos y servicios, la calidad en el trabajo y la inversión socialmente

responsable.
» Multi-stakeholder Forum 2015:

o El Foro Multi-stakeholder de RSE se creó en 2002 con el apoyo de la Comisión
Europea (CE) para agrupar a sindicatos, empresas, ONG europeas, etc., y
promover la innovación, la convergencia y la transparencia en las prácticas y
herramientas de responsabilidad social corporativa.
o Está presidido por la Comisión Europea y compuesto por un plenario y una serie
de mesas redondas. Tiene como fin fomentar y promover las mejores prácticas para
la aplicación de la responsabilidad social empresarial en la Unión Europea y
cualquier otro lugar del mundo.
o El último Foro celebrado en el año 2015 ha arrojado las siguientes conclusiones:
• El objetivo final de la RSE ha de ser integrar la responsabilidad social en el ADN
de las empresas.
• La CE debe seguir desempeñando un papel importante en el suministro de
plataformas abiertas para el intercambio de diálogo, las mejores prácticas y la
colaboración entre las partes interesadas.
• Papel más activo de los medios de comunicación en temas de RSE.
• La mayoría de las empresas aceptaron las directrices que surgieron en materia
de RSC.
» Una estrategia renovada de la UE para la RSE 2011-14 (A renewed EU strategy 2011-

14 for Corporate Social Responsibility, 2011) pretende:
o Aumentar la visibilidad de la RSE y la difusión de buenas prácticas: esto incluye la
creación de un premio europeo y el establecimiento de plataformas sectoriales para
empresas y grupos de interés para hacer compromisos y, conjuntamente,
monitorear el progreso.
o La mejora y el seguimiento de los niveles de confianza en las empresas: la Comisión
pondrá en marcha un debate público sobre el papel y el potencial de las empresas,
y organizará encuestas sobre la confianza ciudadana en los negocios.
o Mejorar los procesos de autorregulación y corregulación: la Comisión propone
elaborar un breve protocolo para guiar el desarrollo de iniciativas futuras de
autorregulación y corregulación.
o Recompensar en el mercado la RSE: aprovechar las políticas de la UE en los
ámbitos de consumo, la inversión y la contratación pública con el fin de promover
que el mercado compense una conducta empresarial responsable.

18
o Mejorar la divulgación de información social y medioambiental por parte de la

empresa: la nueva política confirma la intención de la Comisión de presentar una
nueva propuesta legislativa sobre esta cuestión.
o Continuar con la integración de la RSE en la educación, la formación y la
investigación: la Comisión proporcionará más apoyo para la educación y la
formación en el campo de la RSE y explorará oportunidades para la financiación
de más investigación.
o Hacer hincapié en la importancia de políticas de RSE a un nivel nacional y
subnacional: la Comisión invita a los Estados miembros de la UE a presentar o
actualizar sus propios planes para la promoción de la RSE a mediados de 2012.
o Mejor alineación de los enfoques europeo y mundial a la RSE. Se espera que la
futura estrategia europea de RSE se haga efectiva a lo largo del año 2016.
» CSR Europe:
Es una red europea de negocios para la responsabilidad social de las empresas.
Fundada en 1995 por algunas de las empresas europeas líderes en respuesta a un
llamamiento del presidente de la Comisión Europea Jacques Delors, tiene como
objetivo principal apoyar a las empresas en la integración de la responsabilidad social
en su modelo de negocio. Principalmente, los temas y cuestiones que trabaja CSR Europe
en materia de la RSE son los siguientes:
o La innovación y el espíritu emprendedor.
o La consolidación de capacidades y competencias.
o La igualdad de oportunidades y diversidad.
o La seguridad y la salud.
o La protección del medioambiente.
o La integración de la RSE.
o La participación y el compromiso con los grupos de interés.
o Liderazgo y gobernanza.
o Comunicación y transparencia.
o Cooperación y alianzas entre empresas.

19
Principales iniciativas en España en responsabilidad social
» Consejo Estatal de Responsabilidad Social de las Empresas (CERSE)
El 20 de enero de 2009 se constituyó formalmente como órgano consultivo y asesor del

Gobierno en la materia, de carácter cuatripartito y paritario, siendo su objetivo el de
impulsar y fomentar las políticas de RSE, proponiendo al Gobierno, en el marco de sus
funciones, medidas que vayan en esa dirección.
Se caracteriza por la participación en su seno de los agentes sociales: sindicatos y

organizaciones empresariales, las administraciones públicas (central, autonómica y
local) y otras organizaciones e instituciones de reconocida representatividad en el ámbito
de la RSE; está compuesto por 56 miembros y lo preside el ministro de Trabajo e
Inmigración.
Grupos de trabajo creados y documentos desarrollados:
o El papel de la RSE ante la crisis económica: su contribución al nuevo modelo

productivo, la competitividad y el desarrollo sostenible.
o Transparencia, comunicación y estándares de los informes y memorias de
sostenibilidad.
o Consumo e inversión socialmente responsable.
o La RSE y la educación.
o Gestión de la diversidad, cohesión social y cooperación al desarrollo.
» Forética
Es una red global de organizaciones y profesionales implicados en el desarrollo de la

responsabilidad social, que aglutina a más de doscientos socios.
Forética es la asociación de empresas y profesionales de la RSE líder en España que tiene

como misión fomentar la cultura de la gestión ética y la responsabilidad social, dotando
a las organizaciones de conocimiento y herramientas útiles para desarrollar con éxito un
modelo de negocio competitivo y sostenible.
Se creó en 1999 y ha jugado un papel clave en la difusión de la RSE en nuestro entorno.

La participación en los principales foros de decisión a nivel nacional e internacional y la

20
aportación de soluciones innovadoras para los retos de la gestión ética, han supuesto una
contribución importante para el desarrollo de estrategias de responsabilidad social, tanto
de grandes empresas como de pymes.
Forética es además:
o Una organización multi-stakeholder, donde se trabaja conjuntamente para
desarrollar un concepto de gestión ética y socialmente responsable fundamentada
en el diálogo con todas las partes interesadas.
o El referente en herramientas de gestión de la RSE integrales, que
permiten la implantación, medición y verificación de valores y conductas de la
empresa en sus operaciones y relaciones con el entorno.
o Una fuente de conocimiento e innovación, fruto de una extensa red de
empresas, académicos y expertos en RSE en distintos sectores.
o Una plataforma de comunicación, benchmarking y fomento de la
transparencia, que permite a los socios aumentar su capilaridad y eficacia en la
difusión del compromiso real y demostrable con sus valores.
Ha desarrollado la norma de Empresa SGE 21, siendo el primer sistema de gestión de

la responsabilidad social europeo que permite, de manera voluntaria, auditar
procesos y alcanzar una certificación en gestión ética y responsabilidad social.
El sistema de gestión SGE 21 ha sido el elegido tanto por empresas multinacionales

de primera línea como por pequeñas y medianas empresas. Además, parte de modelos
consolidados, como los de calidad y medioambiente, a los que enriquece a través de
una visión multi-stakeholder. De esta manera, sistematiza las relaciones con nueve
áreas de gestión, para las que establece unos criterios que son desarrollados por un
código de conducta y supervisados por un comité de ética.
» La Asociación Española del Pacto Mundial (ASEPAM)
Se creó el 15 de noviembre de 2004, durante la Asamblea Constituyente, momento en el

que los firmantes acordaron por mayoría constituirse como asociación.
La red española se convierte a partir de ese momento en una de las primeras plataformas
mundiales de esta naturaleza y características. Se trata de una de las redes más activas y
destaca por su modelo multi-stakeholder que agrupa a distintos grupos de interés:
empresas, ONG, sindicatos, instituciones académicas y organismos sociales.

21
Desde la fecha de constitución de la asociación, en tan solo un año, el Pacto Mundial en

España pasó de 270 instituciones a estar formado por 360 entidades firmantes. Hoy en
día ya son más de mil entidades las que han firmado el Pacto en España.
En la Asamblea General Ordinaria celebrada el 26 de junio de 2008 se aprobó la nueva

denominación de la asociación que viene a ser la Red Española del Pacto Mundial de
Naciones Unidas.
» Observatorio de responsabilidad social corporativa
Se crea en el año 2004, de la mano de un conjunto de organizaciones representativas de

la sociedad civil. Sus líneas de trabajo son las siguientes:
o Visión, objetivos y principios.

o Estatutos y código de conducta.
o Líneas estratégicas.
o Estructura organizativa.
El Observatorio de RSC se constituye como una red de cooperación e investigación y

como plataforma de pensamiento en la que confluyen las iniciativas puestas en práctica
por distintas organizaciones de manera independiente, con el fin último de potenciar la
responsabilidad social de las empresas en el núcleo de la sociedad.
Al mismo tiempo, trabaja como plataforma de sensibilización dando a conocer el efecto

positivo de la implantación de la RSC en la sociedad y las maneras de potenciarlo y realiza
un seguimiento exhaustivo de las iniciativas políticas en la materia y sus aplicaciones
prácticas. A través de sus líneas estratégicas, el Observatorio pretende seguir e impulsar
el correcto uso del concepto de RSC.

22
1.3. Inversión socialmente responsable. Inclusión de la RSE en

mercados financieros
Inversión socialmente responsable
La inversión socialmente responsable (ISR) es la inversión financiera que realizan las

organizaciones o empresas que tienen un compromiso añadido que va más allá del
puramente económico.
De este modo, estas organizaciones o empresas no son evaluadas únicamente por

criterios económicos sino por criterios que tienen que ver con el medioambiente,
aspectos sociales, así como de gobierno corporativo. En definitiva, lo que se pretende es
que el mundo financiero tenga también un desarrollo sostenible.
Los fondos ISR
Los fondos ISR son fondos de inversión que tienen en cuenta para elegir los activos
argumentos que no son únicamente financieros, sino que consideran criterios
extrafinancieros, como pueden ser los siguientes:
» Medioambientales: no contaminación, consumo de agua, generación de residuos, etc.

» Criterios sociales: formación, políticas de igualdad y no discriminación, etc.
» Criterios ASG ambientales, sociales y buen gobierno corporativo: auditorias fiables,
etc.
Los enfoques para aplicar a los diferentes fondos pueden ser los siguientes:
o Enfoque ISR estricto: aplicación de los criterios ASG (fondos best-in-class, de

exclusión, activismo accionarial).
o Enfoque ISR amplio: aplicación de criterios éticos y socialmente responsables
(fondos de temática sostenible, solidarios, éticos).

23
La selección de fondos ISR
Dichos fondos están invertidos en acciones, obligaciones o valores monetarios cuyos

emisores (empresas o Estados) cumplen con una doble selección financiera y extra
financiera.
» Criterios negativos:
o Rechazando de plano la inversión en empresas cuya actuación social es
inaceptable, como: la producción de armas, de energía nuclear y de tabaco.
» Criterios positivos. Se busca invertir en entidades que mejoran la calidad de vida,

como pueden ser:
o Obra social: participación en la comunidad donde se desarrolla.
o Relaciones laborales: el trato a los propios trabajadores.
o Medioambiente: reducción de impactos ambientales negativos.
o Productos y servicios: que elaboren productos que mejoran la vida de la gente.
Índices bursátiles de sostenibilidad
Son indicadores bursátiles donde se agrupan compañías que cumplen con determinados
criterios medioambientales, éticos o de responsabilidad social corporativa. Los índices
de sostenibilidad más reconocidos son el Dow Jones Sustainability Index (DJSI) y el
FTSE4 Good Index. Se revisan periódicamente para comprobar si las empresas que los
forman cumplen los requisitos exigidos por cada índice.
» Dow Jones Sustainability Index (DJSI):

o Se revisa este índice una vez al año en el mes de septiembre.
o Está formado por 316 empresas, 20 de ellas son españolas.
o Selecciona entre 2500 empresas del mundo las que cumplen con una serie de
requisitos que son:
• Económicos.
• Medioambientales.
• Sociales.
» FTSE4 Good Index:

o Está integrado por 275 empresas, 17 de ellas españolas.
o Se revisa dos veces al año, en marzo y septiembre.

24
o Entre sus índices sectoriales se encuentra el FTSE4 Good Ibex.

o Están excluidas las empresas relacionadas con:
• Tabaco.
• Armamento.
• Energía nuclear.
• Uranio.
o Tiene en cuenta a las empresas que cumplen con tres requisitos:
• Medioambiental, social y de buena relación con sus grupos de interés.
• Defensa y apoyo de los derechos humanos.
• Buenas prácticas en su cadena de aprovisionamiento y su política
anticorrupción.
» Otros índices sectoriales:

o Vigeo.
o KLD.
o Oekom.
Además, existen índices especializados en materias medioambientales (FTSE

Environmental Opportunities), éticas (Calvert Social Index) o religiosas (Stoxx Euro
Christian).
La relevancia de que una organización esté en alguno de los índices vistos está en que los
grupos inversores que toman las decisiones los tengan en cuenta, como pueden ser los
consultores, gestores y brokers.
Rentabilidades
La rentabilidad de los fondos ISR no debería diferenciarse respecto de otros fondos

excepto en los requisitos que deben cumplir para dicho fin. A pesar de ello, entre el
público general (los ciudadanos inversores), existe un gran desconocimiento sobre qué
son estos fondos y, de hecho, cuando deciden invertir sus ahorros se guían más por el
criterio del gestor que les aconseja en su inversión y que en la mayor parte de las
ocasiones recomienda únicamente fondos según su rentabilidad.
Como ciudadanos, podemos informarnos de cómo se invierten los fondos donde

depositamos nuestro dinero. Para ello, existen entidades y herramientas para
consultarlo, una de ellas es la web http://ecosfron.org/laboratorio-isr/.

25
Figura 2. Criterios.
European Social Investment Forum (Eurosif)
Se constituye en el año 2001 y sus socios fundadores son los SIF (social investment
forum) de Francia, Alemania, Italia, Holanda y Reino Unido. Posteriormente, se
incorporan los SIF de Bélgica, España y Suiza
Eurosif. Página web oficial. https://www.eurosif.org/
Incluye como miembros afiliados a inversores institucionales, proveedores de servicios

financieros, instituciones académicas, sindicatos y organizaciones no gubernamentales.
La asociación es una entidad sin fines de lucro que representa activos totales superiores
a un billón de euros, un trillón en medida internacional, a través de sus miembros
afiliados.
Las actividades en las que se centra Eurosif giran en torno al apoyo y ayuda a los
miembros afiliados en la promoción y desarrollo de la ISR.

26
Con este fin, Eurosif tiene cuatro objetivos principales:
» En la Unión Europea, actuando como voz de la comunidad ISR respecto a la

legislación europea y las decisiones que se adopten en la Comisión y en el Parlamento
Europeo.
» Investigación. Promoción y publicación de estudios relacionados con la legislación,
políticas y prácticas de integración de los principios ambientales, sociales y de
gobernanza, ASG, en los servicios financieros europeos.
» Eventos o comunicaciones. Para informar, educar y facilitar una red de
conexiones para discutir sobre los servicios financieros sostenibles.
» Red de contactos. Para activar y ampliar la red europea, dando apoyo al desarrollo
de las SIF actuales y animando a la creación de nuevos SIF nacionales.
Spainsif
Spainsif, foro español de inversión socialmente responsable, se constituye en Madrid,

con fecha de 10 de junio del 2009, con 32 entidades fundadoras interesadas en promover
la inversión socialmente responsable en España, creando una plataforma en la que se
integran entidades financieras, entidades gestoras, proveedores de servicios ISR,
organizaciones sin ánimo de lucro vinculadas a la ISR y sindicatos
Spainsif. Página web oficial. http://www.spainsif.es
Para la consecución de sus fines, la asociación tendrá las siguientes líneas de actuación:
» La promoción de la ISR para la generación de demanda y oferta en España.

» La transmisión de una visión plural e independiente sobre los distintos temas que
afecten a la promoción de la ISR en España.
» La elaboración de un plan estratégico con objetivos a tres años y revisión anual para
la promoción de la ISR en España.

27
1.4. Global Reporting Initiative (GRI)
Introducción
Las empresas están desarrollando, cada vez más, memorias donde establecen los
indicadores y los principios por los que se van a regir y que van a divulgar para que se
conozca su actividad económica, ambiental y, sobre todo, social.
Una memoria de sostenibilidad es un informe realizado por las organizaciones en el que se

recoge su comportamiento en materia económica, social y de medioambiente.
Global Reporting Initiative (GRI) es, según recoge su propia web

(https://www.globalreporting.org), «una organización cuyo fin es impulsar la
elaboración de memorias de sostenibilidad en todo tipo de organizaciones. GRI produce
un completo marco para la elaboración de memorias de sostenibilidad, cuyo uso está
muy extendido en todo el mundo. GRI está comprometido con la mejora continua y el
incremento del uso de estas guías, las cuales se encuentran a disposición del público de
manera gratuita».
GRI es una organización que no tiene ánimo de lucro y donde se da cabida a múltiples
grupos de interés. Fue fundada por CERES y el programa de las Naciones Unidas para el
medioambiente (PNUMA) en el año 1997, en Estados Unidos. En 2002, GRI establece su
sede en Ámsterdam. Dispone de delegaciones regionales (focal points) en diversos países
como: Australia, Brasil, China, India y Estados Unidos, y con una red de más de 30 000
personas en todo el mundo.
Documentos desarrollados por la GRI
La función principal de GRI es hacer de la elaboración de memorias de sostenibilidad

una práctica habitual proporcionando orientación y respaldo a las organizaciones.
Por eso, los estándares de GRI para la elaboración de las memorias de sostenibilidad se
desarrollan en el marco de las iniciativas de la Carta de La Tierra, la Corporación
Financiera Internacional (CFI) y la Conferencia de las Naciones Unidas sobre Comercio
y Desarrollo (UNCTAD).

28
En el año 2017, GRI publicó los nuevos estándares de referencia en la elaboración de

memorias de sostenibilidad que sustituyen a la anterior Guía G4, a partir de julio de
2018.
El principal cambio de los nuevos estándares con respecto a la guía G4 es su estructura

basada en módulos interrelacionados, lo que permitirá más flexibilidad a la hora de
actualizar cada uno de los temas. Se dividen en cuatro series:
» La serie 100 está compuesta por tres estándares universales aplicables a cualquier
organización que prepare un informe de sostenibilidad. Estos orientan a los
informantes acerca del uso de los estándares (GRI 101), la información contextual de
interés de la organización (GRI 102) y cómo esta gestiona sus temas materiales (GRI
103).
» La serie 200 está compuesta por los estándares temáticos que informan de los
impactos materiales de una organización en cuanto a temas económicos (desempeño
económico, presencia en el mercado, etc.).
impactos materiales de una organización en cuanto a temas ambientales (energía,
agua, emisiones, biodiversidad, etc.).
impactos materiales de una organización en cuanto a temas sociales (empleo, trabajo
infantil, corrupción, etc.).
En la siguiente tabla se muestran los estándares incluidos en cada una de las series y el
aspecto que desarrollan.
Estándar Temática
GRI 101 Fundamentos
GRI 102 Contenidos generales
GRI 103 Enfoque de gestión
GRI 201 Desempeño económico
GRI 202 Presencia en el mercado
GRI 203 Impactos económicos indirectos
GRI 204 Prácticas de adquisición
GRI 205 Anticorrupción
GRI 206 Competencia desleal
GRI 301 Materiales
GRI 302 Energía

29
GRI 303 Agua

GRI 304 Biodiversidad
GRI 305 Emisiones
GRI 306 Efluentes y residuos
GRI 307 Cumplimiento ambiental
GRI 308 Evaluación ambiental de proveedores
GRI 401 Empleo
GRI 402 Relaciones trabajador-empresa
GRI 403 Salud y seguridad en el trabajo
GRI 404 Formación y enseñanza
GRI 405 Diversidad e igualdad de oportunidades
GRI 406 No discriminación
GRI 407 Libertad de asociación y negociación colectiva
GRI 408 Trabajo infantil
GRI 409 Trabajo forzoso y obligatorio
GRI 410 Prácticas en materia de seguridad
GRI 411 Derechos de los pueblos indígenas
GRI 412 Evaluación de derechos humanos
GRI 413 Comunidades locales
GRI 414 Evaluación social de los proveedores
GRI 415 Política pública
GRI 416 Salud y seguridad de los clientes
GRI 417 Marketing y etiquetado
GRI 418 Privacidad del cliente
GRI 419 Cumplimiento socioeconómico
Tabla 1. Estándares de GRI.
Los nuevos estándares hacen una distinción más clara entre lo que debe ser reportado
(requerimientos), lo que es recomendable (recomendaciones) y lo que es solo guía
(directrices).

30
Figura 3. Ejemplo estándar GRI temático. Fuente: GRI 101, 2016, p. 6.
Además, amplían las aclaraciones y explicaciones respecto a conceptos clave que no

estaban bien delimitados en la G4, como el alcance. Buscan, por otra parte, solventar
algunas duplicidades que se daban en la G4, reorganizando la información requerida. El
lenguaje empleado también es más claro y simple.
De cara a ayudar a las organizaciones a conseguir la adaptación a los nuevos estándares,

GRI ha publicado en su página web algunos documentos.
Accede al artículo a través de la siguiente dirección web:

https://www.globalreporting.org/standards/resource-download-center/mapping-
document-complete-excel/
1.5. Social Accountability, SA 8000
Social Accountability International (SAI) es una organización no gubernamental que

tiene por objetivo promover y desarrollar los derechos humanos de los trabajadores,
fomentando el trabajo ético en las empresas, los derechos laborales, la responsabilidad
social corporativa y el diálogo social.

31
SAI viene desarrollando su actividad desde 1997 y actualmente está implantado en todos
los continentes donde mantiene oficinas y representación.
La norma internacional SA 8000, se basa en la normativa emanada de la Organización

Internacional del Trabajo (OIT) y la Organización de Naciones Unidas (ONU). La SA
8000 se centra en los siguientes elementos:
» Trabajo infantil:
o Eliminar el trabajo infantil.
o Establecer políticas y procedimientos para la rehabilitación de niños que se
encuentran en situación de explotación.
o Proporcionar apoyo financiero para permitir que esos niños asistan a la escuela.
» Trabajo forzoso y obligatorio:

o La empresa no debe practicar ni apoyar el uso del trabajo forzoso u obligatorio.
o El personal debe tener derecho a salir del centro de trabajo después de completar
su día laborable y es libre de terminar la relación laboral.
o No apoyar la empresa el tráfico de seres humanos.
» Salud y seguridad:
o Proporcionar un lugar de trabajo seguro y saludable.
o Evitar posibles accidentes de trabajo.
o Nombrar responsable para garantizar la SST y la formación sobre seguridad y
salud para todo el personal.
o Eliminar, reducir los riesgos para las embarazadas.
o Procurar la higiene, aseo, agua potable, almacenamiento de alimentos de forma
higiénica, etc.
» La libertad de asociación y derecho a negociación colectiva:

o El respeto al derecho a afiliarse a sindicatos y a negociar convenios colectivos.
o Permitir a los trabajadores elegir libremente a los representantes, velar por la no
discriminación contra el personal participante.
» Discriminación:
o No a la discriminación por motivos de raza, origen nacional o social, casta,
nacimiento, religión, discapacidad, género, orientación sexual, afiliación sindical,
opiniones políticas y edad.

32
o No a la discriminación en la contratación, remuneración, acceso a la formación,

promoción, despido y jubilación.
o No a las pruebas de embarazo o pruebas de virginidad bajo ninguna
circunstancia.
» Prácticas disciplinarias:
o Tratar a todo el personal con dignidad y respeto.
o Practicar la tolerancia cero hacia el castigo corporal, abuso mental o físico del
personal.
o No aplicar ningún tratamiento cruel o inhumano.
» Horas de trabajo:
o Cumplir con las leyes y normas de industriales.
o La semana de trabajo normal, sin incluir horas extras, no excederá de 48 horas.
o Establecer un día de descanso después de cada 6 días de trabajo consecutivos,
etc.
» Remuneración:
o Respetar el derecho del trabajador al salario digno.
o Que el salario sea suficiente para satisfacer las necesidades básicas.
» Sistemas de gestión:
o Debe ir más allá del simple cumplimiento de la norma para integrarlo en sus
sistemas y prácticas de gestión
SAI (2020). Norma SA8000. Recuperado de https://sa-intl.org/wp-

content/uploads/2020/02/SA8000Standard_Espanol.pdf

33
Análisis de situación
1. SA 8000 2. PROCESO DE
CERTIFICACIÓN
Elaboración de la
documentación requerida por
SA 8000 Auditoría de certificación
Implantación de la
Corrección de desviaciones
documentación y formación del
personal
Auditoría interna CERTIFICACIÓN
Corrección de desviaciones
Figura 4. Proceso SA 8000. Fuente: http://www.qualigestiona.com/sa-8000/qg-sa-8000.htm
1.6. AA 1000 Series
La serie AA1000 surge en el Reino Unido en el año 1999 por el Institute of Social and
Ethical Accountability (http://www.accountability.org/) con vocación de integrar la
gestión, auditoría y comunicación en los aspectos relativos a la responsabilidad social de
las organizaciones.
En su declaración de intenciones pretende ser una herramienta clarificadora que parte

del GRI y de SA 8000. Se basa en la elaboración de documentos para mejorar el
desempeño sostenido de las organizaciones. El principal documento es el AA1000
Framework, que es un conjunto de requisitos para evaluar diversos parámetros del
comportamiento organizacional. La primera versión de este instrumento se publicó en el
año 2003 y la segunda edición es de 2008.
» Documentos desarrollados:
o AA 1000 APS. Proporciona los principios generales de la rendición de cuentas.

o AA 1000 AS. Proporciona los requisitos para llevar a cabo el control de la
sostenibilidad.

34
o AA 1000 SES. Proporciona un marco de referencia para el involucramiento de las

partes interesadas.
» Principios que habrán de aplicarse en el aseguramiento de la norma AA1000 AS:

o Inclusividad:
• Principio fundamental, imprescindible para cumplir con los dos principios
siguientes.
• Requiere que la AS asegure que se han incluido a todos los stakeholders,
actividades, productos, servicios, emplazamientos y filiales sobre las que la
Organización informante tiene responsabilidades legales y de gestión.
• También que desde la óptica de rendición de cuentas ofreciendo una
información equilibrada y clara de las consecuencias de la aplicación de los
planes de la empresa.
o Materialidad. El informe debe contener información para las futuras decisiones de
la organización, asegurándose que se informa de los niveles de desempeño, así
como de aquellos impactos que afectan a los stakeholders.
o Capacidad de respuesta. Debe recoger cómo dar soluciones o respuestas a las
demandas de los stakeholders y, en su caso, qué medidas ha adoptado para ello:
indicadores, objetivos y políticas. Asignación de recursos para cumplir y
desarrollar los compromisos adquiridos en la RSC
Accountability (s.f.). Standards [en línea]. Recuperado de

http://www.accountability.org/standards/
1.7. Forética y la norma SGE 21
Forética es la asociación de empresas y profesionales de la RSE líder en España y

Latinoamérica que tiene como misión fomentar la cultura de la gestión ética y la
responsabilidad social, dotando a las organizaciones de conocimiento y herramientas
útiles para desarrollar con éxito un modelo de negocio competitivo y sostenible.
Forética (s. f.). ¿Qué es la SGE 21? [en línea]. Recuperado de http://foretica.org/sge21/

35
Se trata del primer sistema de gestión ética y socialmente responsable en Europa, que
permite de manera voluntaria auditar procesos y alcanzar una certificación en gestión
ética y responsabilidad social.
La norma SGE21 es compatible y totalmente integrable con otros sistemas de gestión

como el sistema de gestión de calidad en base a la norma ISO 9001 o el sistema de gestión
ambiental en base a la norma ISO 14001, suponiendo un valor añadido a ambos.
Certificación de la norma SGE21
La evaluación del cumplimiento de la norma SGE 21 implica para las organizaciones

adquirir voluntariamente un compromiso con la sostenibilidad en materia económica,
social y ambiental. Además, supone aplicar los valores éticos, demostrarlos y
mantenerlos.
La demostración del cumplimiento de una serie de parámetros de RSC ha de ser

transparente y creíble para la sociedad. De ahí que la calidad con la que se realizan las
auditorías de certificación de este sistema sea un factor clave en el proceso que permita
la mejora de las propias organizaciones, así como el reconocimiento de inversores,
consumidores, administraciones, la sociedad en general o incluso, los propios empleados
de las organizaciones.
El proceso de certificación se lleva a cabo a través de entidades de certificación

homologadas por Forética en ciclos de certificación de tres años.
Forética (s. f.). Aplicación SGE 21 [en línea]. Recuperado de

http://foretica.org/sge21/#proceso-certificacion
La organización que supera las auditorías de certificación recibe un certificado en

nombre de la entidad certificadora que ha realizado la auditoría y de Forética (Forética
participa de manera activa en este proceso).

36
Figura 5. Proceso de certificación. Fuente: http://foretica.org/sge21/#proceso-certificacion
El proceso de auditoría se realiza mediante siete pasos, tal y como se recoge en la

figura 5:
» Solicitud de certificación a Forética.

» Emisión de la oferta por parte de Forética, en función de las jornadas de auditoría.
» Planificación de la auditoría, desarrollada por el auditor de la entidad de certificación
elegida por la organización y remitida tanto a la propia organización como a Forética.
» Realización de la auditoría en dos fases. La primera consiste en una revisión
documental y la segunda de la auditoría in situ.
» Emisión del expediente de certificación, que incluye el informe de auditoría y las
solicitudes de acción correctiva (que deberán ser respondidas por la entidad auditada
en el plazo que establezca el auditor, como máximo tres meses).
» Comité de certificación. Será quien tome la decisión de que se emita o no el certificado
con la recomendación de la entidad de certificación que ha llevado a cabo la auditoría.
» Emisión y registro de certificados. Tras la valoración favorable del comité, el
certificado emitido será válido por un período de tres años desde la fecha en la que
dicho Comité decide su emisión.
Cabe destacar que la norma ISO 19011, Directrices para la auditoría de los sistemas de
gestión, es aplicable a las auditorías del sistema de gestión ético y socialmente
responsable en base a la norma SGE21.

37
Evaluación de la conformidad de la norma SGE 21
El proceso de evaluación de la conformidad lo lleva a cabo Forética a través de

profesionales homologados para ello, con el objetivo de identificar el nivel de aplicación
de la SGE21 como paso previo a la certificación.
Se trata de una evaluación por parte de Forética del nivel de aplicación de los requisitos
de la norma en la organización a través de una revisión documental y recogida de
evidencias en la información pública de dicha entidad. Este proceso permite obtener una
validación del uso de la metodología de gestión que plantea la norma en un momento
determinado.
1.8. Gestión en base a la norma SGE 21
La norma SGE21 se publicó en el año 2000 y ha sido revisada en cuatro ocasiones ( 2002,
2005, 2008, 2017), siendo publicada su última versión en el año 2017.
La norma se estructura en nueve áreas de gestión:
» Introducción.
» Objeto.
» Ámbito.
» Documentos de referencia.
» Descripción.
» Áreas de gestión.
o Gobierno de la organización.
o Personas que integran la organización.
o Clientes.
o Proveedores y cadena de suministro.
o Entorno social e impacto en la comunidad.
o Entorno ambiental.
o Inversores.
o Competencia.
o Administraciones públicas.

38
Cada una de las áreas de gestión establece los requisitos para el control de la gestión de
la responsabilidad social en aspectos de ética y buen gobierno, inversores, aspectos
sociales, aspectos ambientales, económicos y de mercado.
La norma SGE 21 establece nueve áreas de gestión sobre la que se construye el sistema y
que pueden agruparse como sigue:
» Ética y buen gobierno:

a. Buen gobierno.
b. Clientes.
c. Proveedores y cadena de suministro.
» Recursos humanos y entorno social:
d. Personas que integran la Organización.
e. Entorno social e impacto en la comunidad.
» Medioambiente:
f. Entorno ambiental.
» Aspectos económicos y de mercado:
g. Inversores.
h. Competencia.
i. Administraciones públicas.
Figura 6. Estructura de la norma SGE 21. Fuente: http://foretica.org/sge21/

39
Figura 7. Estructura. Fuente: http://slideplayer.es/slide/6148606/
1.9. Norma ISO 26000
La norma ISO 26000, Guía de responsabilidad social, aprobada en el 2010, es una norma
internacional que proporciona orientación a los usuarios en materia de RSC, pero no es
adecuada ni pretende servir respeto al principio de legalidad. para propósitos de
certificación. La propia norma indica que cualquier oferta de certificación o petición para
obtener una certificación conforme a la norma ISO 26000 se consideraría una
tergiversación del propósito e intención de esta norma internacional. Esta norma no es,
por tanto, certificable.
La guía ISO 26000 se estructura en siete principios:

» Rendición de cuentas.
» Transparencia.
» Comportamiento ético.
» Respeto a los intereses de las partes.
» Respeto a la norma internacional de comportamiento.
» Respeto a los derechos humanos.

40
Contenido de la ISO 26000
El contenido de la norma ISO 26000 se muestra a continuación:
Prefacio
Introducción
1. Objeto y campo de aplicación
2. Términos y definiciones
3. Comprender la responsabilidad social
3.1. La responsabilidad social de las organizaciones: antecedentes históricos
3.2. Tendencias recientes sobre responsabilidad social
3.3. Características de la responsabilidad social
3.4. El estado de la responsabilidad social
4. Principios de la responsabilidad social
4.1. Generalidades
4.2. Rendición de cuentas
4.3. Transparencia
4.4. Comportamiento ético
4.5. Respeto a los intereses de las partes interesadas
4.6. Respeto al principio de legalidad
4.7. Respeto a la normativa internacional de comportamiento
4.8. Respeto a los derechos humanos
5. Reconocer la responsabilidad social e involucrarse con las partes interesadas
5.1. Generalidades
5.2. Reconocer la responsabilidad social
5.3. Identificación y compromiso de las partes interesadas
6. Orientación sobre materias fundamentales de la responsabilidad social
6.1. Generalidades
6.2. Gobernanza de la Organización
6.3. Derechos humanos
6.4. Prácticas laborales
6.5. El medioambiente
6.6. Prácticas justas de operación
6.7. Asuntos de consumidores
6.8. Implicación y desarrollo de la comunidad
7. Orientación sobre la integración de la responsabilidad social en toda la
Organización
7.1. Generalidades
7.2. Relación de las características de una Organización con la responsabilidad social

41
7.3. Comprender la responsabilidad social de una Organización

7.4. Prácticas para integrar la responsabilidad social en una Organización
7.5. Comunicación sobre la responsabilidad social
7.6. Aumentar la credibilidad en materia de responsabilidad social
7.7. Revisión y mejora de las acciones y prácticas de una Organización en materia de la
responsabilidad social
7.8. Iniciativas voluntarias para la responsabilidad social
Anexo A (informativo). Ejemplos de iniciativas voluntarias y herramientas para la
responsabilidad social
Anexo B (informativo). Abreviaturas
Bibliografía
La siguiente figura proporciona una visión esquemática de la norma ISO 26000:
Figura 8. Estructura de la norma ISO 26000. Fuente: ISO 26000, 2012, p. 10.
1.10. Referencias bibliográficas
AECA (2004). Marco conceptual de la responsabilidad social corporativa, 1.
Asociación Española de Normalización (2012). UNE-ISO 26000. Guía de

responsabilidad social. Madrid: UNE.

42
Business for Social Responsability (BSR) (s. f.). Responsabilidad social empresarial [en
línea]. Recuperado de https://www.bsr.org/en/about
Comisión de las Comunidades Europeas (18 de julio de 2001). Libro verde. Fomentar un
marco europeo para la responsabilidad social de las empresas. Bruselas: Comisión de
las Comunidades Europeas. Recuperado de http://eur-lex.europa.eu/legal-
content/ES/TXT/PDF/?uri=CELEX:52001DC0366&from=ES
European Commision (25 de octubre de 2011). Communication from the Comission to

the European Parliament, the Council, the European Economic and Social Committee
and the Committee of the regions. A renewed EU strategy 2011-14 for Corporate Social
Responsibility. Bruselas: European Commision. Recuperado de http://eur-
lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2011:0681:FIN:en:PDF
Forética (2017). SGE 21. Sistema de Gestión Ética y Socialmente Responsable. Madrid:
Forética.
Global Reporting (2016). GRI 101: Foundation 2016. Amsterdam: Global Reporting.
Recuperado de https://www.globalreporting.org/standards/media/1036/gri-101-
foundation-2016.pdf
Instituto Ethos (s. f.). RSC. Recuperado de https://www.ethos.org.br/
WBCSD (2010). Corporate Social Responsability [entrada en línea]. Recuperado de

https://www.wbcsd.org/

43
Capítulo 2
Gobierno de la organización
44
Capítulo 2: Gobierno de la organización
2.1. Introducción
El hecho de que la alta dirección de la empresa esté implicada y comprometida con el

desarrollo y el sistema de gestión es fundamental para que este sea efectivo y la empresa
obtenga los beneficios que de este se derivan, así como para todas las partes implicadas.
Así, la implicación de la dirección conlleva dar ejemplo, ya que el personal se

comprometerá con sus responsables tanto como vean que estos lo hacen, de modo que el
personal se puede implicar de una manera total en la obtención de las metas propuestas.
2.2. Política de responsabilidad social
Política de responsabilidad social (requisito 6.1.1)
La organización debe definir y mantener una política de responsabilidad social. Dicha

política debe:
a. Incluir el compromiso de integrar los aspectos sociales, ambientales, éticos y de buen
gobierno en sus operaciones y estrategia con el objetivo de maximizar el impacto
positivo en sus grupos de interés.
b. Estar aprobada por el máximo responsable de la organización.
c. Ser comunicada a todas las personas que trabajan para la organización y en nombre
de ella.
d. Estar a disposición pública (Forética, 2017, p. 7).

45
Figura 1. Responsabilidad Social Corporativa en Clasa. Fuente:

http://www.aena.es/csee/ccurl/397/604/AENA%20RC_BuenasPracticas.pdf
En este apartado nos encontramos con un documento de suma importancia, la política

de responsabilidad social (requisito 6.1.1, norma SGE 21), que debe reunir una serie de
requisitos:
» Ser comunicada para toda persona perteneciente a la organización.

» Estar disponible para el público.
» Incluir el compromiso voluntario de integrar en su estrategia de gestión los aspectos
de carácter social, ambiental, ético y de buen gobierno, que vayan más allá de lo que
la normativa aplicable le exige.
» Estar aprobada y firmada por el máximo responsable de la organización.
» Ser revisada periódicamente.
La SGE 21 no determina una estructura o contenidos específicos que deba tener la

política con el objetivo de que cada organización oriente este compromiso público con la
RSE de la manera que mejor responda a su cultura, misión, visión y valores. Lo que sí
hay que tener en cuenta a la hora de elaborarla es que integre los siguientes
aspectos:
» Firmada por el máximo responsable de la organización, ya que representa el

compromiso de la alta dirección.

46
» Debe ser pública.

» Que exprese el compromiso voluntario de con la RSE más allá del cumplimiento legal.
» Que indique actividad de la organización para que no sea generalista y se pueda
aplicar a cualquier empresa.
Además, se recomienda que incluya:
» Referencia a valores éticos de la organización.

» Una declaración de principios.
» Compromiso de extender a todos los relacionados el compromiso social adquirido.
» Debería ser compatible e integrable con respecto a otras políticas de la organización,
tales como calidad, medio ambiente y seguridad y salud en el trabajo.
Una posible estructura de la política de responsabilidad social puede contener:

misión, valores y compromisos con los grupos de interés.
En muchas organizaciones donde solo se implanta un sistema de gestión ética y

socialmente responsable, la política de gestión ética puede corresponder a la parte del
código de conducta que se hace pública y ser, por lo tanto, equivalentes en dichos
contenidos.
Es normalmente en la política donde se hace explícito el compromiso de la organización

con ciertos aspectos de la norma SGE 21, como pueden ser los derechos humanos, el
cambio climático, el cumplimiento con los requisitos legales o las políticas
anticorrupción.
En la medida en que estos aspectos se aborden con una mayor profundidad, podrá ser
considerada la política en sí misma como la evidencia documental que acompañe a la
comprobación de la implantación de los puntos 6.1.8 sobre la política anticorrupción,
6.2.1 sobre derechos humanos o 6.6.4 sobre estrategia frente al cambio climático.
A continuación se recoge un ejemplo de política, en este caso para la empresa Equantia

Global Business S. L.

47
Política de la gestión ética y socialmente responsable
Equantia Global Business S. L. ha afirmado su compromiso ético en todas sus áreas de

gestión. Este compromiso integra tanto los valores que ha adoptado como propios (la
confianza, la responsabilidad, la sinceridad y el trabajo en equipo) como la misión y
visión de la empresa. Y de este compromiso se deriva la política de gestión ética y
socialmente responsable que regulará el sistema de gestión ética de la empresa. Esta
política se rige por las siguientes cláusulas:
1. Cumplimiento del ordenamiento jurídico vigente, tanto formal como materialmente,

y efectividad de los compromisos adquiridos en materia ambiental y socioeconómica.
Transmisión del compromiso de la empresa a las partes interesadas de la misma.
2. Información sobre el compromiso ético de la empresa a los clientes a través del
documento de contratación y en la prestación de servicios orientados a satisfacer la
misión establecida por Equantia Global Business S. L.
3. Exigencia a las empresas colaboradoras, contratistas o proveedoras del cumplimiento
de la legislación en materia ambiental y social. Esta exigencia se materializará a través
de la política de compra y contratación de bienes y servicios.
4. Desarrollo de los principios del sistema de gestión ética en todas las áreas de actividad
de la empresa, con objetivos y programas de actuación concretos de carácter
periódico. Serán complementarios a las demás políticas, especialmente con la de
calidad y gestión de los recursos humanos.
5. Establecimiento, por parte de la empresa, de mecanismos de seguimiento del sistema
de gestión ética, basado en el autocontrol y en la utilización de procedimientos de
atribución de responsabilidades y supervisión de la gestión.
6. Utilización eficiente de los recursos, tales como el agua o la energía, minimizando su
consumo, la generación de residuos y los niveles de contaminación e impacto.
7. Apoyo de la adopción de compromisos específicos de mejora ambiental y social.
8. Implantación de medidas para la formación, sensibilización y motivación del personal
de Equantia Global Business S. L. Se ratifica el compromiso de la empresa con la
gestión ética de los recursos humanos, basada en el cumplimiento de la normativa
laboral y de prevención de riesgos, la garantía de igualdad en la selección y
tratamiento del personal, sin diferencia de sexo, grupo étnico o cualquier otra
condición social, la adopción de medidas de conciliación de la vida laboral y familiar
y la atención a sus necesidades y satisfacción de sus compromisos.

48
Si nos preguntamos si la política mostrada cumpliría con los requisitos de la norma SGE
21, cabría señalar algunos puntos de mejora, por ejemplo: le falta indicar actividad de la
empresa, el compromiso de darla a conocer a todos sus trabajadores y estar a disposición
pública, tampoco tiene la firma de la alta dirección, no está fechada, ni incluye
compromiso de revisión periódica.
Por último, en el siguiente enlace se puede ver otro ejemplo de política de

Responsabilidad Social Corporativa que permite observar algunos de los aspectos a
considerar en este tipo de políticas, sin perder de vista que en el marco de la norma
SGE21 siempre hay que tener presentes los requisitos establecidos en su requisito 6.1.1.
Holcim (2009). Política de responsabilidad social corporativa. Recuperado de

http://www.fundacionsocialholcimcolombia.org/documentos/politica-resp.pdf
2.3. Código de conducta
Código de conducta (requisito 6.1.2)
La organización ha de elaborar un código de conducta, el cual debe:

a. Ser específico y coherente con los valores y desarrollar y concretar la política de
responsabilidad social.
b. Ser aprobado por el máximo órgano responsable de la organización.
c. Definir el canal o las vías adecuadas para resolver dudas, quejas, reclamaciones,
denuncias o sugerencias sobre aspectos relacionados con la gestión ética y
socialmente responsable de la organización. Dicho canal ha de garantizar la ausencia
de represalias en su uso, así como el seguimiento de las incidencias que se registren.
d. Establecer medidas sancionadoras aplicables en caso de incumplimiento.
e. Ser conocido y comprendido por las personas que trabajan para la organización y en
nombre de ella (Forética, 2017, p. 7).
La alta gerencia establecerá los mecanismos que faciliten la elaboración, la revisión, la

comprensión y el cumplimiento de este código.

49
Las características que debe incluir el código de conducta son las siguientes:
» Ser distribuido a todas las personas que trabajen para la organización y en nombre de
ella, garantizando su comprensión.
» Puede estar disponible para sus grupos de interés (si la organización lo considera
necesario).
» Ser específico para la organización y estar acorde con sus valores.
» Determinar la vía adecuada para gestionar todas las dudas, quejas, reclamaciones,
sugerencias o denuncias, garantizando la ausencia de represalias en su uso.
» Fijar, para casos de incumplimiento, las medidas sancionadoras a tomar.
» Contar con mecanismos que garanticen su elaboración, revisión, comprensión y
cumplimiento.
Un código de conducta debe contener la misión de la organización para hacer público el

propósito y la filosofía de esta. También los valores y principios corporativos, los cuales
podrán estar inspirados por el Pacto Mundial, la OIT, la OCDE, entre otros. Dichos
principios son los que le darán identidad a la organización y servirán como directriz para
la toma de decisiones.
Asimismo, contendrá claridad sobre las faltas éticas y la resolución de conflictos, de tal
forma que se identifiquen, se sancionen cuando se requiera y se resuelvan bajo las vías y
medidas estipuladas.
El documento debe ser concreto, propio de la organización, claro y centrar las medidas
de sanción en los procesos y no en las personas.
Para la elaboración del código de conducta se recomienda la participación de un equipo

interdisciplinario o comité de ética o de RSE que verifique de manera periódica si los
contenidos y las medidas corresponden a la cultura organizacional.

50
Una posible estructura de un código de conducta puede ser la siguiente:
Figura 2. Ejemplo de estructura de código de conducta.
Es positivo establecer una revisión anual de cómo las actividades de la organización han
contribuido al respeto y avance en el código de conducta y, en todo caso, asegurar que no
se ha actuado en su contra. Aquí encontramos de nuevo un vínculo con otro requisito de
la norma, el 6.1.10, «Revisión por la dirección y mejora continua», que establece
específicamente que la alta dirección debe revisar, al menos anualmente, una serie de
documentos del sistema de gestión, para asegurarse de su adecuación y eficacia, entre
ellos el código de conducta.
Moliner, M. (2009). Código de conducta: desde nuestros valores. Recuperado de

http://www.foretica.org/codigo_conducta_foretica.pdf
Este código comienza estableciendo los valores de la organización, para luego establecer
los compromisos adquiridos con cada uno de sus grupos de interés, socios, proveedores,
medioambiente, equipo de trabajo, administraciones públicas, comunidad, etc.,
finalizando con un compromiso de cumplimiento. El código de conducta es firmado por
el director general de la organización.

51
A continuación, se indica el enlace para la descarga del código de conducta de otras tres
empresas a modo de ejemplo:
» Novartis (https://www.novartis.es/sobre-novartis/responsabilidad-
social/practica-empresarial-responsable/codigo-etico).
» Indra (http://www.indracompany.com/es/indra/codigo-etico-cumplimiento-legal).
» Ferrovial (https://www.ferrovial.com/es-es/sostenibilidad/etica/).
2.4. Comité de responsabilidad social
Comité de responsabilidad social (requisito 6.1.3.)
La organización ha de establecer un comité de responsabilidad social, de carácter

consultivo que:
a. Es por el máximo responsable de la organización e integrado por las personas que este
designe, debiendo ser representativo de las áreas de gestión de la organización y
pudiendo incorporar expertos externos.
b. Asegure los recursos (humanos, materiales y financieros) para garantizar que el
sistema de gestión ética y socialmente responsable se establece, implanta y mantiene
de forma eficaz alineado con la estrategia y objetivos de la organización.
c. Defina el modelo de relación y diálogo con los grupos de interés.
d. Vele y garantice que el plan de RSE y sus acciones responden a los aspectos materiales
y contribuyen a mitigar los riesgos ambientales, sociales y de buen gobierno (ASG)
identificados por la organización. Además, ha de supervisar la ejecución y el grado de
cumplimiento de los objetivos y metas.
e. Asesore a la dirección sobre oportunidades de mercado u operacionales vinculadas a
los aspectos ASG.
f. Asuma la responsabilidad sobre la revisión e interpretación de la política de
responsabilidad social y el código de conducta.
g. Esté informado de las consecuencias para el sistema de gestión de cualquier cambio
en la estructura de la organización.
h. Se reúna al menos semestralmente.
i. Establezca mecanismos de comunicación con el máximo órgano responsable de la
organización así como con las comisiones que tengan competencia en aspectos ASG,
cuando aplique (Forética, 2017, p. 8).

52
Para velar por el cumplimiento de la responsabilidad social y la observancia de conductas

éticas, la norma SGE 21 en su requisito 6.1.3 establece la creación de un comité de
responsabilidad social con carácter consultivo por parte del máximo responsable de
la organización y que estará formado por miembros por él designados que sean
representativos de las distintas áreas de gestión, si bien podrá contar con expertos
externos a la organización.
Dentro de las responsabilidades del comité de responsabilidad social, se encuentran

las siguientes:
» Garantizar los recursos humanos, materiales y financieros para el buen

funcionamiento del sistema de gestión ética y socialmente responsable.
» Definir el modo de relacionarse y establecer diálogo con los grupos de interés.
» Supervisar todos los planes e iniciativas de responsabilidad social que se desarrollen,
para velar por el cumplimiento de los objetivos y metas de estos.
» Identificar riesgos de tipo laboral, social, legal, de buen gobierno y medioambiental
que puedan afectar a la organización.
» Hacer sugerencias sobre iniciativas y propuestas de mejora a la dirección.
» Revisar e interpretar la política de gestión ética y responsabilidad social y del código
de conducta.
» Deberá ser puntualmente informado de cualquier cambio en la estructura
organizativa que tenga consecuencias para el sistema de gestión.
» Se reunirá con una periodicidad semestral, como mínimo.
El comité de responsabilidad social debe cumplir las funciones indicadas en lo descrito

en la norma y los criterios de interpretación. Estos pueden constar en el acta de la
reunión de la alta dirección en la que se nombre dicho comité. Asimismo, figurará en la
documentación del propio comité (en el reglamento o protocolo formal que haya
definido).
El comité podrá definir un reglamento o protocolo formal para su funcionamiento.

Debe ser un comité accesible, que facilite las comunicaciones anónimas o personalizadas
a través de un sitio exclusivo, por ejemplo, la web corporativa, de fácil acceso para todos
los grupos de interés, aunque en algunos casos no será público para todos ellos (cuando
la persona que lo requiera solicite anonimato).

53
Sus funciones y contenido se podrán integrar en el marco de otros comités ya existentes

(calidad, seguridad y salud en el trabajo, igualdad, etc.).
El comité debe levantar un acta en cada reunión y mantener un registro actualizado de

todas ellas, asegurando la privacidad según la normativa vigente de protección de datos
(LOPD).
AEPD. Página web oficial. https://www.aepd.es/es
La dirección procurará que los miembros del comité reciban formación acerca de los
principios de la gestión ética y socialmente responsable, lo que facilitará su actualización
para establecer sus sugerencias con criterio frente a iniciativas legales, estándares
voluntarios o propuestas de colaboración.
Por ejemplo, Indra establece lo que denominan «canal directo» como cauce de
comunicación con su comité de responsabilidad social, con el fin de comunicar, en su
caso, sobre el código ético y de conducta, irregularidades sobre su aplicación, de modo
anónimo y confidencial.
Indra (s. f.).Canal directo [en línea]. Recuperado de

https://serviweb.indra.es/codeticoprov/canaldirecto.jsp
2.5. Responsable de gestión ética/responsabilidad social
Responsable de gestión ética/responsabilidad social (requisito 6.1.4)
La organización ha de nombrar un responsable del sistema de gestión ética y socialmente

responsable asegurando los siguientes aspectos:
a. Que cuenta con las competencias y conocimientos necesarios en materia de gestión
de los aspectos ASG.
b. Que conoce las implicaciones e impactos ASG de la actividad de la organización.
c. Que vela por la implantación, cumplimiento, seguimiento y evaluación del sistema de
gestión ética y socialmente responsable, coordinando el comité de responsabilidad
social (Forética, 2017, p. 9).

54
Entre otras funciones se responsabilizará de hacer:
» Inventario de iniciativas de responsabilidad social.

» Modelo documentado de relación y diálogo con los grupos de interés. Establecerá los
criterios para identificar y clasificar los grupos de interés, metodología para detectar
sus expectativas y fijar y priorizar los planes de acción y comunicación. Deberán
conservarse evidencias de dichas comunicaciones. De todas formas, no hay que
olvidar que aunque proponga dichas vías de diálogo, las vías más idóneas las establece
el comité de gestión ética.
» La organización garantizará la seguridad de la información conocida y utilizada sobre
sus grupos de interés desde el inicio hasta la finalización de su relación.
» Categorización de riesgos, ambientales, sociales y de buen gobierno.
Además:
» Ejercerá como asesor en materia de ética y responsabilidad social para la alta

dirección el comité de responsabilidad social y para los responsables de las distintas
áreas de gestión sobre aspectos que le competen y que sean importantes para la
consecución de objetivos y metas.
» Velará por adecuado cumplimiento del sistema de gestión ética, la política de gestión
ética y el código de conducta.
Para su selección se recomienda considerar los siguientes atributos personales:
» Neutralidad: perfil personal y profesional equilibrado en todos los niveles.

» Empatía: capacidad demostrada para entender las diferentes posturas.
» Experiencia personal y laboral: capacidad de haber vivido y aprendido de experiencias
personales o cercanas.
» Altruismo: capacidad para actuar en beneficio de otros sin esperar retribución alguna.
» Expresión oral: buena oratoria y coherencia de discurso.
» Escucha activa: capacidad para escuchar antes de opinar.
» Amabilidad: sentido de compañerismo y actitud positiva.
Se recomienda que el responsable de gestión ética o responsabilidad social tenga un

conocimiento exhaustivo tanto de la organización como una formación específica y
experiencia demostrada en materia de responsabilidad social. Será la persona que
interactúe con los auditores internos y externos de la norma SGE 21.

55
Con objeto de facilitar las tareas del comité, será el encargado de proponer tanto el
plan de responsabilidad social como las iniciativas anuales, sugerir la composición del
mapa de los grupos de interés y la categorización de los riesgos ambientales, sociales y
de buen gobierno. El responsable de gestión ética o responsabilidad social recogerá las
indicaciones del comité para presentar a la alta dirección las propuestas sobre los
aspectos mencionados.
El responsable de gestión ética o responsabilidad social se encontrará a disposición de

la alta dirección, así como de los responsables de las áreas de gestión para informarles
sobre sugerencias, novedades, actividades, nueva legislación, riesgos, premios y
cualquier aspecto de la gestión de la responsabilidad social donde los intereses de la
organización se puedan ver afectados.
Además, este responsable, para garantizar que el sistema de gestión se cumple y

mantiene, mantendrá actualizada toda la documentación del SGE y asegurará
que todas las personas implicadas tienen acceso a la versión vigente.
En el estudio El perfil emergente del directivo de RSC se ha querido conocer más sobre
el trabajo diario que realizan, a qué dedican mayoritariamente su tiempo, cuál es su
opinión sobre la forma en que se gestiona la RSC. Se trata de una primera aproximación,
basada en las respuestas a 48 cuestionarios, que apunta los temas y claves de futuras
investigaciones y permite dibujar un primer perfil de estos directivos.
2.6. Gestión de riesgos
Gestión de riesgos (requisito 6.1.5.)
La organización ha de llevar a cabo una identificación, análisis y categorización de los

principales riesgos ASG que la afectan que será revisada anualmente. Además, ha de
diseñar y desarrollar un plan de mitigación de dichos riesgos y medir la eficacia de las
acciones puestas en marcha (Forética, 2017, p. 9).
El enfoque al riesgo cobra importancia en esta nueva versión de la norma SGE 21 y se

alinea de esta manera con otras normas de gestión como la ISO 9001 o la ISO 14001.

56
Las organizaciones se enfrentan a factores tanto internos como externos que le quitan
certeza a la posibilidad de alcanzar sus objetivos ASG, lo que se convierte, por tanto, en
riesgos que hay que gestionar, estableciendo un plan de mitigación con acciones
concretas. Además, teniendo en cuenta la naturaleza cambiante de las organizaciones se
hace preciso una revisión anual de la identificación, el análisis y la categorización de los
riesgos que permita adaptar el plan de mitigación a los cambios.
La norma UNE 31000 (Gestión del riesgo: principios y directrices) puede servir de
guía a la hora de desarrollar una metodología que permita gestionar el riesgo en la
organización. Por otro lado, la norma UNE 31010 (Gestión del riesgo: técnicas de
apreciación del riesgo) puede servir de orientación para la selección y aplicación de
técnicas sistemáticas para la evaluación de riesgos.
El Informe de Riesgos Globales 2017 publicado por el Foro Económico Mundial evalúa
30 riesgos globales, así como trece tendencias subyacentes que podrían agravarlos o
alterar las interconexiones entre ellos, basándose en encuestas y entrevistas a 750
expertos en todo el mundo y puede servir de ejemplo a la hora de establecer los riesgos y
oportunidades en una empresa, adaptándolos a su realidad.
Marsh (2017). Informe de riesgos globales 2017 [en línea]. Recuperado de

https://www.marsh.com/co/insights/research/informe-de-riesgos-globales-2017.html
2.7. Plan de responsabilidad social
Plan de responsabilidad social (requisito 6.1.6.)
La organización ha de elaborar un Plan de responsabilidad social con objetivos ASG

medibles, comparables y verificables. Dicho plan debe incorporar una identificación de
responsabilidades, plazos de ejecución y recursos aplicables así como los indicadores de
seguimiento correspondientes. Anualmente se ha de evaluar el cumplimiento del plan
(Forética, 2017, p. 9).
La implantación de un sistema de gestión de la RSC conlleva el diseño y desarrollo de

un plan en el que se estructuren de manera formal las acciones a realizar y se consigne

57
por escrito lo que se espera obtener para responder a retos detectados y mejorar las
prácticas éticas y la excelencia empresarial a partir de objetivos e indicadores.
Los objetivos serán los resultados concretos que se esperan con la implementación de
la RSC y los indicadores de los datos concretos que permitirán visualizar el cumplimiento
y el éxito de los objetivos propuestos. Dichos objetivos e indicadores estarán en un marco
de referencia que permitirá, además, identificar las fuentes de verificación, los tiempos
para su cumplimiento, los recursos requeridos y las personas responsables de ejecutar
las actividades planteadas en el plan, de tal forma que se facilite su control y seguimiento.
Los objetivos del plan podrán concretarse en metas específicas a las que se asignará
un responsable, plazos, recursos, así como los indicadores que permitan dar seguimiento
al cumplimiento de estos. Los objetivos deben ser medibles, comparables y verificables.
Los objetivos del plan de responsabilidad social deberán enmarcarse en los procesos que
desarrolla la organización, así como con la estrategia general de la organización. Pueden
clasificarse de la siguiente manera:
» Bajo las cuatro perspectivas que proponen Kaplan y Norton (1996) en el cuadro de
mando integral (balanced scorecard):
o Financieros, clientes (precio, marca, servicios).
o Internos o propios del negocio (operaciones de producción, innovación, etc.).
o Aprendizaje (competencias y calidad del talento humano).
o Capital de información (sistemas, redes, etc.).
» Bajo la perspectiva del triple balance que integra el concepto de RSC:

o Ambiental.
o Social.
o Buen gobierno.

58
Figura 3. Esquema del balance scorecard. Fuente:

http://es.wikipedia.org/wiki/Cuadro_de_mando_integral
2.8. Relación y diálogo con los grupos de interés
Relación y diálogo con los grupos de interés (requisito 6.1.7.)
La organización debe analizar los impactos positivos y negativos producidos por su

actividad en relación a sus grupos de interés, tratando de maximizar el valor generado
para los mismos. Para ello debe:
a. Identificar y clasificar a los grupos de interés.
b. Adoptar una metodología para detectar sus expectativas.
c. Diseñar y priorizar los planes de acción y comunicación con los mismos.
d. Mantener evidencias de los resultados de las acciones puestas en marcha (Forética,
2017, p. 10).
La organización establecerá su propio modelo documentado de relación con los grupos

de interés indicando los criterios de identificación y clasificado.

59
El comité de gestión ética y responsabilidad social establecerá las vías de

comunicación idóneas:
» Carta.
» Teléfono.
» Fax.
» Correo electrónico.
» Reunión presencial.
» Paneles de diálogo, etc.
Debe permitir que cada uno de los grupos de interés pueda hacer llegar sus expectativas,
quejas o propuestas. También podrá establecer el mecanismo de respuesta para cada uno
de los grupos de interés, identificando al interlocutor con cada uno de ellos y evaluando
su satisfacción.
La organización conservará evidencias de las comunicaciones mantenidas con los grupos

de interés.
Sería adecuado establecer, al menos, una revisión anual de la aplicación del modelo
de relación con los grupos de interés, encaminado a detectar los resultados obtenidos y
el nivel de desarrollo de la relación con dichos grupos.
Para establecer un modelo documentado de la relación que tiene la organización con sus
grupos de interés se recomienda avanzar en las siguientes fases:
» Identificación de grupos de interés.

» Priorización de los grupos de interés (mapa de grupos de interés).
» Asignación de un interlocutor para cada grupo de interés.
» Desarrollo de estrategia de interacción.
» Revisión periódica del proceso (vuelta al punto 1).
No existe un formato específico para el modelo de relación con los grupos de interés, pero
en los siguientes enlaces se pueden consultar y comparar los diferentes modelos de
gestión de la RSC y la relación con sus grupos de interés de tres empresas (Vodafone,
Ferrovial y Endesa), a través de sus memorias o informes de sostenibilidad.

60
» Vodafone (http://www.vodafone.es/static/fichero/pro_ucm_mgmt_642133.pdf?f
rame=1).
» Ferrovial (http://www.ferrovial.com/es/Responsabilidad-
Corporativa/Reputacion-corporativa-Grupos-de-interes).
» Endesa (https://www.endesa.com/es/sostenibilidad.html).
2.9. Política anticorrupción
Política anticorrupción (requisito 6.1.8.).
La organización ha de definir una política de lucha contra la corrupción que incluya,

entre otras:
a. Medidas para la erradicación de prácticas como el soborno o la extorsión.
b. Criterios de emisión y recepción de regalos y atenciones.
c. Vías para la detección y limitación de los conflictos de intereses.
d. Mecanismos de consulta del personal ante acciones dudosas.
e. Mecanismos de denuncia contra la corrupción (Forética, 2017, p. 10).
La organización debe garantizar que todas las personas con capacidad de decisión
conocen y entienden la política. Se han de mantener evidencias de las acciones
emprendidas en caso de incumplimiento (Forética, 2017, p. 10).
Uno de los pilares de la RSC reside en garantizar la ausencia de corrupción en las

relaciones de la organización con sus grupos de interés, por lo que este documento es
relevante a la hora de establecer este sistema de gestión. Cada organización tendrá que
analizar cuáles son sus principales riesgos en este sentido y establecer las medidas que
sean necesarias para evitarlos.
Además, es importante implicar a los trabajadores, de manera que puedan consultar

cualquier duda que les surja antes de tomar una decisión, así como comunicar a la
organización cualquier práctica que consideren que va en contra de los principios de
anticorrupción adoptados por la organización.
La política de corrupción puede ser un documento en sí mismo o formar parte de la

política de gestión ética.

61
En el siguiente enlace se puede descargar el Programa anticorrupción de ética y

cumplimiento para las empresas: Guía práctica, publicado por Naciones Unidas, donde
se puede encontrar más información al respecto.
Oficina de las naciones Unidas contra la Droga y el Delito (2013). Programa

anticorrupción de ética y cumplimiento para las empresas: guía práctica. Recuperado de
http://www.unodc.org/documents/corruption/Publications/2013/13-
85255_Ebook.pdf
A modo de ejemplo, se muestra a continuación la política anticorrupción de la empresa

Janda Litoral.
Política anticorrupción Litoral de La Janda
En el marco de la visión y los valores del grupo de desarrollo rural del Litoral de La Janda
de la política integrada de gestión y del compromiso asumido de trabajar contra el fraude
en todas sus formas, incluidas la extorsión y el soborno, la dirección ha aprobado la
presente política anticorrupción con el fin de prevenir el deterioro del valor de las
acciones desarrolladas por la asociación a través del diseño y desarrollo de programas y
proyectos para el desarrollo socioeconómico del territorio.
La gestión eficiente del fraude se basará en un compromiso de permanente vigilancia y

sanción de los actos y conductas fraudulentos, de mecanismos efectivos de comunicación
y concienciación de todos los empleados y del desarrollo de una cultura de ética y
honestidad.
Se impulsará y promoverá el compromiso de combatirlo con la adopción del principio de

«tolerancia cero», según el cual, cualquier indicio de acto fraudulento del que se tenga
conocimientos será investigado y, en el caso de que se pruebe con las debidas evidencias,
se aplicarán las medidas correctoras y disciplinarias que correspondan.
Los principios por los que se rige esta política y a la que se comprometen todos los
miembros del GDR Litoral de La Janda son los siguientes:
» Impulsar el ejercicio profesional ético, con responsabilidad social, promoviendo la

difusión y adopción de gestiones transparentes en las gestiones realizadas.

62
» Integrar y coordinar el conjunto de actuaciones para prevenir, disuadir y, en su caso,

denunciar actos de soborno, extorsión, fraude y cualquier otra forma de corrupción a
través de los mecanismos establecidos en el procedimiento de tratamiento de quejas,
sugerencias, denuncias y reclamaciones. Toda persona implicada en una denuncia o
sospecha frente a una actuación supuestamente corrupta será tratada justamente.
Esto comprende:
o Información inmediata y completa al empleado que esté implicado.
o Darle la oportunidad de explicar cuál ha sido su papel.
o Mantenerle informado del proceso de investigación de la denuncia o sospecha y su
resultado.
o Se promoverá una cultura «no acusatoria» cuando sea posible y hasta que no se
hayan obtenido conclusiones determinantes al respecto.
o Rechazar cualquier ventaja pecuniaria o de otro tipo, tales como regalos, favores,
promesas o ventajas, en beneficio propio o de un tercero, ya sea directamente o a
través de intermediarios.
o Actuar en todo momento al amparo de la legislación vigente y otros requisitos
aplicables y, en particular, de los valores establecidos por el código ético del grupo.
o Mantener el énfasis en las actividades proactivas, como prevención y detección
frente a las actividades reactivas, como la investigación y la sanción.
o Garantizar una aplicación justa, no discriminatoria y proporcional de las
sanciones, de acuerdo a lo establecido por la legalidad aplicable (en Vejer de la
Frontera, a 19 de octubre de 2009, fdo: Jaime Castro Romero, presidente).
Este documento está disponible en el aula virtual o en la siguiente dirección web:

https://www.jandalitoral.org/component/content/article/16-quienes-somos/186-
politica-integrada-de-gestion?Itemid=101
2.10. Auditoría interna
Auditoría interna (requisito 6.1.9.)
La organización debe realizar anualmente auditorías internas del sistema de gestión ética
y socialmente responsable para comprobar la correcta aplicación y evolución del sistema
y su adecuación a los requisitos de esta norma. Para ello debe:

63
a. Definir en un documento el proceso de auditoría detallando, al menos, las

responsabilidades, criterios de auditoría, métodos y alcance que permitan garantizar
la objetividad e imparcialidad de los procesos y resultados.
b. Mantener, al menos, los siguientes registros:
1. Las desviaciones detectadas y las acciones necesarias para su corrección.
2. Un informe de auditoría que recoja las conclusiones y que debe ser puesto a
disposición del comité de responsabilidad social (Forética, 2017, p. 11).
El seguimiento y medición del sistema de gestión ética y socialmente responsable se

hace fundamental para garantizar la mejora continua del mismo. Las auditorías internas
se convierten en una herramienta clave a la hora de llevar a cabo dicho seguimiento y
medición. Para garantizar la efectividad del proceso, se definirán en un documento las
responsabilidades, criterios de auditoría, métodos y alcance que garanticen la
objetividad e imparcialidad de los resultados; se documentarán las desviaciones
detectadas y se llevarán a cabo las acciones necesarias para su corrección. También se
elaborará un informe de auditoría que recoja las conclusiones y que será puesto a
disposición del comité de gestión ética y responsabilidad social.
La realización anual de estas auditorías internas permitirá conocer el grado de

implantación del sistema, la adecuación de este a las necesidades de la empresa y el
cumplimiento o no de los requisitos de la norma SGE21.
El uso de check-list o listas de comprobación a la hora de realizar las auditorías internas

suele ser habitual. Estos check-list pueden resultar muy prácticos durante este proceso.
Sobre un documento estándar en el que se recogen los puntos de la norma, cada
organización deberá adaptar el listado en función de los requisitos específicos derivados
de normativas o regulaciones específicas del sector y los requisitos que han quedado
definidos en el propio sistema de gestión. Con este check-list se puede valorar, para cada
requisito de la norma, la conformidad del cumplimiento de los requisitos y existencia de
evidencias, así como realizar las oportunas observaciones para una mejor redacción final
del informe de auditoría interna.
Al igual que a la hora de llevar a cabo las auditorías internas de otros sistemas de gestión,
como calidad o medio ambiente, se puede tomar de referencia lo establecido por la norma
UNE-EN ISO 19011: Directrices para la auditoría de los sistemas de gestión, en cuanto
a la gestión del programa de auditoría, la realización de la auditoría y las competencias
de los auditores internos.

64
2.11. Revisión por la dirección y mejora continua
Revisión por la dirección y mejora continua (requisito 6.1.10)
El máximo órgano responsable de la organización debe revisar el sistema de gestión ética

y socialmente responsable al menos anualmente para asegurarse de su adecuación y
eficacia, a través de indicadores de seguimiento y de la elaboración de planes de mejora
continua.
La información de entrada para la revisión será al menos:

a. Política de responsabilidad social.
b. Código de conducta.
c. Composición y actuaciones del comité de responsabilidad social.
d. Plan de responsabilidad social.
e. Gestión de riesgos ambientales, sociales y de buen gobierno.
f. Resultados principales de los procesos de diálogo con grupos de interés.
g. Informes de auditoría.
h. Acciones correctivas puestas en marcha.
i. Informe de responsabilidad social (Forética, 2017, p. 11).
Al igual que sucede con otros sistemas de gestión, la alta dirección debe revisar el sistema
de gestión ética, como mínimo, con carácter anual, para verificar a través de
indicadores su adecuación, eficacia y elaborar planes de mejora continua. El ciclo de
Deming o mejora continua se cerraría con esta etapa. A continuación, se muestra un
ejemplo de algunos aspectos a considerar en esta revisión, como pueden ser los puntos
fuertes y débiles, para poder determinar qué sería interesante incluir en los planes de
mejora, teniendo en cuenta los distintos grupos de interés de la empresa.

65
Figura 4. Aspectos que considerar en una revisión anual del sistema de gestión ética y socialmente
responsable.
GRUPO
OBJETIVO ACCIÓN EVALUACIÓN
INTERÉS
1. Entregar a nuestros clientes un 1. Número de dosieres entregados y

1. Transmitir dossier con toda la información número de clientes
nuestros servicios sobre el viaje a. Los cuestionarios realizados y si
con total claridad a. Realizar un cuestionario de el resultado obtenido es
Clientes
2. Mejorar la satisfacción sobre el viaje satisfactorio o qué cosas hay que
satisfacción de b. Indicar en las ofertas si el mejorar en el servicio
nuestros clientes viaje está adaptado para b. Número de ofertas donde se
discapacitados especifica esta característica
Mejorar las Diseño de un plan de formación,

competencias del recogiendo las necesidades y Horas de formación recibida
Personal
personal preferencias del personal
Realizar una base de datos para

Establecer un trato
mantener una comunicación Número de comunicaciones realizadas
Proveedores personalizado
directa
1. Control del consumo energético

y reutilización del papel 1. Reducción o aumento en el importe
Contribuir a
Medio 2. Elaborar y entregar una guía de de la factura de la luz, kg de cartón
conservar el medio
ambiente buenas prácticas reutilizado
ambiente
medioambientales para los 2. Número de guías repartidas
viajeros
Ordenar toda la documentación
administrativa legal (licencias,
Mejorar las ¿Está disponible toda la
Instituciones autorizaciones, etc.) y ponerla a
relaciones documentación?
disposición de requerimientos o
inspecciones
Organizar una excursión gratuita
Participar en nuestro destinada a los hijos de Número de niños participantes
Sociedad
entorno inmigrantes del barrio para
conocer la ciudad y los alrededores
Figura 5. Ejemplo de acciones tomadas como consecuencia dela revisión por la dirección.

66
2.12. Divulgación de información no financiera
Divulgación de información no financiera (requisito 6.1.11.)
La organización ha de poner a disposición pública la información ASG relevante relativa

a su actividad, impactos y resultados de las acciones llevadas a cabo a través de los
medios que tenga a su alcance y garanticen una máxima transparencia.
Periódicamente, la organización debe publicar un informe de desempeño ASG que

incluya, como mínimo, la siguiente información:
a. El perfil de la organización.
b. Gobierno corporativo y compromisos.
c. Estrategia y plan de RSE (enfoque y resultados).
d. Principales indicadores ASG (Forética, 2017.
El último requisito dentro del área de gestión gobierno de la organización establece que
la misma debe poner a disposición pública toda la información relevante relacionada con
los aspectos ambientales, sociales y de buen gobierno, de manera periódica.
A continuación, se muestran los enlaces para la descarga de algunos ejemplos de

informes o memorias de RSC que servirían para dar cumplimiento a este requisito de la
norma SGE21.
» Colegio Oficial de Farmacéuticos de Madrid

(http://www.cofm.es/recursos/doc/portal/2015/04/17/memoria-anual-2014.pdf).
» Grupo L’Oréal
(https://www.loreal.com/es-es/spain/).
Asociación para el Desarrollo Rural del Litoral de La Janda (2009). Política

anticorrupción. Cádiz: Janda Litoral.

67
Forética (2017). SGE 21. Sistema de gestión ética y socialmente responsable. Recuperado
de http://www.foretica.org/norma_SGE_21.pdf
Kaplan, R. S. y Norton, D. P. (1996) The Balanced Scorecard: Translating Strategy Into

Action, Boston, MA: Harvard Business School Press.

68
Capítulo 3
Personas que integran la
organización
69
Capítulo 3: Personas que integran la organización
3.1. Derechos humanos
Derechos humanos (requisito 6.2.1)
La organización debe respetar los derechos humanos. Para ello, ha de llevar a cabo un
control y seguimiento del cumplimiento de estos en relación con las personas que
trabajan en la organización y en nombre de ella, así como con los distintos colectivos con
los que se relaciona en el desempeño de su actividad. Debe disponer, en función de su
tamaño y circunstancias, de los siguientes elementos:
a. Un compromiso público, y al más alto nivel, de asumir su responsabilidad de respetar
los derechos humanos, al menos en lo que respecta a:
1. Derechos de la infancia y la juventud, entre ellos supresión de la explotación
infantil y trabajos forzados.
2. Derecho de asociación, principalmente libertad de sindicación y negociación
colectiva.
3. Derecho a unas condiciones de empleo equitativas y satisfactorias.
b. Un procedimiento para identificar, prevenir, mitigar y rendir cuentas de cómo aborda
su impacto sobre los derechos humanos en todas sus operaciones y actividades.
c. Unos procesos que permitan reparar, en la medida de lo posible, las consecuencias
negativas sobre los derechos humanos que hayan provocado o contribuido a provocar
(Forética, 2017, p. 13).
Las personas que integran la organización son el principal activo de estas. La RSC exige
un trato equitativo y respetuoso a los empleados, además del respeto a los derechos
de la infancia y la juventud, contractuales y colectivos de los trabajadores. En este
sentido, la organización tiene que identificar el impacto que tienen sus actividades sobre
los derechos humanos, definiendo, en caso de ser necesario, unas pautas que le permitan
paliar las posibles consecuencias negativas que hayan podido ocasionar.
En la gestión de la responsabilidad social corporativa se representan valores

fundamentales como el diseño de políticas de igualdad y conciliación de la vida
profesional y personal, la integración de trabajadores con minusvalías, la eliminación
explícita de la discriminación por razón de género (o cualquier otro motivo) y el
compromiso de prevenir y perseguir cualquier forma de abuso, presión injustificada y
acoso en el trabajo.

70
La organización deberá velar por el cumplimiento de los derechos humanos en las

relaciones con su personal, concretamente en aquellos aspectos ligados a la actividad
organizacional. Se prestará especial atención a los aspectos relativos a lo siguiente:
» Libertad sindical (OIT, 1948). Los trabajadores tienen derecho a constituir y a

afiliarse a las organizaciones que estimen convenientes, además de elegir libremente
a sus representantes y organizar su administración y programa de acción. En el
siguiente enlace se puede ver la información completa definida en el convenio sobre
la libertad sindical y la protección del derecho a la sindicación.
OIT ( 1948). Convenio sobre la libertad sindical y la protección del derecho de

sindicación, CO87. Recuperado de
http://www.ilo.org/dyn/normlex/es/f?p=NORMLEXPUB:12100:0::NO::P12100_I
NSTRUMENT_ID:312232
» Derecho de asociación y derecho a la negociación colectiva. Aspectos que,

entre otros, se podrán evidenciar a través de lo siguiente:
o Actas de reuniones sindicales.
o Libertad de presentación de candidatos.
o Convocatorias de elecciones a iniciativa de trabajadores u organizaciones
sindicales.
o Entrevistas con los representantes de los trabajadores.
o Canales de información. Existencia de tablón de anuncios, buzón de sugerencias,
correo electrónico, etc.
» Derechos de la infancia y la juventud. La organización, para evidenciar el

cumplimiento de este punto, podrá presentar una identificación de las actividades o
delegaciones en las que existe un riesgo potencial de incidentes de explotación infantil
o trabajos forzados y el desarrollo de las medidas oportunas para contribuir a su
eliminación. La verificación de cumplimiento se podrá realizar a través de resultados
de los análisis de las áreas de actividad, regiones o países con actividad, etc., en
relación a los incidentes producidos y el nivel de explotación infantil.
o Planes de medidas para la citada explotación. En los siguientes enlaces se
pueden ejemplos de una asociación que está trabajando para construir un mundo
y una sociedad más justa con la infancia.
• Save the Children (https://www.savethechildren.es/quienes-somos).

71
• Evidencias de niños que sufren explotación infantil

(https://www.teinteresa.es/mundo/ninos-
trabajo_esclavo_0_683333615.html).
» Derecho a unas condiciones de empleo equitativas y satisfactorias. La

organización, para evidenciar el control de las condiciones de empleo, debería
demostrar que todas las personas que trabajan en ella:
o Disponen de contrato de trabajo.
o Gozan de unas condiciones de trabajo que cumplen con la legislación nacional o,
en caso de estar fuera del marco de la Organización para la Cooperación y el
Desarrollo Económico (OCDE), cumplen las directrices de este organismo y de los
convenios de la Organización Internacional del Trabajo (OIT) que sean aplicables.
o Tienen una remuneración equitativa y satisfactoria que les asegura a ellos y a su
familia una existencia conforme a la dignidad humana.
o Poseen períodos de descanso y vacacionales.
o No sufren medidas disciplinarias que atenten contra su dignidad.
La organización podrá evidenciar el cumplimiento de este apartado si dispone de un

sistema de gestión de relaciones laborales implantado y verificado por una tercera
parte independiente.
Para el control y seguimiento del cumplimiento de los derechos humanos se puede seguir
el esquema que establece la norma de empresa SA8000, emitida por SAI y sobre la que
también se apoya la SGE 21.
DERECHOS SOCIALES/HUMANOS
Promoción o mejora de la educación
Promoción o mejora de la asistencia médica
Existen instalaciones sanitarias y viviendas
Cuestiones de género:
• Políticas de genero y mejores prácticas
• Derechos de la mujer en el trabajo
• Salud y seguridad de la mujer
Derechos culturales o religiosos (OIT, C169, Convenio

sobre los pueblos indígenas y tribales, 1989)
Figura 1. Derechos sociales/humanos.

72
Como ejemplo de empresa certificada en la SA 8000 se cita EROSKI, que es la única

empresa de distribución española certificada en dicho estándar. Se puede consultar su
memoria de responsabilidad social corporativa.
Eroski (s. f.). Responsabilidad social empresarial [en línea]. Recuperado de

https://www.eroski.es/responsabilidad-social/
Las áreas que cubre el sistema de certificación SA8000, y como se ha comentado sobre
los que también se basa la SGE21, tienen que cubrir los siguientes aspectos:
Área social
Derechos sociales/humanos
Promoción/mejora de la educación
Promoción/mejora de la asistencia médica
La existencia de instalaciones sanitarias y viviendas
Cuestiones de género. No se puede discriminar por esta condición en igualdad de formación
Políticas de género y mejores prácticas
Derechos de la mujer en el trabajo (CSI, 2008)
Salud y seguridad de la mujer (EU-OSHA, 2018)
Derechos culturales/religiosos, C169 (OIT, 1989)
Área social
Derechos del trabajo/laborales. Condiciones de trabajo
Seguridad en el trabajo, C184 (OIT, 2001)
Capacitación sobre cuestiones de seguridad (ONU Mujeres, 2012)
Entorno de trabajo seguro
Equipos de seguridad y materiales de emergencia
Condiciones de trabajo saludables
Acceso al agua potable
Acceso a instalaciones sanitarias en el trabajo
Acceso a asistencia médica/ seguro médico
Requisitos de capacitación in situ
Abolición del trabajo forzoso, CO 29 (OIT, 1930) y C 105 (OIT, 1957)
Abolición de la utilización de la violencia física
Prohibición del trabajo infantil, C182 (OIT, 1999)

73
Área social
Condiciones de empleo
Políticas y prácticas de la contratación de mano de obra. Esas políticas no pueden ir en contra
de los derechos y otros puntos que se recogen en la RSC respecto a las personas que integran
la organización
Transparencia de las prácticas de empleo
Contratos escritos y contemplando horarios, salarios, nivel adecuado de formación, etc.
Se especifican claramente los días de licencia, esto se refiere a los días de periodo vacacional
al que tienen derecho los trabajadores
Pago oportuno del salario. Cada organización tiene que estipular el margen de pago de
salarios mensuales y tiene que cumplirlo. De esta forma, los trabajadores saben la fecha límite
de pago por la organización
Pensiones y beneficios de la seguridad social. Todo trabajador tiene que asegurarse, y la
organización debe cumplir con ello, que va a sufrir retenciones en su salario, pero que estas
retenciones le permiten el acceso a la sanidad y que el día de mañana van a recibir una
compensación económica por sus años de trabajo
Edad mínima, C182 (OIT, 1999) y C138 (OIT, 1973)
Igualdad de remuneración (OIT 100) (OIT, 1951)
3.2. Igualdad de oportunidades y no discriminación
Igualdad de oportunidades y no discriminación (requisito 6.2.3)
La organización ha de garantizar, mediante el despliegue de políticas y procedimientos,

el respeto del principio de igualdad de oportunidades, en el acceso de los puestos de
trabajo, la formación, el desarrollo profesional y la retribución de todas las personas que
trabajan en la organización. Debe contemplar específicamente, según corresponda, la
ausencia de discriminación por circunstancias de género, origen racial o étnico, religión
o convicciones, discapacidad, edad u orientación sexual o cultura, entre otras. Se han de
mantener evidencias de las acciones que hayan derivado de dichas políticas y
procedimientos, indicando el departamento implicado, el responsable de ejecución, el
objetivo, los resultados obtenidos y la fecha de implantación (Forética, 2017, p. 13).
Para garantizar el cumplimiento de este principio de igualdad de oportunidades,

dentro de la organización se pueden llevar a cabo las siguientes acciones:

74
» Selección. Ofertas de trabajo publicadas a través de distintos medios y estadísticas

de nuevas contrataciones (versus solicitudes recibidas).
» Formación. Publicación de la oferta de cursos de formación para el personal de los
criterios definidos para asignarlos a los trabajadores que los soliciten.
» Horarios de impartición de la formación. Se debe considerar su realización
dentro de la jornada laboral para ofrecer las mismas posibilidades a toda la plantilla
incluidos, por tanto, los trabajadores con responsabilidades familiares. En caso de
celebrarse fuera del horario laboral, se tienen que poner en práctica acciones que
posibiliten a incorporar a todos los trabajadores, como pueden ser ayudas económicas
o puesta en marcha de algún servicio específico para el cuidado de las personas
dependientes durante el período de la formación (canguros, asistentes, etc.).
» Reconocimiento. La organización, con el fin de evidenciar el cumplimiento de este
apartado, puede solicitar el Distintivo de Igualdad en la Empresa (DIE) concebido por
el Ministerio de Sanidad, Servicios Sociales e Igualdad de España y que reconoce las
empresas que destacan en el desarrollo de políticas de igualdad de oportunidades en
materia de diversidad de género en el ámbito laboral.
Ingertec (s. f.). Plan de igualdad para empresas [en línea]. Recuperado de
https://ingertec.com/rsc-y-sostenibilidad/plan-de-
igualdad/?gclid=CjwKCAiAzNj9BRBDEiwAPsL0d6TAACvVMU1nZ7Dv0pgbelNs8j-
cbGSMBv1O_QAXvW6vNrj0wUI5HhoCRbgQAvD_BwE
Un ejemplo de buenas prácticas en torno a la igualdad de oportunidad y la diversidad de

género es el definido por la empresa multinacional de telecomunicaciones Orange, que
le sirvió para recibir el Distintivo de Igualdad en la Empresa en el año 2016.
Orange ha puesto en marcha, en torno a la igualdad de oportunidades y la diversidad de

género, buenas prácticas como las siguientes:
» La aplicación y desarrollo de actuaciones y medidas que facilitan la conciliación de la

vida personal, familiar y laboral.
» Las iniciativas para garantizar la igualdad de trato y oportunidades en la selección y
en la promoción profesional.
» La adopción de planes de igualdad y la implantación de medidas de acción positiva.
» La publicidad no sexista de los productos o servicios de la empresa (Gámez, 2016).

75
3.3. Gestión de la diversidad e inclusión
Gestión de la diversidad e inclusión (requisito 6.1.1)
La organización debe llevar a cabo una gestión activa de la diversidad, para ello
desarrollará las siguientes acciones:
a. Identificación y análisis de los perfiles de diversidad.
b. Identificación de las necesidades y expectativas de cada uno de ellos.
c. Definición de un plan de acción en función de los resultados obtenidos.
d. Seguimiento de los resultados de las acciones llevadas a cabo.
e. Revisión, al menos cada tres años, del plan de acción (Forética, 2017, p. 14).
La gestión de la diversidad en una organización supone, además de identificar las

distintas formas de diversidad presentes en la compañía, la capacidad de integrarlas
para avanzar hacia objetivos comunes y compartidos y hacer coincidir los valores, la
estructura y los objetivos corporativos con las preferencias y necesidades de las personas
que constituyen la organización.
Para ello, es necesario verificar que en la organización existan los siguientes elementos:
» Diagnóstico de la plantilla en función de sus factores de diversidad.

» Interlocución con representantes de los distintos colectivos para poder detectar las
necesidades de cada uno de ellos.
» Planes de acción asociados a los principales factores de diversidad.
» Evaluación y seguimiento de la situación de los planes propuestos.
La gestión de la diversidad es un compromiso corporativo. Es la estrategia integral

basada en la creación de una población laboral de perfiles diversos en la organización,
con los siguientes objetivos:
» Atraer, retener y potenciar a personas de distintos perfiles (tanto culturales como

étnicos, religiosos, etc.) que pueden aportar innovación, nuevas opciones y puntos de
vista, soluciones creativas y conocimiento de las diversidades culturales y económicas
de los mercados.
» Diseñar inteligentemente el proceso transformacional de la organización para evitar
su obsolescencia y mantener una posición competitiva de liderazgo.

76
» Crear un microclima interno que coincida con la diversidad del entorno externo o
interno de la organización.
» Fomentar un clima que optimice la eficacia del proceso empresarial a través de la
inclusión de todas sus personas.
» Propiciar la innovación a través de mecanismos que dinamicen la interacción entre
personas de diferentes culturas, orígenes y competencias.
» Crear y actualizar productos y servicios que atiendan las nuevas necesidades y
fidelizar a clientes con perfiles cada vez más diversos y con requisitos distintos
dependiendo del país de origen. Si se tiene un equipo de trabajo intercultural será más
fácil entender estas necesidades y satisfacer al cliente.
» Interactuar con proveedores de diferentes regiones, culturas y naturaleza para
incrementar la eficacia en toda clase de suministros.
» Reinventar sistemas y procesos que optimicen todos los recursos financieros y
tecnológicos de la organización en busca de mejores resultados.
» Crear una cultura que haga coincidir los valores y preferencias corporativas con las
prioridades y necesidades de sus empleados y empleadas.
Cuando las empresas emplean los mismos recursos financieros y tecnológicos, la

diferenciación y el éxito están en la eficacia y en el valor añadido con que sus personas
(capital humano) gestionan estos recursos. Y, por supuesto, saber gestionar la
diversidad de sus empleados para que cada uno aporte su propia opinión y sea tenida
en cuenta.
Se entiende por diversidad los perfiles que diferencian a las personas y que tienen un
impacto en el comportamiento grupal. Hay diversidades visibles y diversidades no
visibles que deben gestionarse para potenciar su contribución y reducir conflictos.
El compromiso de inclusión de las diversidades en una organización viene definido

por la capacidad que tiene esta para integrar a todos sus recursos humanos en pro de
avanzar hacia objetivos comunes y compartidos; hacer coincidir los valores, la estructura
y los objetivos corporativos con las preferencias y necesidades diversas de dichos
recursos.
Las organizaciones incluyentes miden su eficacia por la aportación que hacen sus
personas y no por las horas de presencia en la empresa.

77
A continuación, se indican posibles ejemplos de las herramientas de gestión de

diversidad más usadas por las organizaciones:
» Intranet para la plantilla con acceso a todos los documentos relativos a la igualdad y
a la estrategia de la diversidad.
» Formación: idiomas y traducciones.
» Acciones de sensibilización (cursos de formación, vídeos de sensibilización,
programas de acogida) en torno a las políticas de diversidad.
» Canal interno de denuncias.
» Grupos de buenas prácticas para el intercambio de ideas y experiencias.
3.4. Conciliación de la vida personal, familiar y laboral
Conciliación de la vida personal, familiar y laboral (requisito 6.2.4)
La organización debe definir un plan de conciliación de la vida personal, familiar y

laboral en el que se incluyan aquellas acciones que mejor respondan a las necesidades y
expectativas de las personas que trabajan para la Organización. Se ha de informar a todas
las personas de la Organización de dicho plan y mantener un registro de utilización y
resultados de las acciones definidas. Al menos cada tres años, se debe actualizar el plan
en función de los niveles de satisfacción y uso detectados (Forética, 2017, p. 14).
La organización debe implementar medidas que faciliten la conciliación de la vida

personal, familiar y laboral, además de darlas a conocer y promoverlas entre su personal.
La organización evaluará la satisfacción de las personas empleadas frente a las

medidas adoptadas estableciendo los planes de mejora oportunos en función de los
resultados y, al menos, cada tres años.
Debido a la gran variabilidad de organizaciones y sectores, la norma no contempla

políticas específicas para fomentar la conciliación. Estas pueden consistir, a modo de
ejemplo, en premios a la eficiencia, incentivos por maternidad o paternidad, concesión
de permisos ajustados a la realidad personal y familiar de los trabajadores, concesión de
reducciones de jornada o excedencias, movilidad funcional, horarios flexibles de
lactancia o evitar en lo posible reuniones a determinadas horas, previsión de un fondo
para guarderías o canguros en los casos en los que de forma excepcional haya un viaje de

78
fin de semana, servicio de guardaría en las propias instalaciones de las empresas, entre
otras.
Se recomienda que la organización fomente la participación del personal en el

proceso de selección de medidas de conciliación para garantizar que su puesta en marcha
sea efectiva. Posteriormente, se deberá evaluar la satisfacción del personal con estas, por
ejemplo, a través de encuestas anónimas o un buzón de sugerencias. Los resultados y
conclusiones deben ser revisados por el responsable del sistema de gestión ética y
trasladarlo a la alta dirección y que de esta forma se planteen soluciones para resolver
todas las situaciones.
Una medida cada vez más implantada en las empresas y organizaciones, al objeto de
lograr la conciliación familiar-laboral, es el teletrabajo, que es una forma de trabajo
que favorece la movilidad y la flexibilidad.
El teletrabajo utiliza las tecnologías de la información y de la comunicación (TIC) y,

además, el trabajador no necesita desplazarse a un lugar concreto para realizar la
prestación de su servicio, sino que puede trabajar desde cualquier lugar, como su propio
domicilio, telecentros, hoteles, etc.
En este caso, el empresario facilita al trabajador las nuevas herramientas

tecnológicas (ordenador, teléfono móvil, tabletas, acceso a Internet) para que este
desempeñe sus actividades.
Las diferencias con el trabajo habitual son:
» Deslocalización. Permite trabajar desde cualquier lugar (no dispone un lugar fijo de
trabajo).
» Flexibilidad. Permite trabajar en cualquier momento (no requiere un horario fijo de
trabajo).
» Se utilizan siempre las TIC como apoyo.
» En la mayoría de los casos no se conoce personalmente a los empleadores o clientes.
El teletrabajo puede mejorar la productividad del trabajo, así como la autonomía, la

flexibilidad, la satisfacción y el desempeño. También tiene un impacto positivo en la
seguridad y salud laboral porque posee el potencial de aportar impactos positivos como
la mejora de la calidad del trabajo (formación, reducción de los desplazamientos) y

79
además implica la mejora medioambiental, la accesibilidad y la conciliación de la vida de

las personas.
La experiencia de implantación del teletrabajo en la Junta de Comunidades de

Castilla-La Mancha también es importante como ilustración.
«Aprobado el programa de implantación del teletrabajo en la

Administración de la Junta de Comunidades.
»Este Plan de teletrabajo para empleados públicos de la región se iniciará el

próximo 1 de marzo con 30 trabajadores de la Consejería de Presidencia y
Administraciones Públicas, en una primera fase piloto. En tres meses serán 100
y en un año llegará a 500 empleados públicos, quienes podrán realizar parte de
su jornada laboral fuera de su puesto habitual de trabajo, siempre que no se
trate de puestos de atención al público o que requieran de la presencia del
trabajador.
»Los trabajadores que se sumen a esta iniciativa, que será voluntaria, una vez
que la correspondiente Secretaría General Técnica lo autorice, podrán realizar
fuera de su puesto de trabajo hasta el 40 por ciento de su jornada laboral
mensual, lo que supone 56 de las 140 horas mensuales que deben realizar.
»Los requisitos que deberán reunir los empleados públicos que se sumen a esta
iniciativa serán disponer de un espacio en su domicilio o en otro lugar que
cumpla con la normativa de riesgos laborales, tener ordenador y banda ancha,
así como amplios conocimientos sobre ofimática. Estos trabajadores recibirán
los programas necesarios para conectarse al ordenador de su oficina y la
formación correspondiente para su uso y para garantizar la confidencialidad de
los datos que manejen.
»Esta iniciativa forma parte del Plan de Consolidación de las Finanzas y los
Servicios Públicos y también está contemplado en el Plan Concilia, además de
contar con el impulso tanto del Gobierno central como de la Unión Europea para
aplicar las nuevas tecnologías al trabajo y mejorar la eficiencia, el rendimiento
y la motivación de los empleados públicos.
»Los objetivos a cumplir en cada puesto serán evaluados a través de sendos

cuestionarios de satisfacción, para el trabajador y para el responsable de evaluar
la experiencia, y después cada Consejería elevará un informe al órgano
encargado de su coordinación. Este cambio no supondrá ninguna merma ni en
las retribuciones ni en los derechos de los empleados públicos y, en el caso de
que alguno no cumpliera los objetivos marcados, saldrá del programa de
teletrabajo y tendrá que volver a su puesto presencial (Decreto 57/2013, de 16
de agosto).

80
3.5. Diseño y estructura de la organización
Diseño y estructura de la organización (requisito 6.2.5)
La organización ha de mantener actualizado un organigrama en el que se refleje su

estructura. La organización debe aportar información actualizada a todas las personas
sobre sus funciones, responsabilidades y líneas de reporte, así como los parámetros de
evaluación de su desempeño con el objeto de garantizar un trato justo y claro. La
organización se ha de comprometer a introducir paulatinamente objetivos ASG en dicha
evaluación del desempeño (Forética, 2017, p. 14).
Los trabajadores deben conocer con claridad sus responsabilidades y funciones

para poder realizar las tareas asignadas. Por tanto, la organización debe aportar toda la
información necesaria sobre las funciones y las relaciones entre los diferentes niveles de
esta, a través del organigrama.
El organigrama representa la estructura organizacional de una empresa. Es una

herramienta informativa que manifiesta las atribuciones relacionales y las estructuras
jerárquicas de la compañía. Por tanto, es de suma importancia que se encuentre
actualizado para que los integrantes de la organización conozcan la distribución de
jerarquías establecidas, así como las diferentes líneas de reporte y relaciones entre
departamentos, dentro de esta.
Además, la organización tendrá que aportar información sobre el desempeño de

sus trabajadores, de forma que se garantice que sea justa y transparente. Dentro de la
evaluación de dicho desempeño, deberá incluir de forma paulatina los factores
ambientales, sociales y de buen gobierno (ASG) que no son estáticos, sino que van
cambiando y evolucionando en función del entorno económico y social en el que se
mueve la empresa a lo largo de su actividad.

81
3.6. Seguimiento del clima laboral
Seguimiento del clima laboral (requisito 6.2.6)
La organización debe llevar a cabo una evaluación del clima laboral, al menos cada tres
años, analizando los resultados y poniendo en marcha los mecanismos necesarios para
su mejora continua (Forética, 2017, p. 15).
La evaluación y gestión del clima laboral es un componente esencial para la

correcta gestión. Una organización responsable debe tener evaluado su clima laboral. La
norma SGE 21 no establece ningún modelo de evaluación específico, por lo que la
organización puede optar por cualquier sistema, siempre y cuando ofrezca información
comparable a lo largo del tiempo. Entre otros sistemas, se pueden realizar encuestas de
clima laboral.
Esta medida activa de seguimiento del clima laboral se hará al menos cada tres años e irá
acompañada de un informe de análisis y mejora. La organización podrá realizar un
seguimiento pasivo a través de la evaluación de los siguientes aspectos, desglosados por
edad, sexo, nivel de estudios y su posición en la organización.
» Rotación del personal.

» Registro de absentismos, recogiendo entre otros aspectos la periodicidad y las causas
alegadas.
» Registros de despidos indicando las causas que los motivaron.
» Registro de bajas voluntarias.
» Registro desglosado de bajas por enfermedad y por causa.
Por tanto, el desarrollo organizacional (DO) ha adquirido gran importancia dentro de las
organizaciones porque puede modificar el comportamiento tanto del individuo como de
la organización con unos resultados favorables, esto se debe a que el recurso humano es
la clave para el éxito o fracaso de cualquier empresa, comenzando por adecuar la
estructura organizacional (organigrama), siguiendo por una eficiente conducción de los
grupos de trabajo (equipos y liderazgo) y desarrollando relaciones humanas que
permitan prevenir los conflictos y resolverlos rápida y oportunamente cuando se tenga
indicios de su eclosión.

82
Para la resolución de ese tipo de conflictos en el área laboral, el DO cuenta con objetivos
planteados como los siguientes:
» Aumentar el nivel de confianza y apoyo entre los miembros de la organización.

» Aumentar la confrontación de los problemas empresariales en el interior de los
grupos.
» Crear un adecuado clima laboral.
» Incrementar una buena comunicación entre el personal de la organización.
» Incrementar el nivel de entusiasmo y satisfacción personal en la empresa.
» Incrementar la responsabilidad individual y la responsabilidad grupal en la
planeación y la implementación.
» Buscar diferentes soluciones a los conflictos que se generan en la empresa.
Las etapas principales del DO, tal y como se recoge en la web de recursos humanos,
son las siguientes (Gestión Empresarial, s. f.):
» Diagnóstico inicial: los consultores en desarrollo organizacional trabajan con los

gerentes para determinar por qué la productividad es baja o por qué los empleados
están insatisfechos. La realización de reuniones con la alta gerencia y las entrevistas
con los gerentes de nivel medio ayudan a definir la situación actual de la organización.
Una vez que los consultores identifican el tipo general de problema, puede diseñarse
un proceso más formal para la recopilación de datos.
» Recopilación de datos: se recopilan y analizan todos los datos necesarios para

detectar posibles áreas problemáticas en departamentos específicos. Esta etapa
engloba la realización de encuestas mediante cuestionarios y discusiones en grupo,
con características organizacionales específicas tales como:
o La satisfacción en el puesto.
o Estilo de liderazgo.
o El ambiente laboral que percibe el trabajador.
o La descentralización.
o El estado de participación de los empleados en la toma de decisiones.
» Intervención: requiere la capacitación necesaria para resolver los problemas

identificados por los consultores. Esta etapa puede incluir un retiro que dura de tres
a cinco días durante el cual los empleados pueden analizar cómo crear un mejor
ambiente, puede requerir la retroinformación a un departamento específico en

83
relación con la satisfacción en los puestos o puede incluir una capacitación específica
en áreas de motivación de liderazgo que fueron identificadas como problemáticas.
También incluye el mantenimiento de las nuevas conductas deseadas, el cual puede
lograrse a través del establecimiento de un grupo de trabajo interno para controlar el
desempeño y realizar encuestas de seguimiento para no fracasar en los objetivos
deseados.
Gestión empresarial (s. f.). ¿Qué es el desarrollo organizacional y cuáles son sus etapas y
técnicas? [en línea]. Recuperado de http://www.rrhh-
web.com/Desarrollo_organizacional.html
Más información sobre este aspecto y otros relacionados con las personas que integran
la organización se puede visualizar en la página web de Great Place to Work:
Great Place to Work. Pagina web oficial. http://www.greatplacetowork.es/
3.7. Seguridad y bienestar en el trabajo
Seguridad y salud laboral (requisito 6.2.7)
La organización debe garantizar la salud y el bienestar de todas las personas que trabajan
en la organización o en nombre de ella, para ello debe:
a. Llegar a cabo un diagnóstico de riesgos laborales para las instalaciones y los distintos
puestos de trabajo, incluyendo los riesgos psicosociales.
b. Implementar las mejoras necesarias para garantizar un lugar de trabajo seguro y
saludable a través de un plan de acción anual con objetivos concretos.
c. Dar formación a todos los empleados y personas que trabajen en nombre de la
organización sobre los temas de ergonomía, salud laboral, seguridad e higiene y
hábitos de vida saludable que se apliquen en cada caso.
d. Facilitar información de seguridad de las instalaciones a las personas que desarrollen
alguna actividad en las mismas (Forética, 2017, p. 15).
La organización demostrará que garantiza la salud y seguridad de sus empleados

fomentando una auténtica cultura de prevención, integrándola e implantándola a
todos los niveles jerárquicos de la organización.

84
Para ello, se sugiere que establezca y documente las bases de un sistema preventivo a fin
de asegurar la integridad física y psicológica de las personas que trabajan para la
organización y aquellas inherentes a sus propias instalaciones.
La organización, tomando como base el cumplimento de la legislación en materia de

prevención, debería evidenciar una gestión activa en materia de prevención de riesgos
que incluya los siguientes aspectos:
» Un diagnóstico de situación.
» Designación de un responsable de PRL (prevención de riesgos laborales) o de
seguridad y salud en el trabajo.
» Establecimiento de un plan de acción con objetivos y metas alcanzables y realistas con
la situación actual de la organización. Evaluación de riesgos identificados en cada uno
de los puestos de trabajo, aplicando la metodología adecuada en cada caso.
» Investigación de incidentes, accidentes laborales y enfermedades profesionales, sean
cuales fuere su carácter o calificación (leves, graves, muy graves o mortales).
» Orientación de mejora continua.
» Información de los riesgos generales y formación específica de los riesgos inherentes
a cada puesto de trabajo. Se deben impartir cursos para indicar a cada trabajador los
riesgos a los que está expuesto y, además, formarle sobre formas de trabajo seguro,
tipos de medidas a implantar de tipo técnico, organizativo, de protección individual o
colectiva, para eliminar o minimizar dichos riesgos. También cada trabajador tiene
que saber, conocer y disponer de los equipos de protección adecuados para realizar su
tarea, así como la forma de utilizarlos correctamente.
» Tener en cuenta todo tipo de riesgos, incluidos los riesgos psicosociales
(principalmente mobbing o acoso laboral, el bullying o acoso entre iguales, acoso
sexual y el síndrome de burnout o síndrome del quemado, así como el estrés laboral).
Estos riesgos también hay que detectarlos y establecer las acciones pertinentes para
su eliminación.
La organización podrá evidenciar el cumplimiento de este apartado si dispone de un

sistema de gestión de seguridad y salud en el trabajo implantado y verificado por una
tercera parte, es decir, certificado por una entidad acreditada para ello. Actualmente,
puede optar por implantar y certificarse en OHSAS 18001:2007, el estándar de
evaluación reconocido internacionalmente para sistemas de gestión de la salud y la
seguridad en el trabajo.

85
3.8. Formación y fomento de la empleabilidad
Formación y fomento de la empleabilidad (requisito 6.2.8)
La organización ha de evaluar periódicamente las necesidades de formación,

estableciendo los programas necesarios para que los empleados actualicen y desarrollen
sus competencias, de acuerdo con los objetivos generales de la organización (Forética,
2017, p. 15).
El objetivo de la formación debe responder siempre al interés de la persona y a las

necesidades de la organización. El plan de formación es la herramienta con la cual la
organización gestionará no solo las necesidades actuales y futuras en habilidades y
conocimientos de su personal, sino también el plan de carrera individual.
El desarrollo profesional debe basarse en el reconocimiento de los méritos y

capacidades del empleado medidos periódicamente mediante evaluaciones objetivas.
Siempre que sea posible, la organización deberá establecer planes de mejora profesional
que contribuyan a su desarrollo o el de su entorno laboral.
La organización hará un seguimiento a las necesidades formativas de todo el personal,

incluyendo el personal expatriado y quienes trabajen desde el domicilio o con actividad
laboral de teletrabajo, facilitando el acceso a los planes que eviten la obsolescencia
técnica de la persona y velando, en caso de personal desplazado, por su reubicación en el
lugar de origen.
Toda la plantilla debe recibir información sobre los siguientes aspectos:
» El contenido y la necesidad de cumplir la política de responsabilidad social y el código

de conducta.
» Las consecuencias de una conducta irresponsable (para la organización y para la
persona que incumple la política de responsabilidad social y el código de conducta).
En tal caso, se comprobará la existencia en la organización de algún tipo de
reglamento de régimen interior o normas relativas al «régimen disciplinario»
complementarias a las establecidas por el convenio colectivo, encaminadas al
establecimiento de «premios», «faltas» y «sanciones».

86
» Las funciones y responsabilidad que cada persona de la organización tiene en el

sistema de gestión ética y socialmente responsable (puede estar incluido como se ha
comentado en la descripción del puesto de trabajo).
» Temas concretos vinculados a la responsabilidad social que formen parte de sus
competencias profesionales (por ejemplo: políticas de igualdad y no discriminación
para gestores de RRHH, criterios de selección de proveedores o compras responsables
para departamento de compras, etc.).
En este apartado vamos a proponer un ejemplo para el desarrollo de un análisis

de detección de necesidades formativas (Barraza y Gutiérrez, 2005).
Este análisis tiene como objetivo principal el estudio de las necesidades formativas que
muestra el personal, de modo que la formación realizada repercuta directamente en la
competitividad y en el retorno de la inversión de la empresa.
El proceso de detección de las necesidades de formación se obtiene por la diferencia entre

los requerimientos de formación, es decir, los conocimientos, habilidades y actitudes (las
competencias) que necesita la empresa u organización de que se trate y los que realmente
tiene el personal de esta.
A esto hay que añadir el potencial de desarrollo de estas personas para aumentar sus
posibilidades de promoción y desarrollo profesional.
Para la realización del análisis de necesidades formativas existen diversas herramientas

para realizarlo, que se pueden utilizar por separado, o de manera conjunta, dependiendo
de las circunstancias. El proceso del análisis de necesidades formativas se plantea en
diferentes etapas, dependiendo de las características y necesidades de cada empresa. El
proceso estándar es el siguiente, aunque puede ser modificado e incluso realizado en su
modalidad a distancia:
1ª etapa. Entrevista con el responsable de formación

» Objetivos:
o Conocer la política de formación y de RR. HH. de la empresa.
o Examinar los planes formativos de los 2 últimos años y sus evaluaciones.
2ª etapa. Definición de fuentes de información

» Objetivos:

87
o Examinar la descripción de puestos de la empresa y los documentos de gestión por

competencias.
o Determinar qué instrumentos utilizar para la recogida de información.
o Elaborar un cronograma adecuado a las actividades cotidianas de la empresa.
3ª etapa. Recogida de información

» Objetivo: elaboración y aplicación de cuestionarios a los trabajadores.
4ª etapa. Análisis de resultados y propuesta de mejora

» Objetivos:
o Elaborar conclusiones del análisis.
o Establecer posibles acciones de mejora del nivel formativo de los trabajadores, a
nivel empresarial y en la propia gestión del desempeño y el plan de carrera de cada
empleado.
5ª etapa. Plan de Formación Interno

» Objetivo: establecimiento del índice de satisfacción del cliente interno.
3.9. Reestructuración responsable
Reestructuración responsable (requisito 6.2.9)
En caso de reestructuración, la Organización ha de tener en cuenta las necesidades,

intereses y demandas de las partes afectadas por el proceso, reduciendo en la medida de
lo posible los impactos negativos asociados (Forética, 2017, p. 15).
Siendo absolutamente legítimo el cierre total o parcial de centro de trabajo aunque no

sea deficitario, la norma SGE 21 reconoce la necesidad de establecer planes de
contingencia en caso de que sea necesaria la reestructuración de una organización.
Por ello se exige que, siempre y cuando sea posible, se realice un plan estratégico de
reestructuración en el que se evalúen los impactos derivados de reducciones de jornada
laboral, despidos y cese de actividad y en el que se establezcan cauces para minimizar
tales impactos sobre los trabajadores afectados.

88
El plan debería abordar de manera específica lo siguiente:
» Transparencia informativa a todos los trabajadores de la empresa, sobre su situación

financiera y competitiva y otros aspectos de interés.
» Desempleo y reubicación de la plantilla. ¿Cómo afrontarlo?
» Cooperación con administraciones públicas para el fomento de actividades
alternativas para la comunidad local, como pueden ser cursos de formación,
posibilidad de reubicación en otras empresas, etc.
» Las decisiones de continuidad de la relación laboral se tomarán teniendo en cuenta el
desempeño de los empleados y también su edad y posibilidades de reubicación. La
extinción de las relaciones laborales será justificada y no discriminatoria, es decir, no
se puede, en igualdad de condiciones, despedir a trabajadores por sexo, edad, raza,
cultura, etc. En caso de necesidad de una disminución de la plantilla, se recomienda
que el proceso sea negociado con los propios trabajadores o sus representantes.
La responsabilidad de la organización con su personal no se debe limitar a la relación

contractual, pues la gestión de la ética organizacional requiere una preocupación y
atención del trabajador como ser social o parte de la organización.
Desde esta perspectiva, la organización debe procurar condiciones adecuadas para el

ingreso, estancia y salida de su personal. Por tanto, debe planear, desarrollar y
monitorear programas para brindar asistencia técnica oportuna para la desvinculación
de su personal en caso de reestructuración o jubilación, de tal forma que la experiencia
sea lo menos traumática posible para las personas afectadas y para el resto de la plantilla.
Frente a una situación de reestructuración se recomienda que la organización emprenda

acciones en relación a los impactos que conlleva para la persona su retiro de la actividad
laboral, considerando los siguientes aspectos:
» Aspectos emocionales. Convendría emprender actividades para brindar apoyo

para la asimilación de la nueva situación y reafirmación de la autoestima del personal
en retiro, a través de programas de desvinculación laboral que contemplen diferentes
aspectos (recreativos, formación, etc.) y atención psicológica en caso de que fuera
necesario.
» Aspectos ocupacionales. Se brindaría, si fuera necesario, información útil sobre

otras posibilidades laborales que la persona puede encontrar en el mercado, áreas

89
laborales potencialmente accesibles y servicios para la intermediación laboral como

las bolsas de empleo. También es importante preparar a la persona para abordar sus
nuevas opciones laborales con estrategias adecuadas para la búsqueda de empleo,
rediseño de su hoja de vida para que tenga un mayor impacto y preparación para
presentar entrevistas laborales y exámenes de manera exitosa. Para ello, puede
colaborar con las administraciones públicas o gobiernos. Es recomendable que se
planteen alternativas, en la medida de sus posibilidades, para ofrecer nuevas formas
de vinculación laboral a través de nuevos proyectos, otras áreas de la organización,
apertura de otras sedes o que prepare a su personal para emprender nuevas
actividades ocupacionales como persona independiente, a través de formación para el
emprendimiento de negocios. También debería, en caso necesario, enviar cartas de
recomendación y el motivo de su cese en la empresa a todas las ofertas laborales a las
que el empleado se presente. Por todo ello, se tiene que establecer una comunicación
fluida y establecer canales idóneos de comunicación con los empleados afectados por
esta situación.
» Aspectos financieros. Debería velar por el bienestar del personal, ya sea que se
encuentre recién introducido a la actividad o pronto a salir de ella. Por ello, en el
contexto de la desvinculación, la organización debería diseñar estrategias para
fomentar el ahorro en su plantilla y formarle para ello, ofrecer facilidades para que las
personas desvinculadas puedan acceder a créditos para empezar nuevas iniciativas de
negocio y promover formas de asociación cooperativa para quienes se encuentren en
situaciones similares, con el objeto de emprender actividades de ocupación (laboral,
recreativa, de formación, etc.) de manera conjunta y solidaria o de proveerse de los
recursos y las herramientas necesarias para adaptarse al nuevo estilo de vida. La
empresa debería buscar y asesorar a los trabajadores acerca de nuevas oportunidades
de negocio y facilitarles toda la ayuda y apoyo.
» Aspectos familiares. Se ofrecería apoyo a las familias del personal desvinculado

para que conozcan su rol para superar los impactos negativos de esta situación, que
en ninguno de los casos será fácil de llevar.
Para más información acerca de cómo afrontar estas situaciones se puede visitar el
siguiente enlace.
FUNDIPE (s. f.). Mejores prácticas sobre redimensionamiento empresarial. Recuperado

de http://fundipe.es/archives/REDIMENSIONAMIENTO.pdf

90
Barraza, A. y Gutiérrez, D. (2005). Técnicas e instrumentos para la detección de

necesidades de formación docente. VIII Congreso nacional de investigación educativa.
CSI (2008). Carta de derechos de la mujer trabajadora. Recuperado de http://www.ituc-

csi.org/IMG/pdf/ITUC-charteA6ESP-WEB.pdf
Decreto 57/2013, de 12 de agosto de 2013, por el que se regula la prestación de servicios

de los empleados públicos en régimen de teletrabajo en la Administración de Junta de
Comunidades de Castilla-La Mancha. Diario Oficial de Castilla-La Mancha, año XXXII,
núm. 158, pp. 22760-22763.
EU-OSHA (2018). Las mujeres y la seguridad y salud en el trabajo. EU-OSHA.

Recuperado de https://osha.europa.eu/es/priority_groups/gender/index_html
Forética (2017). SGE 21. Sistema de gestión ética y socialmente responsable. Madrid:
Forética.
Gámez, M. (3 de agosto de 2016). Orange recibe el Distintivo de Igualdad en la Empresa

por parte del Ministerio de Sanidad, Servicios Sociales e Igualdad [entrada en línea].
Recuperado de http://blog.orange.es/responsabilidad-social-corporativa/orange-
igualdad-empresa/
OIT (1930). Convenio sobre el trabajo forzoso (C29). Recuperado de

https://www.ilo.org/dyn/normlex/es/f?p=NORMLEXPUB:55:0::NO::P55_TYPE,P55_
LANG,P55_DOCUMENT,P55_NODE:CON,es,C029,/Document
OIT (1951). Convenio sobre igualdad de remuneración (C100). Recuperado de

https://www.ilo.org/dyn/normlex/es/f?p=NORMLEXPUB:12100:0::NO::P12100_INS
TRUMENT_ID:312245
OIT (1957). Convenio sobre la abolición del trabajo forzoso (C105). Recuperado de
https://www.ilo.org/dyn/normlex/es/f?p=NORMLEXPUB:12100:0::NO::P12100_ILO
_CODE:C105

91
OIT (1973). Convenio sobre la dudad mínima (C138). Recuperado de

https://www.ilo.org/dyn/normlex/es/f?p=NORMLEXPUB:12100:0::NO::P12100_ILO
_CODE:C138
OIT (1989). Convenio sobre pueblos indígenas y tribales (c169). Recuperado de

TRUMENT_ID:312314
OIT (1999). Convenio sobre las peores formas de trabajo infantil (C182). Recuperado de
TRUMENT_ID:312327
ONU Mujeres (2012). Diseñe el contenido de la capacitación sobre la base de las mejores
prácticas. ONU Mujeres. Recuperado de http://www.endvawnow.org/es/articles/1079-
disene-el-contenido-de-la-capacitacion-sobre-la-base-de-las-mejores-practicas.html

92
Capítulo 4
Clientes, proveedores y
cadena de suministro
93
Capítulo 4: Clientes, proveedores y cadena de suministro
4.1. Innovación responsable
Las organizaciones están orientadas hacia el cliente, ya que es él quien permite la

supervivencia de aquellas. Por ello, la norma SGE 21 contempla un apartado relativo a
los requisitos exigibles con respecto al trato con el cliente (apartado 6.3 norma SGE 21).
Innovación responsable (requisito 6.3.1)
La organización debe proporcionar productos y servicios responsables y competitivos.

Para ello, ha de incluir en el diseño y desarrollo, criterios ambientales, sociales y de buen
gobierno (ASG), fomentando la innovación responsable (Forética, 2017, p. 16).
Los clientes demandan cada vez más mayores cotas de calidad en los productos y
servicios responsables, adquiridos. Esta creciente exigencia requiere, por parte de las
organizaciones, mayores esfuerzos para fomentar la investigación e innovación
responsable (RRI, responsible research, innovation).
A modo de ejemplo se muestra a continuación un extracto de la definición de los pilares

de innovación responsable de L´Oreal, empresa francesa de cosmética y belleza.
Los pilares de una innovación responsable
Los equipos de investigación e innovación de L’Oreal aplican a diario los principios de

innovación sostenible y responsable. Escuchando las expectativas de los consumidores,
se comprometen a la búsqueda de la belleza ética que respete la diversidad. En sus
actividades de investigación, el grupo está especialmente atento a cinco áreas: salud
humana (empleados, consumidores, profesionales), protección medioambiental, ética,
comercio justo y sensibilidad al impacto social y empresarial de la innovación.
Los pilares son una prioridad absoluta: la seguridad de los productos, respecto por el
medioambiente, la ciencia y la ética avanzan juntas, hacia unas compras más justas e
innovación adaptada a la diversidad mundial.
Accede al artículo a través de la siguiente dirección web:

https://www.loreal.com/es-es/spain/

94
La investigación y la innovación se han convertido en actividades que requieren la

participación de todo el entorno social.
La RRI (Responsible Research & Innovation o investigación e innovación responsables)

hace referencia a que durante todo el proceso de investigación e innovación se tenga en
cuenta la sostenibilidad con el fin de alinear mejor los procesos y sus resultados con los
valores, necesidades y expectativas de la sociedad. Para favorecer su implantación, se
deben contemplar criterios como la ética y la gobernanza, la educación científica, la
participación pública en la ciencia, la igualdad de género en la investigación, el acceso
abierto a la divulgación de los resultados, etc.
El término RRI es impulsado por la Comisión Europea dentro del programa Horizonte
2020 para agrupar la relación entre la investigación y la innovación con la sociedad. La
RRI referencia a que los diferentes actores provenientes de la investigación, la gestión y
la administración, la empresa y los negocios, la educación y la sociedad, cooperen
durante todo el proceso de investigación e innovación, con el objetivo de alinear sus
resultados con los valores y necesidades de la sociedad (Reglamento (UE) n.º 1291/2013,
de 11 de diciembre de 2013).
Al fin y al cabo, la innovación responsable es aquella innovación que realiza una

contribución a la sostenibilidad. Es decir, aquella que hace una aportación positiva a
los factores económicos, ambientales y sociales.
Como ejemplos de productos y servicios de innovación responsable citamos los

siguientes:
» El coche eléctrico: se impulsa por un motor alimentado por electricidad.

o Factor económico. El repostaje y el mantenimiento del vehículo se reduce.
o Factor social. Mejora la salud y calidad de vida de la sociedad.
o Factor medioambiental. Contribuye a reducir las emisiones de dióxido de carbono
y de otros contaminantes producidos por la actividad del transporte y también los
niveles de ruido en las carreteras y ciudades.
» Nuevos productos y sistemas de inteligencia en la fabricación de coches:
o Factor económico. Más baratos.
o Factor social. Mejora la salud, evitando los posibles daños que pueden utilizar
metales pesados utilizados, como el plomo, el cadmio y el mercurio.

95
o Factor medioambiental. Reutilización de los productos al ser reciclables, aligerar

el peso de los vehículos lo que supone un menor impacto para el medioambiente,
reducción de emisiones.
En el siguiente enlace se puede descargar un documento de Forética donde se hace un

análisis de lo que es la innovación responsable y lo que aporta a las empresas, así como
diferentes ejemplos de innovación responsable.
Forética (s. f.). Innovación responsable. Recuperado de https://foretica.org/wp-

content/uploads/publicaciones/investigaciones-
tematicas/estudio_innovacion_responsable.pdf
I+D+i
La norma SGE 21 establece que la organización debe incluir en la elaboración del

producto o servicio criterios ambientales, sociales y de buen gobierno (ASG). Por tanto,
debido a esa creciente demanda de una mayor calidad en los productos y servicios por
parte de los clientes, se hace preciso que la organización evalúe periódicamente la
satisfacción de estos, para posteriormente analizar esos niveles de calidad alcanzados y,
en su caso, realizar las medidas de mejora oportunas.
AENOR ha desarrollado la familia de las normas UNE 166000, las cuales surgieron en
el año 2002 en colaboración con el Ministerio de Ciencia y Tecnología y de la asociación
SERCOBE, con el ánimo de fijar criterios acerca de las actividades de I+D+i y su gestión.
Dichas normas describen el proceso de innovación de las organizaciones. Se

pretende proporcionar directrices para planificar, organizar, ejecutar y controlar las
actividades de I+D+i y poder facilitar un reconocimiento en el mercado a las
organizaciones innovadoras.
La investigación, el desarrollo tecnológico y la innovación en un país son factores críticos

para determinar su crecimiento económico, el nivel de bienestar y su competitividad.
Resultan además de gran importancia para la supervivencia de las organizaciones, ya que
contribuyen a situarlas en una posición adecuada para afrontar los nuevos desafíos que
surgen en un mercado globalizado.

96
La certificación de actividades de I+D+i que realiza AENOR permite sistematizar las

actividades de investigación, desarrollo e innovación, beneficiarse de importantes
deducciones fiscales, reducir la incertidumbre y aumentar la eficiencia en la gestión.
UNE 166000 Terminología y definiciones de las actividades de I+D+i

UNE 166001 Gestión de I+D+i. Requisitos de un proyecto I+D+i
UNE 166002 Gestión de I+D+i. Requisitos del sistema de gestión de I+D+i
UNE 166006 Gestión de I+D+i: Sistema de vigilancia tecnológica e inteligencia competitiva
UNE 166008 Gestión de I+D+i: Transferencia tecnológica
Tabla 1. Normas UNE.
Accede a las normas o comentarios sobre ellas a través de la Biblioteca Virtual de UNIR
4.2. Calidad y excelencia
En todo el proceso de prestación del servicio o elaboración del producto, deben estar
presentes la calidad y la excelencia para garantizar la satisfacción del cliente.
Calidad y excelencia (requisito 6.3.2)
La organización ha de garantizar que su actividad se desarrolla de acuerdo a los altos

estándares de calidad. Para ello, la organización debe llevar a cabo las siguientes
actuaciones:
a. Hacer público el compromiso del máximo órgano responsable en materia de calidad.
b. Entregar información a todas las personas que trabajan en la organización y en
nombre de ella sobre los principios de calidad definidos, siendo necesaria formación
en aquellos perfiles en los que debido a la tarea que desempeñen tengan una mayor
incidencia en la calidad del producto o servicio suministrado por la organización.
c. Realizar evaluaciones de la satisfacción de los clientes, análisis de los resultados y
elaboración de planes de acción para la mejora.
d. Disponer de un sistema para admitir, tramitar y registrar reclamaciones e incidencias
que registre las causas, las respuestas y el tratamiento dado para su resolución. En
caso de registrarse defectos o fallos una vez entregado el producto o servicio, se ha de
informar al cliente y llevando las medidas de reparación o reposición necesarias
(Forética, 2017, p. 16).

97
Es recomendable haber implantado previamente un sistema de gestión de la

calidad y que haya sido certificado por una entidad acreditada. Con esta práctica, se
asegura la evidencia de cumplir los requisitos establecidos en el punto 6.3.2 de la norma
SGE 21. En el caso de que la organización no tenga implantado ni certificado un sistema
de gestión de calidad, al menos es interesante conocer y desarrollar la información
documentada de un sistema de calidad, como pueden ser, entre otros, los siguientes:
» Política o declaración de intenciones de la dirección, que manifiesta su compromiso

en materia de calidad.
» Control de los procesos, productos y servicios suministrados externamente
(productos subcontratados).
» Riesgos y oportunidades.
» Ventas.
» Orientación al cliente.
» Seguimiento del grado de satisfacción del cliente, por ejemplo, con encuestas
individuales.
» Detección de no conformidades. Mediante auditorías o resultados de encuestas.
» Diseño de planes de acciones correctivas y preventivas en caso de que se detecten no
conformidades.
» Control de proveedores. Se tiene que vigilar o analizar desde el principio que la
materia prima solicitada cumple con los requisitos de calidad exigidos.
» Mejora continua.
Para profundizar más en aspectos relacionados con la gestión de la calidad se puede

acudir a la asignatura del Máster referida al ámbito de la calidad, así como en las
siguientes páginas web.
» Sistema de Gestión de la Calidad, ISO 9001

(https://www.iso.org/obp/ui/#iso:std:iso:9001:ed-5:v1:es).
» Modelo de gestión de la excelencia EFQM (http://www.efqm.es/).
En un mercado cada vez más globalizado, la calidad es un factor estratégico

imprescindible. Desde su creación en 1986, AENOR trabaja intensamente para extender
la cultura de la calidad entre el tejido económico. AENOR ha contribuido notablemente
a que hoy España se encuentre en las primeras posiciones del ranking de los países con
empresas certificadas en el sistema de gestión de la calidad ISO 9001 a nivel mundial.

98
Además de la norma ISO 9001, existen certificaciones en otras normas de sistemas de

gestión que atienden las necesidades específicas de sectores. Entre estos se encuentran
el aeroespacial, la automoción o las certificaciones relacionadas con la calidad del
servicio en distintos tipos de establecimientos turísticos o en pequeños comercios. El
sector servicios cada vez hace un uso más extensivo de las ventajas de la certificación.
AENOR (s. f.). Certificación de calidad. El mejor aliado de la competitividad [en línea].
Recuperado de
http://www.aenor.es/aenor/certificacion/calidad/calidad.asp#.VMj88SxGT-l
4.3. Información responsable de productos y servicios
Información responsable de productos y servicios (requisito 6.3.3)
La organización debe presentar en todo momento una información clara y honesta de

sus productos y servicios en las comunicaciones con sus clientes. Para ello ha de
supervisar y garantizar que se cumplan los siguientes aspectos:
a. Identificación clara e inequívoca del producto o servicio.
b. Oferta comercial, incluyendo precio completo y condiciones tanto de pago como de
entrega.
c. Especificaciones técnicas del producto o servicio en lo que se refiere a
recomendaciones, riesgos o impactos sobre la salud, la seguridad y el medioambiente,
así como las condiciones de uso y conservación (Forética, 2017, p. 17).
La organización debe garantizar y supervisar que se cumplan los siguientes aspectos

durante todo el proceso de relación con los diferentes clientes:
» Información clara y transparente que permita identificar el producto en términos

generales. Habitualmente, se recoge en un catálogo.
» Oferta comercial que incluya el precio, impuestos a pagar, promociones, descuentos
en vigor, condiciones de gastos de envío o cualquier otro gasto en los que tenga que
incurrir el cliente, condiciones de entrega, etc. En el caso de que no exista presupuesto
previo, servirá como evidencia la existencia de catálogos o listas de precios, así como
en el caso de venta al detalle, etiquetas indicativas del precio, en el propio producto o
en el lugar donde se exhiba.

99
» Condiciones de garantía, canje o devolución antes de tomar la decisión de compra. La

garantía se debe indicar si fuera reparable, sustituible o reembolsable ante un
incumplimiento de los requisitos del producto o servicio o por razones de seguridad.
También se debe dejar claro que en el caso de que hubiera un defecto de fabricación o
diseño, quedaría cubierto por la misma.
Además, las organizaciones, como responsables de sus productos y servicios deben

informar a los clientes de los posibles impactos que pueden generar. Por ello,
deberán de informar de aspectos relacionados con la seguridad y la salud, el
medioambiente, su uso y conservación, etc.
Se puede partir de la norma ISO 9001:2015 para desarrollar el protocolo o recurrir a

certificaciones específicas de producto que, en función del sector, pueden resultar
interesantes (por ejemplo: alimentación, productos farmacéuticos o cosméticos o
productos electrónicos con buen etiquetado y la información adjunta a la etiqueta y con
indicaciones lo más específicas posibles y con un tamaño de letra legible).
Un ejemplo de ello lo encontramos en la empresa BRP, que tiene como lema: «La
seguridad es lo primero».
BRP: «La seguridad es lo primero»
«Nos comprometemos a proporcionar productos seguros y en cumplimiento con la

normativa y las leyes aplicables establecidas para la protección de los consumidores. De
forma específica, BRP se compromete a las acciones siguientes:
» La integración de principios de seguridad de productos de aceptación general en los
procesos de diseño, ingeniería, pruebas, fabricación, marketing y servicios posventa.
» Aplicación de metodologías vanguardistas con referencia a la evaluación de la
seguridad de los productos.
» La provisión de información de seguridad de productos clara y precisa a nuestros
clientes.
» La realización de las investigaciones apropiadas y oportunas, y la aplicación de las
acciones correctivas necesarias».
La información está disponible en la siguiente dirección web:

https://www.brp.com/es/responsabilidad-corporativa/responsabilidad-del-
producto.html

100
4.4. Acceso a productos y servicios
La organización ha de analizar los diferentes tipos de clientes actuales y potenciales,

consumidores de sus productos y usuarios de sus servicios por dos objetivos
fundamentales:
a. Detectar y gestionar los elementos que dificultan o impiden el correcto acceso a dichos
productos y servicios.
b. Identificar y gestionar los riesgos derivados del uso del producto o servicio que
puedan suponer un impacto no deseado en públicos vulnerables.
En función de dicha identificación se debe definir, implementar y dar seguimiento a
acciones concretas encaminadas a mejorar el acceso de los clientes a dichos productos y
servicios (Forética, 2017, p. 17)
La organización promoverá la accesibilidad global en sus productos, servicios e

instalaciones a través de la identificación, puesta en marcha y seguimiento de acciones
concretas.
Por accesibilidad global vamos a hacer referencia a las actuaciones de la empresa para
hacer más fácil el acceso a su información, a las instalaciones, a sus productos y
servicios, por parte de las partes interesadas de la empresa o sus grupos de interés.
También supone tener en cuenta la inclusión de las minorías en función de la

diversidad, como puede ser la educación, la capacidad económica, las minusvalías, la
edad, etc. Se establece así la mejora en el diálogo y el desarrollo de relaciones
comerciales.
Mediante la implantación y certificación de la UNE-EN 170001-1: 2007, la

organización puede realizar un estudio de accesibilidad conforme a los requisitos DALCO
(deambulación, aprehensión, localización y comunicación), conceptos del nuevo término
de «accesibilidad universal» y «diseño para todos».
» Deambulación:
o Iluminación.
o Pavimentos (uniformidad, deslizamiento).
o Espacio de maniobra (dimensiones, obstáculos, mobiliario, apoyos o ayudas y
asientos).
o Zonas de circulación (dimensiones, obstáculos puertas, elementos de cierre).

101
o Cambios de plano (escaleras, rampas, ascensores, escaleras y rampas mecánicas).
» Aprehensión:
o Alcance (todo al alcance del usuario).
o Accionamiento (los elementos de acción manual no deben ofrecer una resistencia
excesiva al usuario).
o Agarre (ayudas técnicas, de apoyo y agarre adecuadas).
o Transporte (facilitar el transporte de objetos con los medios adecuados).
» Localización:
o Señalización (facilitar la orientación del usuario y la identificación y localización
de lugares y objetos).
o Otros medios de localización (información para la localización).
» Comunicación:
o Comunicación no interactiva (señales panel, otros medios gráficos, señales
luminosas, señales acústicas, señales táctiles).
o Comunicación interactiva (consultas ordenador, lector óptico, línea braille, etc.).
En el siguiente enlace se puede obtener información sobre el proyecto de accesibilidad

que ha llevado a cabo la empresa Gas Natural con la finalidad de que la información
suministrada a través de su página web corporativa sea de acceso universal, a través de
varias mejoras llevadas a cabo.
Naturgy (s. f.). Accesibilidad [en línea]. Recuperado de

https://www.naturgy.es/es/otros+canales/1297147964780/accesibilidad.html
4.5. Publicidad y marketing responsable
Publicidad y marketing responsable (requisito 6.3.5)
La organización debe establecer los principios que han de guiar sus acciones de
publicidad y marketing en lo que respecta a la promoción del producto o servicio. Estos
principios deben considerar, al menos, los siguientes aspectos:
a. Protección de públicos vulnerables.
b. Obtención y custodia responsable de datos personales.

102
c. Criterios responsables de selección de elementos de marketing, incluidos materiales

o desarrollo de eventos.
d. Relación con los medios de comunicación.
e. Lenguaje y tono de las comunicaciones.
En caso de incumplimiento de dichos principios, se han de mantener evidencias del tipo
de incumplimiento, alcance de este y acción llevada a cabo para resolverlo (Forética,
2017, p. 18).
La organización debe llevar a cabo acciones de publicidad y marketing responsable,

considerando aspectos que tengan en cuenta la protección de colectivos vulnerables, la
legalidad en la obtención de datos de posibles clientes, la relación con los medios de
comunicación, la selección de elementos de marketing responsable, la forma de
comunicarse, etc. En caso de incumplimiento, se deben mantener evidencias de este, así
como del alcance y las acciones que ha implementado la empresa para solventarlo.
La publicidad responsable implica el ejercicio de la ética en la comunicación de los

mensajes para promocionar productos y servicios, anteponiendo los principios de
responsabilidad empresarial por encima del interés comercial.
Si bien es cierto que la organización es responsable de incrementar las ventas para el

éxito del negocio, en este contexto la meta no será solamente posicionar la marca para
finalmente obtener beneficios, sino cómo se ha recorrido el camino para hacerlo,
procurando el bienestar de todas las personas que han participado en la elaboración del
producto o servicio, así como la seguridad y satisfacción de los consumidores finales.
Para tener una buena publicidad responsable no hay que mentir acerca de las
características del servicio o producto si se ha detectado previamente que no se pueden
cumplir. No se puede poner en dicha publicidad el desprestigio hacia otras marcas que
ofrezcan el mismo producto o servicio. No se debe utilizar como reclamo anuncios
sexistas, oportunistas, etc.
La relación publicitaria contiene siempre, como uno de sus componentes constitutivos,

la persuasión y no es malo que sea así. Justamente, su razón de ser es llevar al cliente
a la adquisición del producto o servicio.
Cuando se habla de publicidad se suele reflexionar en torno a su eficiencia, pero se

discute mucho menos sobre su papel para la promoción de los valores humanos.

103
La publicidad no solo vende productos, sino sobre todo actitudes, valores y

comportamientos. Los publicistas seleccionan los valores y actitudes a ser fomentados y
alentados; mientras promocionan unos, ignoran otros.
Se podría señalar que es imposible incorporar todos los valores en una campaña
publicitaria o que la publicidad se dedica específicamente a la venta de artículos y
servicios. Ambas cosas son verdad; pero también es cierto que para animar a la compra
de un producto, este suele asociarse a la satisfacción de otros tipos de necesidades
humanas básicas, como el deseo de seguridad, los impulsos sexuales, la necesidad de
amor, el deseo de comodidad y lujo, el vértigo de las sensaciones nuevas, el capricho, el
prestigio o el poder.
Para ello, se acude a representaciones simbólicas que, en la lectura del anuncio,

llevan a identificar el producto con otras realidades. Del contenido que estas
representaciones posean dependerá la contribución del mundo publicitario a la
construcción o destrucción de los valores sociales. Quizá habría que insistir a los
publicistas en que, para atraer la atención sobre sus productos, den menos preferencia a
los instintos primarios del hombre y apunten más hacia aquello que lo ennoblece y hace
crecer en humanidad.
«Por ello, en tanto en cuanto los deseos a los que se apele sean humanizantes y
humanizadores, tales como el afán de conocer, de vivir en familia, de servir a la
patria, de construir el bien común, de ayudar a quienes lo necesitan, de
desarrollar lazos de amistad, de fomento de la lealtad y a su vez se presenten
con creatividad, estética y humor y sean protagonizados por personas atractivas
que despierten el ansia de ser imitadas, la publicidad contribuirá de modo muy
activo al fomento de valores sociales fundamentales» (Vanney, s. f.).
Un ejemplo de prácticas sociales de responsabilidad social corporativa es «12 meses»,

proyecto social de Mediaset que a lo largo de todo este tiempo ha promulgado campañas
contra el acoso escolar, de donación de órganos, etc.
Mediaset España (s. f.). 12 meses [en línea]. Recuperado de

http://www.mediaset.es/12meses/
Por su parte, el marketing responsable tiene la finalidad de hallar un equilibrio entre

el beneficio comercial y el beneficio social, en campañas solidarias, de apoyo y
concienciación. Mediante dichas campañas, las empresas se suman a la nueva tendencia

104
de utilizar su acceso a la publicidad con el fin de promocionar conductas y contenidos

comprometidos.
Las organizaciones no solo muestran que sus negocios son rentables, sino que también
son entidades que entienden las necesidades sociales y medioambientales existentes,
contribuyendo con la mejora del entorno. Por tanto, el marketing responsable debe
respetar no solo los derechos fundamentales de los consumidores, sino que además debe
nutrirse de componentes éticos, transparentes y sostenibles.
En el siguiente cuadro plasmamos los aspectos definidos por la multinacional

estadounidense de bebidas Coca-Cola (2019) sobre el marketing y publicidad
responsable. También es posible descargarse la política de marketing responsable de la
compañía, accesible en el siguiente enlace.
Coca-Cola España (10 de enero de 2019). Política de marketing responsable [entrada en

línea]. Recuperado de https://www.cocacolaespana.es/informacion/politica-marketing-
responsable
Publicidad y marketing responsable en Coca-Cola
«Respetamos el derecho de los padres y tutores a decidir sobre lo que consumen

los niños y, con el objetivo de que tomen decisiones informadas al respecto,
proporcionamos información nutricional de fácil acceso en el etiquetado de
nuestras bebidas. Indicamos la información nutricional por porción o unidad de
consumo, así como su contribución a la ingesta de referencia, mostrando ese
indicador también en el frontal del envase de manera visible.
»The Coca-Cola Company siempre ha asumido con seriedad su compromiso de

hacer publicidad de forma responsable en todo el mundo, por todos los medios
y con todas las bebidas.
»La compañía sigue aplicando estrictamente su política de no hacer publicidad

dirigida a menores de 12 años, ya sea a través de programas de televisión,
medios impresos, sitios web, redes sociales, películas y publicidad por SMS /
correo electrónico. Además, no incluye anuncios en medios en los que más del
35 % de la audiencia sean menores de 12 años.
»Somos sensibles al hecho de que los niños pueden estar viendo programas de
televisión con su familia, de modo que hacemos todo lo posible para asegurar
que nuestra publicidad es apropiada para una audiencia general.
»The Coca-Cola Company no vende sus bebidas en los centros de educación

primaria, a menos que los padres o cuidadores, o la dirección, las soliciten. En
tal caso, ofrecemos una cartera completa de bebidas que incluye agua, zumos y
otros productos con sus versiones, original, light y zero.

105
»La compañía está comprometida con el seguimiento y control de su política de

marketing responsable en todos los países en los que está presente. En la
actualidad, como miembros de la Alianza Internacional de Alimentación y
Bebidas (IFBA, por sus siglas en inglés), nos sometemos a la supervisión que se
hace anualmente del grado de cumplimiento de la política global de marketing
responsable de la IFBA, comparable a nuestra política de marketing
responsable» (Coca-Cola, 2019).
4.6. Consumo responsable
Consumo responsable (requisito 6.3.6)
La organización debe llevar a cabo acciones de sensibilización con los clientes en lo que
respecta al uso responsable de sus productos o servicios o cualquier otro aspecto
relacionado con la sostenibilidad del sector en el que opera. Se han de mantener
evidencias de las acciones llevadas a cabo, su alcance, objetivo e impactos logrados
(Forética, 2017, p. 18).
Realizar un consumo responsable es una responsabilidad no solo de los consumidores,

también de las empresas.
Dentro de los ámbitos de consumo es evidente que los consumidores necesitan cubrir
sus necesidades básicas y que tienen en cuenta la relación calidad-precio, pero además
deben incorporar responsabilidad al realizar el acto de consumo. En este sentido, el papel
de sensibilización e información de las organizaciones es fundamental, ofreciendo
a los consumidores diferentes opciones, prácticas y acciones que puedan hacer factible
este hecho.
En general, habrá consumidores que no estarán dispuestos a pagar más por un producto
o servicio responsable, aunque sí podrán comprar o contratar productos
responsables siempre y cuando no le afecte directamente a su economía. En este
sentido, la realización de prácticas que se pueden realizar en su hogar relacionadas, por
ejemplo, con la electricidad, el aire acondicionado, la electricidad, el agua, etc., la
utilización de productos como bombillas más respetuosas con el medioambiente, la
compra de electrodomésticos que consuman menos, pueden suponer ahorros
importantes a medio y largo plazo.

106
En el siguiente enlace, la empresa energética Iberdrola explica lo que significa la

etiqueta ecológica de los electrodomésticos, con lo que informa a sus clientes sobre las
ventajas de comprar electrodomésticos eficientes.
Iberdrola (s. f.). Etiqueta energética de electrodomésticos [en línea]. Recuperado de

https://www.iberdrola.es/ahorrar-energia/etiquetado-electrodomesticos#
Por tanto, las organizaciones tienen que encaminarse a este nuevo modelo económico
que valora más el crecimiento sostenible basado en el consumo y la producción
responsable a través de:
» Incluir líneas de negocio innovadoras en el mercado, desarrollando nuevos modelos

de producción y distribución que hagan frente a las nuevas demandas de los
consumidores, a la escasez de recursos, a los impactos generados en el entorno, etc.
» Involucrar e incentivar a todos los actores de la cadena de valor (proveedores,
productores, inversores, etc.) a trabajar y colaborar de forma conjunta, para encontrar
nuevas soluciones a la implantación de modelos más sostenibles.
» Fortalecer las relaciones con el entorno, informar a los clientes claramente sobre el
origen de sus productos y servicios, es decir, fomentar la transparencia y confianza.
» Utilizar el marketing y la publicidad, así como los canales adecuados de comunicación
para influenciar de manera positiva en las demandas de los clientes a la hora de
adquirir esos productos y servicios, beneficios y sostenibles.
Desde el Observatorio de Responsabilidad Social Corporativa y la Confederación

Española de Cooperativas de Consumidores y Usuarios (HISPACOOP), en colaboración
con la Federación de Cooperativas de Consumo de Euskadi, se ha elaborado una guía de
buenas pautas para acercar al consumidor a la RSE.
Observatorio RSC (2013). Guía para un consumo responsable: El papel de los y las
consumidoras en la responsabilidad social de las empresas. Recuperado de
https://observatoriorsc.org/wp-
content/uploads/2013/07/obrsc_guia_para_un_consumo_responsable.pdf

107
4.7. Proceso de negociación con los proveedores
Elección de los proveedores
La cadena de valor en una organización se puede definir como «el conjunto de

actividades que se desarrollan sucesivamente para generar valor al cliente final»
(Forética, 2016). Los proveedores son uno de los grupos de interés más importantes en
una organización, ya que en ellos se basa gran parte del aprovisionamiento de esta. Una
cadena de valor sostenible es aquella en la que se considera una gestión responsable
de todos los elementos que conforman la producción del producto o servicio, desde el
aprovisionamiento hasta los residuos finales.
La negociación en la responsabilidad social corporativa es conseguir que tanto el

contratista como el proveedor logren acuerdos que faciliten las relaciones entre ambas
partes, consiguiendo evitar que se produzcan desequilibrios entre los proveedores y los
clientes, aumentando los costes en el aprovisionamiento de las empresas.
Esto provoca ventajas o sinergias entre ambas partes que merece la pena señalar:
» Disminución de los costes.

» Aumento de la calidad en los servicios prestados y respeto de los principios de la RSC
como respeto a los derechos humanos, igualdad de oportunidades, respeto hacia el
medioambiente, etc.
» Información entre ambas partes continuada y veraz. Para eso se elegirán los canales
de comunicación más idóneos.
» Más eficiencia en los stocks de las empresas.
El proceso que supone gestionar los proveedores de la organización exige a esta una
evaluación continua de ellos tanto en sus fortalezas como sus debilidades. Esto supone
disminuir costes denominados «globales». Habrá que tener en cuenta factores como la
calidad de los productos y servicios ofrecidos y todo lo anteriormente contemplado sobre
su grado de cumplimiento acerca de la RSC.
Parte de la gestión de los proveedores supone elegir entre un solo proveedor o por el
contrario disponer de varios. Usualmente, las empresas analizan información tanto
económica como financiera. Si contamos con un solo proveedor, a la larga se dispone de

108
colaboraciones estables donde los servicios y suministros ganan en calidad, siempre que
también cumpla principios de la RSC.
Si por el contrario se dispone de varios proveedores, se conseguirá mejorar en los precios

de los servicios o suministros pero se perderá en cuanto a lo que se denomina alianzas
de colaboración que veremos más adelante.
Estrategias de relación con los proveedores
En términos de gestión responsable de los «proveedores o socios comerciales», se debe

tener en cuenta cada una de sus «intervenciones» en la cadena de valor, el control y la
gestión del impacto: económico, social y ambiental, de su aprovisionamiento.
En un contexto globalizado, donde las materias o servicios suministrados pueden

haberse producido en cualquier país y condiciones, se debe prestar especial atención (e
incluso hacer evaluación personal) a las garantías de cumplimiento por parte de los
suministradores o proveedores de lo siguiente:
» Principios internacionales en materia de derechos humanos.

» Derechos de los trabajadores y trabajadoras.
» Protección contra la explotación de trabajadores menores de edad.
» Cumplimiento de las normas de protección de la salud y la seguridad en el trabajo.
4.8. Compras responsables
Compras responsables
La organización debe definir sus criterios de compra responsable en función de las

mejores prácticas ambientales, sociales y de buen gobierno (ASG) que estén a su alcance
y que superen los requisitos legales aplicables (Forética, 2017, p. 19).
En el punto 6.4.1 la norma SEG 21 indica la importancia de definir, por parte de la

organización, unos criterios de compra responsable, en los cuales se consideren tanto
aspectos sociales, como ambientales, como de buen gobierno.

109
En este sentido, un elemento importante a considerar en la organización es el de los

proveedores, ya que ellos surten a la organización de productos o servicios que son
precisos para incorporarse a esta y conformar, posteriormente, lo que se ofrece a los
clientes.
Olvido Nicolás, directora del Área de Responsabilidad Corporativa de Microsoft, explica

en este vídeo lo que su organización requiere de sus proveedores a través del
establecimiento de un código ético para ellos y que debe respetar y no ir en contra de los
principios éticos de Microsoft.
Este vídeo está disponible en el aula virtual o en la siguiente dirección web:

https://www.compromisorse.com/tv/video/microsoft/olvido-nicolas-directora-del-
area-de-responsabilidad-corporativa-de-microsoft/nuestros-proveedores-deben-
seguir-un-codigo-de-conducta-que-no-puede-chocar-con-los-principios-eticos-de-
microsoft/
Tener en cuenta los impactos que se generan a lo largo de todo el ciclo de vida del
producto o servicio, tanto en términos de derechos humanos, impactos sociales y
medioambientales, así como gestionar los riegos y oportunidades derivados de estos,
serán factores clave para lograr el éxito sostenido en una organización.
Se deben tener en cuenta, por tanto, criterios que afecten a las distintas fases de la cadena
de valor:
» La composición de los productos o servicios.

» Su origen.
» Las condiciones de elaboración. Calidad de materias primas, procesos amigables
medioambientalmente, respeto a la seguridad y salud de sus trabajadores, etc.
» El comportamiento de la empresa respecto a los puntos que contempla la RSC.
» El impacto del producto o servicio una vez finalizado su uso. En este aspecto cabe
destacar que es necesario invertir en I+D+i para que el producto una vez finalizada su
vida útil se pueda reciclar y no impactar medioambientalmente.
» La necesidad real de la compra: ¿lo necesitamos realmente?

110
A su vez, pueden hacer referencia a distintos ámbitos:
» Inclusividad laboral.
» Calidad de condiciones laborales.
» Sostenibilidad ambiental.
» Solidaridad territorial.
» Gestión ética de las entidades.
Forética (2019). Las claves de la compra publica responsable. Recuperado de

https://foretica.org/wp-
content/uploads/2019/01/guia_practica_compra_publica_responsable.pdf
4.9. Sistema de evaluación
Sistema de evaluación (requisito 6.4.2)
La organización ha de llevar a cabo una evaluación y clasificación de sus proveedores en

función del nivel de relevancia que estos tengan para la actividad de la organización.
Dicha clasificación debe determinar las actuaciones a llevar a cabo en materia de
seguimiento y control de proveedores (Forética, 2017, p. 19).
Para evaluar y clasificar según los distintos niveles de riesgo a los proveedores, la
organización establecerá un sistema y una metodología propios, basados en criterios de
compra responsables previamente definidos y que cubran progresivamente a los
distintos grupos de riesgo detectados (apartado 6.4.2, norma SGE 21).
La clasificación de los proveedores en varios ABC puede resultar de gran utilidad:
» Según importancia en volumen.

» Criticidad para la empresa.
» Riesgo en los criterios de RSC establecidos.
A partir de los ABC se clasifican por riesgo global y se da una cobertura progresiva
empezando por los A.

111
Otro ejemplo de evaluación y clasificación de proveedores se puede encontrar en la que

ha establecido la empresa Achilles en asociación con Forética (Construible, 2012).
Achilles es una compañía de servicios de información a grandes organizaciones en el
proceso de compras y contratación, la cual ha establecido un modelo de valoración
de proveedores sostenibles basado en cuantificar la posición relativa de los
proveedores con respecto al mercado en materia de sostenibilidad, partiendo de estas
cuatro dimensiones y utilizando una curva de Gauss como herramienta de conocimiento
de la situación del mercado.
Finalmente, lo que se obtiene es una nota de clasificación en función de la gestión que se

realice en términos de RSC, de tal manera que sea un criterio diferenciador a la hora de
licitar o contratar con ellos. Así, los proveedores se clasificarán de la siguiente manera:
» A+: proveedores por encima de la media.

» A: proveedores con puntuación dentro de la media.
» B: proveedores por debajo de la media.
A continuación, se describen una serie de objetivos posibles en materia de

responsabilidad social corporativa en el tema del que se está hablando (proveedores) y
qué incluir en dicha valoración:
» Conocer su grado de satisfacción y fidelidad. Actuaciones:

o Elaborar un catálogo de proveedores, clasificados por volumen, importancia para
la empresa y grado de satisfacción.
o Encuestas periódicas para conocer las expectativas y el grado de satisfacción de los
proveedores.
» Fomentar una comunicación fluida. Actuaciones: servicio de atención al proveedor,

recepción de quejas y reclamaciones y buzón de sugerencias.
» Garantizar prácticas éticas. Actuaciones:

o Requerimiento de buenas condiciones laborales en la adjudicación de contratos de
externalización.
o Establecimiento criterios valorativos de responsabilidad social (junto a los criterios
de precio-calidad-plazo-servicio) en las condiciones de adjudicación-adquisición.

112
o Homologación de proveedores que recoja aspectos de RSC (protección

medioambiental, códigos internos de conducta, derechos laborales, innovación,
seguridad y calidad de productos…).
o Evitar relaciones de negocios con compañías que llevan a cabo prácticas ilegales o
poco éticas.
o Apoyo a proveedores para implantar RSC.
o Priorizar productos de comercio justo y/o ecológicos.
» Apoyo a proveedores locales. Actuaciones: dar preferencia a proveedores locales.
» Establecer relaciones de mutuo beneficio. Actuaciones:

o Acuerdos de sensibilización conjunta.
o Fomento de unas relaciones duraderas.
o Colaboración en la innovación y mejora de productos y servicios.
o Alianzas estratégicas con suministradores y proveedores.
o Involucración en la gestión de riesgos de la cadena de suministros y participar
solidariamente de los resultados económicos de toda la cadena de valor.
Desde Forética se han impulsado dos iniciativas para evaluar la RSE de los proveedores.
Se puede encontrar información relativa a las mismas en los siguientes enlaces.
Forética (s. f.). Cadena de valor [en línea]. Recuperado de

https://foretica.org/tematicas_/rse-cadena-de-valor/
4.10. Homologación de proveedores
Homologación de proveedores (requisito 6.4.3)
La organización debe desarrollar un análisis y homologación de proveedores aplicando

los criterios de compras responsables establecidos, según los resultados de la evaluación
y clasificación de estos. Se ha de mantener un documento que recoja la metodología de
homologación definida (Forética, 2017, p. 19)
La norma SGE 21, en su apartado 6.4.3, habla de documentar la sistemática a seguir para
la homologación de los proveedores que previamente la organización ha evaluado y

113
clasificado. Es decir, se trata de decidir con qué proveedores la organización va a trabajar,

en función de esos resultados obtenidos previamente.
Se debe resaltar que no existe un único camino para la consecución del compromiso de
los proveedores en la responsabilidad social corporativa y, es por ello, que cada empresa
debe encontrar la metodología que mejor se ajuste a sus intereses y necesidades.
Aun así, se pueden determinar diferentes visiones dependiendo de la política de

cada empresa en función de sus proveedores, como pueden ser las debilidades del sector,
las prácticas de las empresas, la experiencia de estas en este tipo de actuaciones, etc.
Actuaciones que las empresas suelen adoptar en función de su actividad y entorno,
fundamentalmente:
» Aplicando la sensibilización: supone adoptar una medida de mínimos de la empresa.

Suele coincidir con organizaciones que desarrollan su actividad en sectores de poco
riesgo social y medioambiental. En definitiva, se adopta por sectores de riesgo muy
bajo. Se suele basar en introducir buenas prácticas y autoevaluaciones y con escasas
revisiones.
» Gestionando el riesgo social y la mejora de la calidad. Principalmente se desarrolla en
las organizaciones industriales que conllevan un importante riesgo medioambiental,
riesgos sociales y otros relativos también a los derechos humanos. Hay que señalar
que este tipo de empresas lo tienen asumido dentro de su actuación internacional,
sobre todo en lo que tiene que ver con sus proveedores de países emergentes, etc.
Según señala Forética, las principales herramientas utilizadas a lo largo de las distintas
etapas del proceso de compra son:
» Fase de inicio de la relación.

» Fase de la contratación.
» Fase de la ejecución del contrato.
En las siguientes figuras se puede ver cómo se articula todo lo anterior indicando también
las buenas prácticas y amenazas en cada fase.

114
Figura 1. Fase de inicio de la relación en el proceso de compra. Fuente: https://foretica.org/wp-

content/uploads/publicaciones/cuadernos-
foretica/cuaderno_foretica_14_dialogo_grupos_interes.pdf
Figura 2. Fase de contratación en el proceso de compra. Fuente: https://foretica.org/wp-


115
Figura 3. Fase de ejecución del contrato en el proceso de compra. Fuente: https://foretica.org/wp-

4.11. Fomento de buenas prácticas, medidas de apoyo y mejora
Fomento de buenas prácticas, medidas de apoyo y mejora (requisito 6.4.4)
La organización debe trasladar a sus proveedores, de manera transparente sus

compromisos y expectativas respecto a su relación comercial.
Asimismo, la organización ha de colaborar con sus proveedores en fomentar su
conocimiento y mejora de procesos en materia de responsabilidad social (Forética, 2017,
p. 19).
Para poder lograr una buena relación con sus proveedores en términos de confianza y
larga duración, como se indicó al inicio de este capítulo, es fundamental que la
organización traslade a los proveedores lo que espera de ellos en el sentido amplio de la
RSC.
Por todo lo comentado en los apartados anteriores, queda claro que los proveedores son
uno de los grupos de interés más importantes de las organizaciones y un pilar
fundamental de la responsabilidad social debido a la deslocalización de la producción y
la complejidad asociada de seguimiento y control de sus actividades, entre otros.
Las organizaciones pueden optar por dos estrategias diferentes a la hora de afrontar la
relación con sus proveedores, tal y como señala Forética:
» Exigiendo un cumplimiento de las políticas de la organización desde el primer

momento, descartando a aquellos que no lo hagan.

116
» Asesorarles en el proceso de mejora para que puedan alcanzar unos requisitos de

sostenibilidad mínimos.
Tomando esta segunda estrategia, las organizaciones se aseguran el cumplimiento del

punto 6.4.4 de la Norma SGE 21, a la par que se garantizan unos cumplimientos mínimos
de responsabilidad social.
Entre otras iniciativas, la organización podrá:
» Establecer mecanismos de diálogo y aprendizaje. Como se ha comentado

anteriormente hay muchas rutas de diálogo, pero las más idóneas siempre las
establece el comité y si no funcionan, es decir, no se recibe respuesta, se tendrán que
plantear otras alternativas.
» Evaluar o auditar. Esto significa que aunque elijamos proveedores que nos parezcan
idóneos bajo la RSC, se les podrá auditar para verificar su compromiso y
comportamiento. Facilitar la formación en responsabilidad social a sus proveedores y
establecer incentivos.
Según Intermón Oxfam 19 (s. f.), los códigos de conducta (inicialmente pensados para
las cadenas de proveedores, pero extensibles a toda la cadena de producción, ya sea
externalizada o no) deben exigir, como mínimo, el cumplimiento de los principios de la
OIT:
» Derecho de asociación y negociación colectiva.

» Prohibición de cualquier forma de trabajo forzoso.
» Eliminación del trabajo infantil.
» La no discriminación en el empleo.
» El desarrollo del trabajo en condiciones de higiene y seguridad.
» Pago de sueldos dignos, horas extra controladas, pagadas y no excesivas.
» El empleado debe tener una cierta seguridad laboral, eliminación de cualquier trato
humillante o degradante.
» Respeto a los derechos humanos en general.

117
Comisión Europea. Reglamento (UE) n ° 1291/2013 del Parlamento Europeo y del

Consejo, de 11 de diciembre de 2013 , por el que se establece Horizonte 2020: Programa
Marco de Investigación e Innovación (2014-2020) y por el que se deroga la Decisión n.º
1982/2006/CE. Diario Oficial de la Unión Europea, de 20 de diciembre de 2013, L 347,
pp. 104-173.
Construible (2012). Achilles presenta su modelo de valoración de proveedores

sostenibles en el Marketplace de Forética [entrada en línea]. Recuperado de
https://www.construible.es/2012/11/23/achilles-presenta-su-modelo-de-valoracion-
de-proveedores
Forética (2016). Cadena de valor [entrada en línea]. Recuperado de

https://foretica.org/tematicas_/rse-cadena-de-valor/
Forética (2017). SGE 21. Sistema de gestión ética y socialmente responsable. Madrid:
Forética.
Oxfam Intermón (s. f.). Una organización íntegra en la que confiar [en línea].
Recuperado de https://www.oxfamintermon.org/es/transparencia/organizacion-
integra
Vanney, A. (s. f.). Responsabilidad social corporativa y publicidad responsable [entrada

en línea]. Recuperado de
http://es.catholic.net/op/articulos/27366/cat/155/responsabilidad-social-corporativa-
y-publicidad-responsable.html#modal

118
Capítulo 5
Entorno social y ambiental y
relaciones con inversores,
competencia y
Administración
119
Capítulo 5: Entorno social y ambiental y relaciones con inversores, competencia y
Administración
5.1. Entorno social e impacto en la comunidad
Medición y evaluación del impacto social
Medición y evaluación del impacto social (requisito 6.5.1)
La organización debe tener en cuenta las repercusiones que tienen sus procesos de
negocio, proyectos y actividades, en las comunidades en las que opera. Para ello, ha de
identificar y evaluar sus impactos sociales, tanto positivos como negativos, actuales y
potenciales, desarrollando planes de acción y medidas concretas para cada uno de ellos.
Esta identificación y evaluación debe revisarse anualmente y siempre que se produzcan
cambios significativos en la organización (Forética, 2017, p. 20)
Toda actividad va a tener un impacto en el entorno que la rodea. La norma SGE 21 en el

punto 6.5.1 indica que las organizaciones deben controlar ese impacto y, para ello, lo
primero es identificarlo y después evaluarlo. Una vez conocida esta información, la
organización debe establecer planes de acción que le permitan hacer frente al impacto
o impactos identificados.
Además, esta identificación y evaluación debe revisarse de manera anual o en el

caso de que se produzca un cambio significativo en la organización para asegurar que
esos impactos no han cambiado y el plan de acción sigue siendo el adecuado. Y en el caso
de que exista algún cambio significativo se deberá adecuar el plan de acción a los nuevos
impactos identificados.
Los impactos de las empresas pueden verse desde diferentes ópticas, ya que pueden
suponer impactos negativos, pero también impactos positivos sobre el entorno social que
rodea su actividad.
Desde el punto de vista de los impactos negativos, las comunidades donde se ubican
las industrias sufren directamente los efectos de cualquier tipo de contaminación que
deteriora el entorno, pone en riesgo la salud del medio y de las personas. Esto también
está relacionado con los impactos medioambientales.
Pero cuando son impactos positivos dichas comunidades se benefician del desarrollo
económico que proporcionan las empresas, de mejora en comunicaciones, inversiones,
etc. Siempre y cuando las organizaciones también minimicen sus impactos ambientales,

120
Administración
no hay que olvidar que no por ofrecer trabajo al entorno social que rodea a la actividad
de la empresa y que haya un crecimiento económico en el área que opera, no haya que
atender también a aspectos relacionados no solo en economía, sino también con el
medioambiente y la seguridad y salud. Una empresa éticamente responsable también
tiene que cumplir los citados requisitos.
De este modo, las empresas pueden desarrollar su RSC invirtiendo para compensar los
impactos negativos, invirtiendo en la producción limpia de las empresas, contratando
trabajadores locales, promoviendo centros sanitarios, etc. De esta manera, se fomentan
las sinergias entre empresas y el entorno local o social, identificándose una con otra
positivamente.
Igualmente se puede afirmar que las empresas socialmente responsables

fomentan y desarrollan nuevas tecnologías, modelos de producción limpia,
minimización de sus impactos negativos, etc. Se debe intentar ubicar una empresa con
una actividad productiva peligrosa en lugares un poco alejados de los núcleos de
población. Esto se debe a que ante cualquier incidencia los habitantes de la zona o
edificios, monumentos históricos, etc. sufrirán los menos daños posibles.
Existen una serie de etapas que pueden resultar útiles a la hora de evaluar el impacto
social.
Cuanto mayor sea la organización, más detallado deberá ser dicho análisis, tendiendo al
objetivo que se propone.
» Identificación de los principales procesos y aspectos de la organización que puedan

tener una incidencia en la comunidad en la que se desarrolla la actividad.
» Identificación de los grupos de interés. En este caso en concreto se centra en el
entorno social.
» Definición de objetivos para conseguir satisfacer las necesidades del entorno social
(con metas, asignación de recursos y plazos).
» Monitorización del cumplimiento de los objetivos a través de indicadores específicos.
» Valoración de la mitigación o reducción de impactos negativos y potenciación de los
positivos.
En la medida de lo posible y en condiciones de formación exigidas en las ofertas de

empleo ofertadas se debería dar prioridad a trabajadores asentados donde la

121
Administración
organización opera y que por supuesto cumplan los requisitos de la citada oferta, que
nunca puede ser discriminatoria bajo el punto de vista de la RSC. Desde Forética se ha
elaborado una guía para medir el impacto socioeconómico de las empresas:
Forética (s. f.). Vinculando RSE y competitividad en América Latina. Dossier IV:
Medición del impacto socioeconómico de las empresas. Recuperado de
http://www.foretica.org/csr_innolabs_medicion_impacto_socioeconomico.pdf
Inversión en la comunidad
Inversión en la comunidad (requisito 6.5.2)
La organización se debería involucrar, en la medida de sus posibilidades, en el desarrollo

de acciones sociales y solidarias, considerando de manera prioritaria, a la comunidad en
la que opera.
Estas acciones han de estar alineadas con su visión estratégica y los valores de la
organización y se debería procurar la participación de los empleados a través de, entre
otras, acciones de voluntariado.
En el caso de que la organización realice acciones de inversión en la comunidad, se debe

informar al comité de responsabilidad social sobre sus resultados, de acuerdo al impacto
social, ambiental y económico de las mismas, al menos una vez al año (Forética, 2017, p.
20).
En este punto de la norma SGE 21 se pone de manifiesto la importancia de la

participación, de la implicación de la organización en acciones sociales, acciones
solidarias, dando preferencia a la comunidad en la que ejerce su actividad. La norma hace
algunas indicaciones acerca de cómo deben ser estas acciones: deben estar relacionadas
con la gestión estratégica de la organización y sus valores y establece una forma de
llevarlas a cabo: a través de la participación de sus trabajadores, por ejemplo, ejerciendo
de voluntarios en dichas acciones. Es decir, la norma quiere que esas acciones se lleven
a cabo a través del propio personal de la organización, porque esto requiere una clara
implicación tanto de la dirección, al promover las acciones, como de los trabajadores, al
ser quienes las realicen.

122
Administración
Estas acciones deben ser reportadas al comité, deben transmitirle los resultados de
estas en términos de impacto social, ambiental y económico. Y una vez más, la norma
indica la frecuencia, esta información debe llegar al comité al menos una vez al año.
Debemos señalar que la «acción social» no se debe identificar únicamente con la RSC, ya
que la acción social de una empresa viene a ser la colaboración con objetivos
sociales ajenos al objeto de esta, como pueden ser donaciones a ONG, mecenazgo, etc.
Luego puede ser parte de la RSC, pero no debe reemplazarla. Así, por ejemplo, una
empresa con discriminaciones laborales y de igualdad puede patrocinar determinada
acción social, pero hay que señalar que dicha empresa no cumple totalmente con los
requisitos de la RSC.
Una de las mejores formas de integrar la RSC interna con la externa es el voluntariado
corporativo. Después de que las organizaciones logran sensibilizar a su personal sobre
su responsabilidad ciudadana, pueden conseguir que su inversión social se vea
complementada por el trabajo voluntario y el compromiso de su plantilla para el
desarrollo de acciones solidarias, de tal forma que se evidencie la coherencia entre las
políticas de responsabilidad social y los valores organizacionales con el vivir ético de la
gestión organizacional, más allá del beneficio que puedan lograr en posicionamiento de
imagen, beneficios fiscales y reputación.
A continuación, se plantean una serie de objetivos posibles en materia de

responsabilidad social corporativa en el tema que nos ocupa (acciones sociales) y cómo
plasmarlos a través de diferentes actuaciones que se citan a continuación:
» Vinculación al territorio. Actuaciones:

o Adecuación de la empresa a las costumbres y culturas locales (horarios, símbolos,
comidas, festividades…), especialmente en el caso de empresas que actúan en
distintos países.
o Ligazón de los centros de producción al territorio.
» Colaboración empresa-entidades sin ánimo de lucro. Actuaciones:

o Participación de trabajadores y trabajadoras en actividades comunitarias
(voluntariado corporativo).
o Acuerdos de colaboración empresa-ONG con beneficio mutuo.
o Participación o financiación de proyectos de investigación, becas.

123
Administración
» Obra social. Actuaciones:
o Selección de causas sociales o medioambientales locales que sean relevantes y
sensibles a la empresa (incluso con participación de los trabajadores en la
selección).
o Patrocinios.
o Donaciones (en metálico o especie).
o Publicación de estas actividades.
o Realización de campañas de «publicidad con causa» (captación de fondos para
causas sociales o medioambientales de la comunidad, ligadas a productos o
servicios concretos de la empresa).
» Inserción socio laboral. Actuaciones:

o Reserva de puestos de trabajo destinados a personas de colectivos desfavorecidos
o en riesgo de exclusión (empleados de más edad, mujeres, personas desempleadas
de larga duración, aprendices, personas con discapacidad, minoría étnicas…).
o Contratación estudiantes en prácticas (colaboración con entidades educativas:
universidad, centros formación…).
o Adaptación de las instalaciones a personas con movilidad reducida.
A continuación tienes un documento sobre el voluntariado corporativo en España, donde

se analizan diferentes ejemplos de aplicación del voluntariado de empresas muy
conocidas en el país dentro del marco de la RSC.
Sanz, B. Cordobés, M. y Calvet, A. (2012). El voluntariado corporativo en España.

Recuperado de http://itemsweb.esade.es/wi/research/iis/publicacions/2012-
04_VoluntariadoCorporativo.pdf
Los objetivos de desarrollo del Milenio (2015) pueden ayudar a orientar las necesidades
de la comunidad a atender (exceptuando el número 7 relativo al medioambiente que será
referido en el apartado correspondiente), contribuyendo al cumplimiento de las metas
locales y regionales.
PNUD (2015). Objetivos de Desarrollo del Milenio. Informe 2015. Recuperado de

https://www.undp.org/content/undp/es/home/librarypage/mdg/the-millennium-
development-goals-report-2015.html

124
Administración
5.2. Entorno ambiental
Identificación de actividades e impactos ambientales
Identificación de actividades e impactos ambientales (requisito 6.6.1)
La organización debe tener en cuenta el impacto que sus procesos, actividades, productos
y servicios causan o pueden causar sobre el medioambiente en el opera, considerando su
cadena de suministro.
Para ello, la organización ha de considerar y evaluar aquellos aspectos asociados a su

operativa, así como sus impactos significativos sobre el medioambiente, con el objetivo
de gestionarlos y minimizarlos. Entre los aspectos ambientales tanto directos como
indirectos que podrán identificarse se encuentran:
» Consumo de materias primas, agua y energía, entre otras.

» Generación de residuos.
» Emisiones de gases de efecto invernadero (GEI), otros gases contaminantes y
partículas entre otros.
» Emisiones acústicas.
» Vertidos sobre el agua o el suelo.
» Afecciones a la biodiversidad y a los espacios naturales.
La identificación de aspectos e impactos ambientales se ha de revisar anualmente y

siempre que se produzcan cambios significativos en la organización que puedan afectar
a sus resultados (Forética, 2017, p. 21).
En esta sección de la norma SGE 21 se hace referencia al conocimiento y a la

buena gestión que toda organización debe hacer en relación con los impactos que está
produciendo en el medioambiente como consecuencia de su actividad. En este sentido,
las organizaciones son un factor clave en el cuidado, mantenimiento y mejora del
medioambiente, desde el momento en que su actividad va a influir y verse influida por
su relación con el medioambiente.
Efectivamente, la organización en su relación con el medioambiente se va a comportar

como consumidora de materias primas y como productora de contaminantes que va
a verter al medioambiente en forma de emisiones de gases, de vertidos y de residuos.

125
Administración
Todos estos aspectos ambientales que la organización produce como consecuencia de su
actividad van a tener una repercusión, un impacto en el medioambiente, como se puede
ver en la tabla 1.
Pero también el medioambiente va a influir en la actividad de la organización, ya que

dependiendo del tipo de actividad las condiciones climáticas pueden ser decisivas, por
ejemplo, un agricultor va a depender claramente de las condiciones climáticas. Y no solo
eso, también el hecho de que la organización opere en un terreno en el que sea susceptible
de sufrir inundaciones, terremotos y otros fenómenos naturales, va a condicionar la
forma de relación entre la empresa y el medioambiente. Además, existe una presión
ambiental fuerte hacia las empresas en forma de legislación ambiental, en forma de
demanda social de productos respetuosos con el medioambiente y de buenas prácticas
ambientales que garanticen el cuidado del entorno.
Por todo ello, y para conseguir un nivel de RSC adecuado, es necesario que las
organizaciones identifiquen sus aspectos e impactos ambientales asociados a sus
actividades y que no solo se limiten a los que se producen en el punto de fabricación o
prestación del servicio, sino que deben tener en consideración los aspectos ambientales
producidos aguas arriba y aguas debajo de su estricta actividad, los producidos en toda
la cadena de valor. Esto quiere decir que deben tener en cuenta todos los aspectos
ambientales directos producidos por la propia organización y que por tanto pueden
controlar, así como aquellos aspectos que sin producirlos directamente, la organización
puede influir sobre ellos, como los que generan proveedores o contratistas.
Una vez identificados, la organización deberá establecer programas que garanticen

su buena gestión con el fin de minimizarlos y, si es posible, eliminarlos.
Estos aspectos ambientales identificados, así como los impactos que generan, deben ser
revisados de manera anual o cuando se produzca algún cambio significativo en la
organización, con el fin de asegurarse de que se mantienen, reducen o eliminan sus
efectos en el medioambiente.

126
Administración
Aspectos ambientales Impactos asociados
Consumo de agua, energía, otras materias

Agotamiento de recursos naturales
primas
Emisiones a la atmósfera de gases
Contaminación del aire
contaminantes
Vertidos al agua Contaminación de las aguas
Generación de residuos Contaminación del suelo
Generación de ruido Contaminación acústica
Afecciones a la biodiversidad y espacios
Pérdida de biodiversidad del ecosistema
naturales
Tabla 1. Relación entre los aspectos ambientales producidos por una organización genérica y los
impactos asociados.
Programa de gestión ambiental
Programa de gestión ambiental (requisito 6.6.2.)
La organización debe establecer un programa de gestión ambiental operativo y específico

para sus centros de trabajo, alineado y coherente con el compromiso ambiental de la
organización y su plan de RSE.
Este programa ha de incluir objetivos y metas medibles, que permitan monitorizar

adecuadamente los aspectos, prevenir y gestionar los impactos en el entorno producidos
por sus actividades y procesos.
Este programa se debe revisar anualmente y siempre que se produzcan cambios en la

organización que pudieran afectar a la identificación vigente (Forética, 2017, p. 21).
En la misma línea del apartado anterior, la norma SGE 21 requiere que la organización
implante un programa de gestión que contenga objetivos y metas mensurables y
coherentes con su compromiso ambiental para minimizar los impactos de sus
actividades. Dicho programa debe revisarse anualmente y cuando se den cambios que
afecten o puedan producir impactos.
Este programa ambiental, por tanto, deberá ser coherente con los aspectos ambientales
e impactos identificados, ya que uno de sus fines a través del establecimiento de los

127
Administración
objetivos medibles y del uso de indicadores será la eliminación o disminución de los
aspectos ambientales.
Las organizaciones deben diseñar e implantar un programa para su gestión ambiental,

el cual debe ser formalizado y comunicado a las autoridades competentes,
cumpliendo con los requisitos que establece la norma SGE 21.
Este programa ambiental, para que resulte ejecutable, deberá incluir una información
mínima que se puede concretar en los siguientes apartados para cada objetivo o meta
medible:
» Plazo de consecución.
» Acciones por realizar para conseguir el objetivo o meta.
» Medios, es decir, los recursos económicos que se van a destinar para poder realizar
las acciones diseñadas y, por tanto, cumplir con el objetivo propuesto. En su caso,
podrán ser también medios humanos.
» Responsable de la consecución del objetivo.
» Indicador que permitirá medir y hacer un seguimiento en cuanto a la consecución de
cada objetivo.
» Seguimiento, período de tiempo dentro del cual se verifica el cumplimiento del
objetivo de manera parcial.
Unos buenos ejemplos de cómo elaborar este programa se pueden encontrar en los
siguientes documentos.
Agencia Pública Empresarial Sanitaria Hospital de Poniente (2011). Procedimiento de

gestión ambiental. PGA3 4.3.3. Objetivos, metas y programa de gestión ambiental.
Recuperado de http://www.juntadeandalucia.es/ep-
hospitalponientealmeriaprofesionales/gestion_ambiental/Procedimientos/PGA3%204
.3.3.%20Objetivos,%20Metas%20y%20Programa%20de%20Gesti%C3%B3n%20Ambi
ental_rev%201.pdf
Consejería de Salud y Familias, Junta de Andalucía (s. f.). Gestión ambiental [en línea].
Recuperado de http://www.juntadeandalucia.es/ep-
hospitalponientealmeriagestion_ambiental.php?accion=pga

128
Administración
Además, todo esto lo contempla la norma ISO 14001:2015, «Sistemas de gestión
ambiental. Requisitos con orientación para su uso», publicada por AENOR y disponible
en la Biblioteca virtual de UNIR o el reglamento europeo EMAS.
AENOR (s. f.). EMAS. Más allá de ISO 14001 [en línea]. Recuperado de
https://www.aenor.com/certificacion/medio-ambiente/reglamento-emas
Ministerio para la Transición Ecológica y el reto demográfico (s. f.). Sistemas

comunitario de gestión y auditoría medioambientales: EMAS [en línea]. Recuperado de
http://www.magrama.gob.es/es/calidad-y-evaluacion-ambiental/temas/sistema-
comunitario-de-ecogestion-y-ecoauditoria-emas/
Para certificarse en la SGE 21, Forética no exige el certificado o cumplimiento de la

norma o del reglamento, pero si una organización los tiene implantados al igual que el
estándar OHSAS 18001:2007 respecto a la seguridad y salud en el trabajo, les facilitará
el cumplimiento de este requisito.
Existen una serie de objetivos posibles en materia de responsabilidad social corporativa

respecto al medioambiente y cómo plasmarlos a través de diferentes actuaciones, tales
como:
» Cumplir la legislación medioambiental. Actuaciones: sistema de vigilancia de las

modificaciones en reglamentación medioambiental. No se debe olvidar que cualquier
actividad está sometida a un régimen legislativo y que hay que cumplirlo si se quiere
ser responsablemente ético.
» Realizar una correcta gestión de los recursos. Actuaciones:

o Acciones para el control y ahorro en los consumos de agua, combustible,
electricidad, materias primas…
o Opción por la utilización de materiales y energías reciclables.
o Gestión adecuada de los residuos.
» Reducir las fuentes de emisión de residuos y gases nocivos. Actuaciones:

o Mejora en las fuentes de emisión. En la medida de lo posible esto se puede realizar
utilizando tecnologías más respetuosas con el medio ambiente para minimizar
impactos.

129
Administración
o Selección de los insumos y materias primas valorando la generación de residuos
que provocan y cuyo impacto medioambiental es significativo.
» Aprovechar como oportunidad la «amenaza medioambiental». Actuaciones:

o Apuesta por la ecoeficiencia en los procesos de productos y servicios (ecodiseño…).
o Implantación de sistema de gestión medioambiental.
o Elaboración de productos con certificación ecológica. Ecoetiquetas.
o Colaboración con las asociaciones ecologistas locales.
» Colaboración con las administraciones cercanas. Actuaciones:

o Participación en iniciativas públicas de sostenibilidad y RSE.
o Participación en la Agenda 21 local.
Geoscopio (s. f.). Biblioteca medioambiental [en línea]. Recuperado de

http://www.geoscopio.com/medioambiente/temas/agenda_local_21/agencia.php
Plan de riesgos ambientales
Plan de riesgos ambientales (requisito 6.6.3.)
La organización debe disponer de un plan de contingencias ambientales que permita

evaluar, prevenir y gestionar a nivel operativo las posibles situaciones de emergencia
ambiental, incidentes y accidentes potenciales asociados a su actividad.
Se han de mantener registros de dichos eventos, las medidas puestas en marcha para su
corrección y prevención, así como para la reducción de sus impactos y efectos adversos
en el entorno (Forética, 2017, p. 22)
La organización tiene que establecer un plan de riesgos que identifique, prevenga,

evalúe y gestione aquellos riesgos ambientales asociados a su actividad y los impactos
que cause en su entorno. Deben incluirse registros de incidentes, accidentes y situaciones
de emergencia producidos, así como las medidas correctoras o preventivas tomadas en
su caso. Dicho plan debe revisarse anualmente o cuando se produzcan cambios que
supongan una modificación en la identificación vigente de riesgos e impactos.
En este tipo de planes es fundamental comenzar identificando cuáles pueden ser esos
escenarios de riesgo o situaciones de emergencia que pueden acontecer. Para ellos, la

130
Administración
organización se puede basar en desastres ocurridos con anterioridad, en datos sectoriales
e incluso consultando bibliografía específica. Por cada situación de emergencia
identificada y descrita se debe explicar con claridad el mecanismo de actuación.
Finalmente, se debe incluir el número de teléfono de los servicios de emergencias a
llamar en cada caso.
A continuación puedes acceder a un ejemplo de plan de riesgos, dentro de la Agenda

Local 21 del Puerto de Santa María.
Área de Medio Ambiente y Desarrollo Sostenible del Puerto de Santa María (s. f.).
Diagnóstico ambiental municipal: Riesgos ambientales. Recuperado de
http://www.elpuertodesantamaria.es/pub/mambiente/sep06/riesgosambientales.pdf
A la hora de realizar la evaluación de riesgos ambientales, la organización deberá

establecer su propia metodología, que puede estar basada en estándares de reconocido
prestigio como la norma UNE ISO 31000, «Gestión del riesgo. Principios y directrices»,
la norma UNE-EN 31010, «Gestión del riesgo. Técnicas de apreciación del riesgo», que
sirve de apoyo para la aplicación de la ISO 31000, y la norma UNE 150008, «Análisis y
evaluación del riesgo ambiental».
En el siguiente enlace se puede ver un ejemplo de aplicación de la metodología descrita

en la norma UNE 150008.
Valdés, J. L. (2009). Metodología de análisis de riesgos ambientales (norma UNE

150008:2008). Recuperado de
http://www.cma.gva.es/comunes_asp/documentos/agenda/val/58855-
Norma%20UNE%20150008%20INSTITUCIONAL%20Valencia%2029%20eneroR1%2
0-%20OK.pdf
Vicepresidencia Segunda y Conselleria de Vivienda y Arquitectura Bioclimática. Página

web oficial. http://www.habitatge.gva.es/

131
Administración
Estrategia frente al cambio climático
Estrategia frente al cambio climático (requisito 6.6.4)
La organización se debe comprometer de manera específica con la lucha contra el cambio

climático. Para ello ha de definir una estrategia, adecuada a los aspectos e impactos
significativos identificados por la organización, a través de la cual se pongan en marcha
acciones concretas de reducción de emisiones de GEI. Se deben mantener evidencias de
los resultados obtenidos (Forética, 2017, p. 22)
El cambio climático es el mayor problema medioambiental al que se enfrenta la

humanidad desde hace siglos. Este cambio climático ha estado propiciado precisamente
por un crecimiento insostenible al que no se le ha puesto remedio a tiempo.
El cambio climático se produce por un aumento excesivo de los llamados gases con
efecto invernadero (GEI) en la atmósfera. Estos gases, como el dióxido de carbono,
el óxido nitroso y el metano, en proporciones normales, ejercen un efecto invernadero
sobre la tierra que es necesario para la vida en nuestro planeta. Cuando la radiación del
sol llega a la tierra, parte es adsorbida por ella y otra parte se refleja a la atmósfera y se
disipa. Cuando la concentración de estos gases en la atmósfera, como consecuencia de la
actividad humana (industria, agricultura y combustión de combustibles fósiles) aumenta
de manera significativa, todas las radiaciones que refleja la tierra quedan retenidas en
esa capa de gases y la tierra se calienta más de lo que debería. Así, en el último siglo las
concentraciones de estos gases han aumentado en un 30 % como consecuencia de la
actividad humana.
En el ámbito empresarial existen dos estrategias a la hora de enfrentarse al cambio

climático. Una estrategia de mitigación, es decir, disminuir las emisiones de los GEI,
y otra de adaptación, tener en cuenta los efectos del cambio climático para estar
prevenidos y evitar desastres, en cosechas, por ejemplo.
El Acuerdo de París es la gran estrategia mundial a nivel de mitigación, emitir menos

GEI, ir a una economía baja en carbono, para limitar el calentamiento global por debajo
de los 2ºC respecto de los niveles preindustriales y si es posible llevar ese límite a 1,5ºC.
La UE y España se han comprometido con el Acuerdo de París y se han marcado una
reducción de los GEI del 40 % para 2030 (según los valores de 1990) y un aumento de
las energías renovables y de la eficiencia energética de un 27 %. Este Acuerdo de París

132
Administración
entrará en funcionamiento en el año 2020 cuando concluya el segundo período del
Protocolo de Kioto.
Si tenemos en cuenta que de las emisiones globales de gases de efecto invernadero el

35 % corresponden al sector energético, el 24 % a la agricultura, el 18 % a la industria, el
14 % al transporte, el 6 % a la edificación y el 3 % a los residuos, nos damos cuenta de
que las medidas a tomar no están solo en las industrias, sino también en las ciudades y
en los focos de emisiones móviles (coches, aviones, barcos, etc.).
Las principales medidas de mitigación deben estar enfocadas, por lo tanto, a la

mejora en la eficiencia energética, la sustitución de combustibles fósiles, al desarrollo de
energías renovables, al desarrollo de un transporte sostenible, a reducir la deforestación,
a promover una agricultura y una ganadería también baja en carbono. Todas estas
medidas contribuyen a disminuir la emisión de GEI a la atmósfera.
Las organizaciones que quieran mantener un compromiso con la RSC deberán

mantenerlo también con la disminución de los GEI. La organización deberá hacer
manifiesto su compromiso con la prevención de la contaminación y con el
desarrollo sostenible, incluyendo su estrategia frente al cambio climático. Para ello, cada
organización elegirá el medio (web, publicaciones impresas, memorias, etc.) y el formato
más oportuno (política, compromiso, declaración, decálogo, etc.).
Este compromiso puede figurar en la política de gestión ética, el código de conducta, en

un documento independiente, pero en cualquier caso tiene que ser público ante los
grupos de interés. En el siguiente enlace se puede descargar una política específica de
compromiso frente al cambio climático elaborada por la empresa Iberdrola.
Iberdrola (2019). Política contra el cambio climático. Recuperado de

https://www.iberdrola.com/wcorp/gc/prod/es_ES/corporativos/docs/politica_contra
_cambio_climatico.pdf
Pero además, tal y como indica la norma SGE 21, se deberán conservar registros de los
resultados de las acciones llevadas a cabo para disminuir las emisiones de GEI adoptadas
por la organización. En el siguiente enlace es posible descargarse un documento en el
que Iberdrola pone de manifiesto el registro de los GEI en función de sus actividades.

133
Administración
Iberdrola (2019). Informe de gases de efecto invernadero. Ejercicio 2019. Recuperado de

https://www.iberdrola.com/wcorp/gc/prod/es_ES/sostenibilidad/docs/Informe_GEI.
pdf
Puedes leer un artículo de Laura Martín (2012) en la revista Compromiso Empresarial

que refleja muy bien la necesidad de seguir creciendo, pero de una manera sostenible.
Martín, L. (27 de abril de 2012). Consume con cabeza, por el planeta [en línea].
Recuperado de https://www.compromisoempresarial.com/rsc/medio-
ambiente/2012/04/consume-con-cabeza-por-el-planeta/
Desde Forética también existe un compromiso de lucha contra el cambio climático que
se manifiesta en el clúster de cambio climático, donde varias empresas, junto con
Forética, realizan diferentes iniciativas con el fin de contribuir a la mitigación de este. En
el siguiente enlace se puede consultar la información del clúster.
Forética (s. f.). Clúster cambio climático [en línea]. Recuperado de

http://www.foretica.org/programas/cluster-cambio-climatico/
5.3. Relaciones con los inversores
Buen gobierno, propiedad y gestión
Buen gobierno, propiedad y gestión (requisito 6.7.1)
La relación de la organización con sus inversores debe seguir los principios rectores de
transparencia, lealtad y creación de valor de forma sostenible. Para ello, ha de formalizar
un protocolo de relaciones con inversores o código de buen gobierno, que pondrá a
disposición de estos. En dicho protocolo, la organización definirá al menos los siguientes
elementos:
a. Las relaciones entre propiedad y gestión de la organización.
b. El contenido de la información periódica que se pondrá a disposición de los
inversores.
c. La frecuencia de dicha información.

134
Administración
d. Las vías puestas a disposición del inversor para solicitar y recibir información en
cualquier momento (Forética, 2017, p. 23).
La norma que nos ocupa resalta la necesidad de que, en esta relación

organización-inversores, primen los principios de transparencia, lealtad y creación
de valor de modo sostenible.
Todo esto se prescribe que se materializará en un protocolo de relaciones con los

inversores también denominado código de buen gobierno y que se pondrá a
disposición de estos. Dicho código deberá definir, como mínimo, lo siguiente:
» Relación entre propiedad y gestión de la organización. Para esto también hay que
establecer vías de diálogo idóneas y analizar resultados de las respuestas que se
reciban. En este aspecto, una organización ha de ser clara y transparente con lo que
pretende y lo que recibe como resultado de dicho análisis.
» Indicar la información que periódicamente facilitarán a los inversores.
» Periodicidad con que se facilitará dicha información.
» Medios por los que el inversor podrá pedir y recibir información. De nuevo acudir a
vías de diálogo o comunicación más idóneos.
En el caso de las empresas familiares, bastará con la existencia de un protocolo o

compromiso familiar en el que se recoja el contenido de este apartado, así como
evidencias de su cumplimiento. En él se pondrá de manifiesto de qué manera se
supervisan las decisiones de la organización, la frecuencia y profundidad de esta
supervisión, etc.
En aquellas organizaciones donde exista una clara diferenciación entre la propiedad y la

gestión, el protocolo debería contener una descripción acerca de la composición del
consejo de administración, así como la retribución de sus miembros. Esta información
ha de ser clara y transparente en todos los sentidos, salarios, comisiones, etc. No hay que
olvidar que cualquier inversor, que es el grupo que realmente financia a la organización,
para llevar a cabo sus actividades necesita saber en qué se invierte su capital y los
beneficios que puede obtener por ello. Simplificando, la organización no puede ni debe
«malversar» fondos de los inversores.
En el caso en que la propiedad y la gestión coincidan, el documento debería poner de

manifiesto tal circunstancia y describir la forma y el nivel de supervisión. Todo hecho

135
Administración
relevante que pudiera afectar a los intereses de los inversores deberá ser comunicado de
forma inmediata, suficiente, precisa y fiable.
Transparencia de la información (requisito 6.7.2)
La organización deberá hacer públicas y accesibles sus cuentas anuales (Forética, 2017,
p. 23).
Médicos del Mundo es un ejemplo de organización que expone sus cuentas anuales
públicamente. En su página web ponen de manifiesto la importancia que tiene la
transparencia, característica clave de la RSC, en todas sus actuaciones, como elemento
básico de intercambio orientado a promover una mayor participación e implicación de
quienes forman parte de la organización. En el siguiente enlace se puede encontrar la
política de transparencia llevada a cabo por esta ONG.
Médicos del Mundo (s. f.). Auditorías y sellos de transparencia [en línea]. Recuperado de
https://www.medicosdelmundo.org/quienes-somos/auditorias
5.4. Relaciones con la competencia
Competencia leal
Competencia leal (requisito 6.8.1)
La organización ha de respetar los derechos de propiedad de sus competidores, no

utilizar acciones indebidas para recabar información sobre ellos y no difundir
información falseada o tendenciosa en su contra. En caso de diferencias o disputas en
este sentido, se debería fomentar acudir a acuerdos entre las partes o fórmulas de
arbitraje como vía de resolución. La organización ha de mantener evidencias de las
denuncias y requerimientos específicos relacionados con asuntos de competencia y el
tratamiento dado en cada caso (Forética, 2017, p. 24).
Toda sociedad desarrollada y que pretenda defender los derechos de los

consumidores exige la existencia de competencia y que sea leal, si no, el mercado se
falsearía. De hecho, los mercados se desarrollan y enriquecen cuanta mayor competencia

136
Administración
tienen, por el contrario, los mercados sin competencia o donde esta se falsea producen
un perjuicio tanto para los consumidores como para los trabajadores.
Es por ello por lo que los estados crean organismos que vigilan la competencia de los
mercados, para evitar monopolios y oligopolios, es decir, intentan evitar el tráfico de
información privilegiada para el enriquecimiento de unos poco en detrimento del resto.
Así, en España como en Europa, existen mecanismos para la defensa de la
competencia.
En el mercado de valores tenemos al organismo que vigila para que este funcione
correctamente: la Comisión Nacional del Mercado de Valores o la Comisión
Nacional de la Competencia, que ya está integrada con la Comisión Nacional de los
Mercados y Competencia. Es el organismo público encargado de preservar, garantizar y
promover la existencia de una competencia efectiva en los mercados en el ámbito
nacional, así como de velar por la aplicación coherente de la Ley de Defensa de la
Competencia mediante el ejercicio de las funciones que se le atribuyen en esta y, en
particular, mediante la coordinación de las actuaciones de los reguladores sectoriales y
de los órganos competentes de las comunidades autónomas, así como la cooperación con
los órganos judiciales competentes.
CNMV. Página web oficial. https://www.cnmv.es/portal/home.aspx
CNMC. Página web oficial. https://www.cnmc.es/
En cuanto a la relación con sus competidores, la norma SGE 21 aboga por el respeto al
derecho de propiedad de estos. En el caso de surgir controversia, y para resolverla, remite
a acuerdos entre las partes o fórmulas de arbitraje.
Señala también que la organización no actuará indebidamente con el fin de recabar

información acerca de sus competidores, ni difundirá información falseada o
tendenciosa sobre estos, ejerciendo una competencia leal. Si se incumple esto, se está
atentando a la LOPD o al Derecho de la Propiedad Intelectual.
Será preciso también mantener un registro actualizado que contenga las denuncias y
requerimientos realizados por los competidores. En el siguiente enlace se puede leer un
artículo del abogado José Massaguer en torno a las prácticas comerciales agresivas como
competencia desleal.

137
Administración
Massaguer, J. (2010). Las prácticas agresivas como acto de competencia desleal.

Actualidad Jurídica, 27, 17-32. Recuperado de
https://www.uria.com/documentos/publicaciones/2755/documento/art01.pdf?id=254
2
Para más información sobre las prácticas comerciales desleales también se puede visitar
el siguiente enlace.
EUR-Lex (s. f.). Prácticas comerciales desleales [en línea]. Recuperado de http://eur-
lex.europa.eu/legal-content/ES/TXT/?uri=URISERV%3Al32011
El resumen de los contenidos de ambas páginas sería el siguiente:
» No se pueden ofertar productos o servicios a menor coste, indicando que la calidad es

la misma que la de la competencia si esto no es verificable.
» En el caso hipotético de que un producto o servicio no sea de la misma calidad y que
se ofrezca a menor coste, hay que indicarlo en la etiqueta. El consumidor es libre de
decir si el contenido de la etiqueta es exacto. Esto, por ejemplo, no es competencia
desleal. En los mercados existen imitaciones de grandes firmas, pero se ha de
comprobar por parte del consumidor que es una imitación. El lema sería: «no se
puede comprar a bajo precio cuando como consumidores somos conscientes a qué se
debe el bajo precio». Sin embargo, si nos venden una prenda a bajo precio y en la
etiqueta indica 100 % algodón y realmente tiene un 50 % de poliéster, la empresa
estaría incurriendo a la competencia desleal.
Cooperación y alianzas
Cooperación y alianzas (requisito 6.8.2)
La organización fomentará la incorporación a asociaciones y foros de interés común, que

sirva de encuentro con sus competidores, de intercambio de experiencias y de vías de
colaboración conjunta para promover mejores estándares de gestión responsable y
liderazgo empresarial en el fomento del desarrollo sostenible. La organización ha de
mantener evidencias de las acciones principales llevadas a cabo, indicando el interlocutor
o departamento encargado de liderar la relación, así como los resultados o impactos
conseguidos (Forética, 2017, p. 24).

138
Administración
Se potencia, desde la norma SGE 21, el establecimiento de alianzas y la cooperación a
través de asociaciones y foros donde confluir con organizaciones competidoras y poder
intercambiar experiencias.
Para gestionar la competencia leal es necesario que las empresas promuevan y

establezcan acuerdos gremiales e intergremiales en el que las buenas prácticas de RSC
orienten la conducta comercial y permitan generar un contexto de igualdad de
condiciones, de tal forma que el cumplimiento de la ley y la gestión ética empresarial no
signifique un costo empresarial que ponga en desventaja a las organizaciones que así la
asumen frente a las otras que no la cumplen, sino que por el contrario a través de ellas
las empresas impacten su entorno, marquen una tendencia (que ya exige el mercado) y
agreguen valor a su operación comercial.
La Ley 15/2007 de Defensa de la Competencia, establece el marco legal en España con

respecto a este aspecto.
España. Ley 15/2007 de Defensa de la competencia. BOE, de 4 de julio de 2007, núm.

159, pp. 28848-28872. Recuperado de https://www.boe.es/buscar/doc.php?id=BOE-A-
2007-12946
Un ejemplo de cooperación entre organizaciones lo encontramos en la siguiente

campaña de UNICEF (2012) a través del artículo de Correponsables.
Corresponsables (26 de junio de 2012). UNICEF busca acercarse a sus empresas aliadas
y colabora con Quiero para dicho reto [en línea]. Recuperado de
http://www.corresponsables.com/actualidad/unicef-busca-acercarse-sus-empresas-
aliadas-y-colabora-con-quiero-para-dicho-reto-0
Además, en el siguiente enlace se muestra una publicación de la Federación Andaluza de

Municipios y Provincias (2004), en torno a la cooperación empresarial que también
puede resultar interesante:
Federación Andaluza de Municipios y Provincias (2004). Cuaderno de emprendedores y

empresarios. Recuperado de
http://documentos.famp.es/documentacion/publicaciones/2004cuademprendedores1
0.pdf

139
Administración
Se pueden plantear una serie de objetivos posibles en materia de responsabilidad social
corporativa respecto a este tema y cómo plasmarlos a través de diferentes actuaciones tal
y como se recoge a continuación:
» Compartir las «buenas prácticas». Actuaciones:

o Participación en jornadas de RSC en el entorno de actividad de la empresa.
o Liderar esta actuación en la asociación empresarial a las que pertenezca.
o Difundir las «buenas prácticas» de la empresa, si se pueden tomar como referente.
» Establecer colaboraciones para proyectos de innovación. Actuaciones:

o Participación en asociaciones sectoriales.
o Realización de joint-ventures con empresas del sector a nivel local, nacional e
internacional.
o Participación conjunta en programas de desarrollo regional.
» Fomentar asociaciones que promuevan la RSC. Actuaciones:

o Fomentar una línea de trabajo sobre la RSC en la asociación sectorial.
o Impulsar compromisos y códigos de conducta sectoriales.
o Adhesión a asociaciones empresariales a favor de la RSC y la sostenibilidad.
5.5. Relaciones con la Administración
Administraciones públicas
Cumplimiento de la legislación y normativa (requisito. 6.9.1.)
La organización debe garantizar el seguimiento y control de los requisitos legales

relevantes que afectan a su actividad, incluyendo la legislación y normativa que sea
específica de su sector, entorno local, ambiental, social y laboral allí donde opere. Para
ello, la organización ha de mantener actualizada la identificación de la legislación y
normativa aplicable, estableciendo un sistema de cumplimiento y prevención de delitos
(Forética, 2017, p. 25).
No es suficiente con la estricta observación y cumplimiento de la normativa vigente, sino

que este compromiso requiere un mayor nivel de exigencia a la organización. Para
ello, es necesaria la identificación, seguimiento y control de todos los requisitos legales

140
Administración
que sean aplicables a la organización, tanto sectoriales como de carácter territorial, así
como laborales y sociales.
En este punto vemos que se dan coincidencias con otros sistemas de gestión como, por
ejemplo, el de calidad según normas ISO 9001, el de gestión medioambiental ISO 14001
o el de seguridad y salud en el trabajo en base al estándar OHSAS 18001.
Fiscalidad responsable
Fiscalidad responsable (requisito. 6.9.2.)
La organización debe hacer público un desglose de los impuestos satisfechos,

relacionándolo con el volumen de actividad desarrollado en el país donde esta opere
(Forética, 2017, p. 25).
El concepto de fiscalidad responsable está últimamente en boca de todos. En el siguiente

enlace se puede leer un artículo enfocado precisamente en este tema y que clarifica lo
que significa y las implicaciones que este concepto tiene en las organizaciones.
Ruiz, P. (8 de septiembre de 2016). Fiscalidad responsable, la nueva tara de las empresas

[en línea]. Recuperado de http://www.foretica.org/blog/la-ingenieria-fiscal-bajo-la-
lupa-de-la-rse/
Colaboración y alianzas público-privadas
Colaboración y alianzas público-privadas (requisito 6.9.3)
La organización ha de mantener los canales de comunicación y diálogo que considere

convenientes con las Administraciones Públicas con las que se relacione, con el fin de
cooperar en el desarrollo de alianzas público-privadas que fomenten una cultura de
gestión ética y responsabilidad social en la comunidad donde opera (Forética, 2017, p.
25).
La relación que se deberá tener con las administraciones públicas debería ser la de un
colaborador de la organización, no la de una mera barrera administrativa y
legislativa para el desarrollo de la actividad correspondiente en cada caso.

141
Administración
Hay que tener la visión de la Administración no como una barrera a la actividad,
porque puede dar lugar a desarrollar actuaciones poco éticas como caer en la tentación
de sortear los obstáculos a través de posibles sobornos u otras actuaciones que no se
corresponden con un comportamiento ético adecuado. Hay que cambiar el criterio que
se puede tener de la Administración como un obstáculo a la actividad. Por el contrario,
es un elemento más con el que colaborar y poder desarrollarse y aprovechar las sinergias
que puedan surgir.
Hay que señalar que las empresas deben cumplir con las obligaciones legales y
normativas que les son de aplicación en cada país donde desarrollen su actividad como
mínimo, aparte de los compromisos que quieran adoptar.
De esta manera, las empresas y organizaciones se convierten en un elemento más de la

sociedad participando en el desarrollo de esta en la misma línea que el resto de los
ciudadanos, ya que todos juegan con los mismos derechos.
Las organizaciones, en el marco de su gestión socialmente responsable, deben establecer

vínculos con los diferentes actores del cambio para emprender acciones conjuntas para
la sostenibilidad de su entorno. Las administraciones públicas son aliadas
imprescindibles en esta tarea.
Por ello, las organizaciones deben establecer mecanismos que le permitan una
comunicación bidireccional y un diálogo permanente con los entes públicos que
tienen presencia en su territorio, de tal forma que logre informar y ser informada sobre
diferentes temas de interés común, para unificar esfuerzos en el desarrollo de proyectos
que contribuyan al bienestar social y la promoción de una cultura ética y responsable, a
través de la cooperación y el establecimiento de alianzas.
Dichas alianzas pueden involucrar tanto a los gobiernos municipales, regionales o

nacionales y sus diferentes instituciones (incluyendo universidades), como a los
organismos públicos supranacionales, por ejemplo, Naciones Unidas y sus diferentes
programas.

142
Administración
Hay una serie de objetivos posibles en materia de responsabilidad social corporativa
respecto a este tema:
» Establecer relaciones de responsabilidad con la Administración. Actuaciones:

o Fiscalidad responsable cumpliendo con la legislación.
o Control del historial de sanciones y litigios por incumplimientos legales (laboral,
medioambiente, competencia, propiedad intelectual…).
o Control y sanción de prácticas ilícitas del personal de la empresa en la búsqueda de
trato de favor por parte de las administraciones (corrupción).
o Cumplimiento estricto de contratos y convenios firmados.
» Colaboración con las administraciones cercanas. Actuaciones:

o Participación en iniciativas públicas de sostenibilidad y RSC.
o Participación en la Agenda 21 local.
o Realizar convenios de colaboración con la administración local (ayuntamiento)
para diversos temas: contratación preferente de personal local, vinculación al
municipio, visitas escolares a las empresas, seguimiento del impacto
medioambiental de la empresa, etc., colaboración en la elaboración de normativa
o regulación, colaborar con administraciones para incluir criterios RSC en
adjudicación de contratos y suministros de la Administración.
Forética (2017). SGE 21. Sistema de Gestión Ética y Socialmente Responsable. Madrid:
Forética. Recuperado de http://www.foretica.org/norma_SGE_21.pdf

143
Capítulo 6
Sistemas de gestión I+D+i
144
Capítulo 6: Sistemas de gestión I+D+i
6.1. Gestón de la innovación, proyectos de I+D+i
Las actividades de I+D+i (investigación, desarrollo e innovación) son fruto de la

confluencia de una idea, una oportunidad de negocio o de una visión, etc. que son puestas
en práctica en un entorno cada vez más complejo, diverso y hostil.
Complejo: los cambios son bruscos, en ocasiones no se puede intuir la dirección en la

que cambiará el producto, el mercado, etc.
Diverso: la legislación es cambiante, marketing cada vez más agresivo, fiscalidad

incierta (IVA 15, 18, 21%…), otros países y continentes.
Hostil: la crisis ha hecho crecer la competencia de las organizaciones, la globalidad hace

que accedan a todos los mercados.
Para luchar con todo esto se necesitan profesionales altamente cualificados e

innovadores. De la gestión del I+D+i se obtendrá ese «plus diferencial» que hará triunfar
a la organización en su entorno, llegando a ser referentes dentro del sector. La innovación
debe plantarse como un paseo en bicicleta, si dejamos de pedalear nos caemos.
Muchas son las organizaciones que han caído por dejar de innovar (de pedalear) cuando
estaban en la cima. Por ejemplo, las líneas de transporte en Estados Unidos (las famosas
diligencias) no supieron ver el potencial de los ferrocarriles; el éxito de estos supuso el
finiquito de las diligencias y su posterior desaparición.
Un ejemplo mucho más reciente es la caída de Kodak, una de las empresas más
importantes de los Estados Unidos y claro ejemplo del mercado hostil, que no perdona
el «dejar de pedalear».
Se puede comprobar que no importa el tamaño de la organización, cualquier

organización puede caer. Uno de los mayores problemas de Kodak es que no supo
escuchar a sus clientes. No fue capaz de entender el cambio de mentalidad de los clientes
y ello le llevó a seis años consecutivos de pérdidas.
Por todo ello, se puede deducir que es necesario analizar los hábitos de vida, analizar
otros mercados cercanos, aprender de las «experiencias de otros», analizar las

145
necesidades de los clientes adelantándose en el tiempo y, sobre todo, dotar de recursos

económicos y equipos de trabajo competentes.
Innovar significa dar rienda suelta a la imaginación, la creatividad, la participación de

las personas y, algo muy importante, perder el miedo a confundirse, al fracaso. Lo
importante no es no caerse, sino el tiempo que tarda la empresa en levantarse. Y lo más
relevante, para progresar, es necesario innovar.
Globalización
Competitividad
PROGRESO
Innovación
Figura 1. Progreso.
Como resumen, es preciso tener en cuenta que, para progresar en un mundo altamente
competitivo (complejo, diverso y hostil) y globalizado, es necesario innovar para
poder progresar.
6.2. Aspectos que facilitan la innovación en la empresa
A los aspectos descritos en el punto anterior (dar rienda suelta a la imaginación, la

creatividad, la participación de las personas y, algo muy importante, perder el miedo a
confundirse, al fracaso) sin duda se debe añadir el capital humano, el conocimiento del
entorno, el espíritu emprendedor y las alianzas estratégicas.
El capital humano: siempre se ha dicho que el capital humano es el más importante

de la empresa. Pues bien, ha llegado la hora de demostrarlo, en el campo de la I+D+i es
básico que las personas se sientan valoradas de esta forma, para ello, hay que fomentar
las oportunidades de formación y cualificación (tanto interna como externa), sin miedo

146
a que se vayan a la competencia. Escuchar sus sugerencias, sus ideas, hacerles sentirse
partícipes de ese pulso de la empresa y alimentar su curiosidad (ganas de investigar) de
aprender (incluso de otras empresas de la competencia). Todo esto proporcionará un
equipo humano capacitado para enfrentarse a cualquier nuevo reto e identificado con el
proyecto de empresa.
El conocimiento del entorno: es muy importante, no solo de las empresas de la

competencia, sino el entorno del mercado, sus tendencias, las necesidades manifiestas
de nuestros clientes potenciales. Esto se puede ver en las ferias, en encuestas,
conferencias especializadas, congresos, estudios de mercado, etc.
El espíritu emprendedor: se debe orientar y dirigir ese empuje emprendedor de las

personas de la organización, canalizarlo a través de apuestas seguras (previamente
analizados y sopesados los riesgos) para minimizar el riesgo de fracaso de la idea; no es
posible aceptar riesgos al azar. Sin duda a ese espíritu emprendedor se debe sumar la
responsabilidad de los participantes, la capacidad de organización y la dotación de
recursos.
Las alianzas estratégicas: no hay que despreciar a priori a la competencia, la

organización tiene que ser inteligente. Una alianza estratégica puede permitir compartir
gastos, aportar nuevas ideas al desarrollo del producto y, en consecuencia, ser más
competitivos y llegar mucho más lejos. Claros ejemplos se tienen en automoción, con
modelos desarrollados en común por Citroën, (Jumpy), Peugeot (Expert) y Fiat
(Escudo). Lo importante es el ahorro de costes en la parte de investigación y desarrollo
del producto, así como en la fabricación posterior de los componentes.
6.3. La actitud emprendedora e innovadora en la empresa
Mucho se ha hablado de la innovación y siempre se ha dicho que la innovación es tarea

de todos en la empresa, por ello es muy importante la motivación de las personas,
sentirse parte de un proyecto global.
Las normas UNE que hablan de la innovación en concreto son las siguientes:
» UNE 166000, «Gestión de la I+D+i»: terminología y definiciones de las actividades

de I+D+i.

147
» UNE 166001, «Gestión de la I+D+i»: requisitos de un proyecto de I+D+i. El objeto

de esta norma es:
o Facilitar la sistematización de las actividades de investigación, desarrollo e
innovación en forma de proyectos de I+D+i.
o Ayudar a definir, documentar y elaborar proyectos de I+D+i, mejorar su gestión,
así como la comunicación a las partes interesadas.
» UNE 166002, «Gestión de la I+D+i»: requisitos del sistema de gestión de la I+D+i.

Los objetos de la norma son los siguientes:
o Directrices y requisitos para la implantación y mantenimiento de un sistema de
gestión de la I+D+i.
o Orientación para comprender el contexto de la organización; establecer el
liderazgo y el compromiso de la dirección, planificar el desarrollo de la I+D+i,
identificar y fomentar los factores que dan soporte a la I+D+i, evaluar y mejorar el
rendimiento del sistema.
o Un mayor conocimiento a las organizaciones, del valor de un sistema de gestión de
la I+D+i, del establecimiento de dicho sistema, de ampliar su capacidad
innovadora, demostrar frente a terceros el cumplimiento de los requisitos de esta
norma y generar más valor para la organización y las partes interesadas.
También la Administración ha desarrollado una Estrategia Nacional de Ciencia y

Tecnología (ENCYT) para hacer que las empresas españolas mejoren su competitividad
empresarial mediante el empleo del I+D+i como factor clave. Puedes encontrar el
documento con las Estrategia 2013-2020 en el siguiente enlace:
Ministerio de Economía y Competitividad (2013). Estrategia Española de Ciencia y

Tecnología y de Innovación. Recuperado de
https://www.ciencia.gob.es/stfls/MICINN/Investigacion/FICHEROS/Estrategia_espa
nola_ciencia_tecnologia_Innovacion.pdf

148
Las políticas de ciencia y tecnología que las empresas españolas deben marcarse en el
período 2013/2020 se pueden resumir de la siguiente manera:
» La coordinación de las políticas de I+D+i.

» La definición de un marco estable de planificación.
» La aplicación de criterios de calidad y relevancia e impacto social
internacionalmente reconocidos en la asignación de los recursos públicos
Principios
competitivos destinados al fomento de las actividades de I+D+i.
básicos
» La eficiencia y rendición de cuentas en todas las actuaciones ligadas al
fomento de la I+D+i de las Administraciones públicas.
» La incorporación de la perspectiva de género en las políticas públicas de
I+D+i.
» El reconocimiento y promoción del talento en I+D+i y su empleabilidad.
Objetivos
» El fomento de la investigación científica y técnica de excelencia.
generales » El impulso del liderazgo empresarial en I+D+i.

» El fomento de actividades de I+D+i orientadas a los retos globales de la
sociedad y en especial a aquellos que afectan a la sociedad española.
» La definición de un entorno favorable que facilite el desarrollo de las

actividades de I+D+i y permita la creación de un marco flexible y eficiente
tanto en el ámbito de la I+D pública como empresarial y adaptado a las
necesidades de los agentes.
» El impulso a la Especialización y agregación en la generación de
conocimiento y talento que promueva una clara división de funciones entre
los agentes para facilitar el liderazgo internacional en I+D+i y potencie la
complementariedad de las actividades que se desarrollan en los distintos
niveles eliminando las ineficiencias asociadas a la redundancia y falta de
Ejes especialización.
prioritarios » El estímulo a la transferencia y gestión del conocimiento en entornos
abiertos y flexibles de colaboración en I+D+i en los que la interacción, la
difusión de ideas, y la adopción de objetivos y modelos compartidos
favorezca el desarrollo de nuevas ideas e incentive su traslación a
novedosas aplicaciones tanto comerciales como no comerciales que
permitan mejorar los resultados obtenidos.
» El apoyo a la internacionalización y promoción del liderazgo internacional
del sistema español de ciencia, tecnología e innovación ya que constituyen
un claro factor de competitividad y diferenciación que es necesario
potenciar.

149
» La definición de un marco regional altamente competitivo basado en la

especialización inteligente de los territorios que permita vertebrar, en las
distintas comunidades autónomas, el desarrollo social y económico
necesario para favorecer la convergencia a partir de las capacidades del
tejido productivo existentes, el potencial científico de sus agentes y el
impulso a la innovación como motor del cambio y del progreso.
» La difusión de una cultura científica, innovadora y emprendedora que
permee en el conjunto de la sociedad, fomente la creatividad e impulse un
mayor grado de aceptación social e institucional del emprendimiento.
Tabla 1. Resume de las políticas de ciencia y tecnología que las empresas españolas deben marcarse
en el período 2013/2020.
Hasta ahora se ha hablado de normas UNE, de estrategias, pero ¿cómo se fomenta la

actitud emprendedora e innovadora en una empresa? ¿Cómo se puede generar un
entorno favorable para innovar?
En primer lugar, se debe motivar a los colaboradores de la empresa ejerciendo un

liderazgo positivo. Tres factores muy importantes son la intuición para la innovación, el
pensamiento creativo y la asertividad.
Intuición: siempre se ha pensado que la estrategia nace de una comprensión del futuro,
en definitiva, un tablero de ajedrez ordenado, pero la realidad que rodea a una empresa
es compleja, diversa y hostil. Esto proporciona cambios rápidos en un futuro
incognoscible, en el que la intuición es básica para dirigir el rumbo. Hasta ahora se han
reconocido tres tipos de intuiciones: la ordinaria, la experta y la estratégica.
» Intuición ordinaria: es cuando algo se hace sin pensar, no se sabe la razón por lo que
se ha hecho así.
» Intuición experta: sucede algo y hace que se pueda reconocer algo familiar. Un
ejemplo es la persona que entrena artes marciales (por ejemplo, Aikido), le atacan con
un puñetazo a la cara, analiza la velocidad, potencia, etc. y reacciona parando el
ataque. Esto es válido para situaciones concretas, pero no para la gestión de la
innovación. En ocasiones la experiencia acumulada como gestores hace crear unos
pares acción-reacción que no dejan lugar para la innovación; es más, eliminan
cualquier posibilidad de innovación.

150
» Intuición estratégica: consiste en analizar todas las variables que suceden en un

momento (la mente es bombardeada por un montón de información inesperada),
obliga analizar la situación y a tomar una decisión. De esta observación del entorno
nacen las ideas más brillantes e innovadoras. Un ejemplo claro es Henry Ford, que
estando de visita en un matadero de reses pudo ver como las reses se desplazaban por
la cadena y eran descuartizadas pieza a pieza. Esto le dio la idea de montar una cadena
de montaje para sus automóviles. Esta visión sigue presente en la actualidad y ha sido
crucial para el desarrollo del sector automovilístico a lo largo del siglo XX, no solo en
la fabricación, sino que ha hecho posible fabricar automóviles a precios razonables,
para que la mayor parte de la población pueda acceder a su compra.
Pensamiento creativo: en el entorno puede haber personas con pensamiento

creativo, para ello no hace falta ser un gran sabio, no es necesario ser un referente en la
profesión, pero sí se pueden identificar algunos factores que ayudarán a tener un
pensamiento creativo:
» Conocer lo que motiva a la empresa: conocer a la propia empresa, saber por qué
se es diferente al resto, los puntos fuentes, débiles, las metas, etc.
» Las ganas de conseguir las metas fijadas: lograr lo que la organización se ha

propuesto, no hay tiempo para medias tintas.
» El conocimiento y el orden: tener la formación y capacitación para emprender el

viaje. Cuando iniciamos un viaje cuidamos el equipaje, los vuelos, etc. Lo mismo
sucede en la innovación.
» Asumir riesgos: hay que perder el miedo a confundirse, sin riesgo no hay
innovación, se repetirá lo ya conocido en entornos controlados. El riesgo es mucho
menor, pero la innovación es nula.
» Asertividad: invitar a cualquiera de los colaboradores a aportar ideas, ayudarles con

ellas, ayudarles a perder el miedo a opinar, el miedo a confundirse, presentarles un
futuro distinto.

151
6.4. Innovar y fabricar nuevos productos
Se tiene el nuevo producto, ya se tiene la idea, ya se sabe lo que se va a desarrollar. Para

ello se ha investigado, indagado y encontrado nuevos conocimientos capaces de mejorar
los procesos, los productos e incluso de generar nuevos productos o servicios, pero no
hay que lanzarse a lo loco. «El tiempo de reflexión es una economía del tiempo» (Syrus
Publius, s. I a.C.).
Antes de desarrollar el nuevo producto, se debe reflexionar sobre varios aspectos:
» ¿Es útil la idea, sirve para algo, mejora algo?

» ¿Se puede fabricar?
» ¿Cuál es el precio óptimo que pagaría el mercado a la empresa para un gran grupo de
compradores?
» ¿Se puede fabricar y comercializar con el coste asumido por el mercado?
» ¿Qué obstáculos hay para acceder al mercado?
Si se representa gráficamente:

152
Primera fase No, replantear y

analizar de
nuevo
¿Es útil nuestra idea, sirve para mejorar algo?
Segunda fase No, replantear y

analizar de
nuevo
¿Se puede fabricar?
Tercera fase No, replantear y

analizar de
¿Cuál es el precio «popular» del producto para el nuevo
gran mercado?
Cuarta fase No, replantear y

analizar de
nuevo
¿Se puede fabricar a coste de mercado?
Quinta fase Si es OK,

sacar el
¿Cuáles son los obstáculos que tenemos que producto
sortear para salir al mercado? al
mercado
No, replantear, analizar,

corregir y sacar al mercado
Figura 2. Fase de reflexión previas a sacar el producto al mercado.
Primera fase: utilidad de la idea
El mercado está lleno de ideas inútiles que no sirven para nada, que en el mejor de los
casos supone un despilfarro de imaginación, de medios y recursos.
Se puede citar como ejemplo el «encendedor ecológico de cigarros». Evidentemente su

éxito es nulo, ya que no es una idea útil. Es imposible colocarlo en el mercado, se queda
como una muestra de ingenio, de chispa.
Evidentemente resulta mucho más sencillo y barato encender un cigarro con un mechero
y más aún si hay que llevar la lupa en el bolsillo. Por tanto, si la idea está en esta etapa se
debe replantear el proyecto, tal como se define en la figura anterior.

153
Para valorar la utilidad de un producto de forma numérica y que sea algo subjetivo se
puede hacer con una matriz de valoración:
Fase producto Compra Uso Mantenimiento Eliminación Total
Razón venta V= 1-4 V= 1-4 V= 1-4 V= 1-4 Valor corte
Necesidad 2 3 2 1
Simplicidad 4 3 2 1
Comodidad 4 3 3 1
35
Diversión 2 3 1 1
Imagen social 4 4 2 1
V. Total 47
Figura 3. Matriz de valoración de la utilidad del producto.
Hay que tener en cuenta que los valores serían: 1=poco, 2=algo, 3=bastante y 4=mucho.
Dicha matriz se compone de 20 casillas para valorar, con un valor máximo de 4, luego la
puntuación máxima a obtener es de 80 puntos.
Posteriormente, se definirá una nota de corte basada en la experiencia. Cuando el valor

de utilidad de la idea pase el valor de corte, se habrá superado dicha fase y se pasará a la
siguiente.
Si no es así, se analizará si el valor de corte ha sido acotado correctamente y en caso

afirmativo se concretarán posibles acciones que acondicionen la validez de la idea
en cuanto a los conceptos definidos como valorables (necesidad del producto para el
mercado, uso simple del producto por el cliente, comodidad que le reconfortaría el
producto (la idea) diversión o imagen social).
Así se podrán recoger todas las ideas de todo el equipo y ser independientes a la hora de
valorar las ideas entre todos. Las razones de éxito pueden variar para distintos
productos, mercados, etc.; lo único que no se pueden hacer es «trampas al solitario,
deben ser consensuadas con el grupo.

154
Segunda fase: ver si se puede fabricar
Desde hace siglos, no pocos inventores trabajan en la construcción de una máquina que
no necesite energía y no pare nunca. Tal vez si alguien lee estas líneas dentro de mucho
tiempo piense que soy un iluso, pero la realidad del siglo XXI es que esto no es posible.
Queda claro que hay que comprobar que la innovación es posible de fabricar con
los medios técnicos, materiales y tecnología disponible en estos momentos; perseguir
quimeras no entra dentro del campo de la innovación.
Si no pasa el filtro de la fase dos, el proyecto volverá a la fase uno para su modificación,
hasta que supere la fase.
Tercera fase: precio de mercado
Buscar un precio popular de mercado permite acceder a diferentes mercados y a muchas

personas, para que los costes de fabricación sean pequeños.
Esta fase es muy importante. Basta citar como ejemplo a todas las empresas de low cost
que venden productos a precio asequible con una calidad aceptable y en más de una
ocasión innovación y diseño.
También se pueden citar como ejemplo de innovación todas las agencias de viajes online,
que han surgido de la noche a la mañana, donde el cliente puede configurar su viaje y
escoger la mejor opción. Esto hace peligrar a medio plazo el negocio de las agencias de
viajes, pero sin duda el precio de mercado que ofrecen las agencias online se acomoda
más a los gustos de los clientes.
Se debe analizar el mercado, por si existiera algún producto similar o que pueda ser
competidor y tomar como referencia su precio en el mercado para estudiar las ventajas
sobre el mismo. Ejemplo: Fijación de precios a un teléfono móvil
Habrá que pensar al sector del mercado al que va dirigido, persona joven, adulto,
empresario, estudiantes etc., dado que los requisitos serán distintos.
Mirar marcas similares en el mercado: analizar la competencia y ver los precios que
tienen para productos similares.

155
En el precio puede ser decisivo que el producto sea único en el mercado, que esté
protegido por temas legales (patentes, etc.), en caso contrario de no tener protección, de
ser un producto ya explotado por otras marcas, el precio se verá muy influenciado por la
competencia.
Cuarta fase: fabricar a precio de mercado
Una vez sabido el precio que está dispuesto a pagar el mercado por el producto se debe
analizar claramente si se puede hacer. Para ello hay que:
» Hacer un escandallo detallado con todos los costes.

» Comprar con el precio de coste objetivo definido en el inicio del proyecto.
» Decidir si el margen que queda del producto es el adecuado.
» Realización del prototipo y su chequeo, previo al lanzamiento al mercado
Escandallo detallado de costes: los costes de todas las partes que participan en el
proyecto:
1. Mano de obra (directa e indirecta):

a. Operarios de nivel 1.
b. Operarios de nivel 2.
c. Absentismo.
d. Etc.
2. Los materiales:
a. Materiales para la fabricación.
b. Embalaje.
c. Etc.
3. Maquinaria:
a. Amortización.
b. Costes energéticos.
c. Mantenimiento.
d. Etc.
4. La logística y el embalaje:
a. Logística interna.
b. Envíos a clientes.
c. Requisitos de embalaje.
d. Reciclado de este.

156
e. Etc.
5. Beneficio industrial.
6. Costes de la comercialización.
Comprar con el precio de coste objetivo definido en el inicio del proyecto con el real
de mercado. Pensando en el proyecto inicial de fabricación de teléfonos móviles, se
supone que su precio de mercado es de 150 € (Samsung Galaxy mini de 160 €, modelo
Nokia similar 175 €) y el coste de fabricación es de 50 €. En este caso se puede decir que
el producto lo estamos fabricando a un coste razonable, ya que permite soportar el
beneficio industrial, el margen del minorista y el del vendedor a detalle. El único
problema en ese caso será la definición de las barreras de precios para cada uno de los
actores en la cadena de valor y los beneficios que le corresponden a cada una de las
partes.
Decidir si el margen que queda del producto es el adecuado: el margen mínimo

que debe generar un producto debe superar al menos los intereses que este dinero
produciría en un banco. ¿Cuál debe ser este margen? Depende de muchos factores, pero
se resaltan tres:
» Coste de fabricación: debe de obtenerse un producto de calidad, que satisfaga las

expectativas del cliente.
» Los clientes: influyen desde la demanda y la implantación del precio y por tanto de
los márgenes, siempre debe hacerse desde los ojos del cliente.
» Los competidores: están más allá de las fronteras de la organización, en el caso de
productos similares y de fácil sustitución son determinantes.
Quinta fase: obstáculos antes de salir al mercado
Realización del prototipo y su chequeo, previo al lanzamiento al mercado.
Lo primero que se debe hacer antes de salir al mercado es analizar si el producto es viable,
ya no sobre el papel, sino en la realizada. Para ello, se fabricarán unos prototipos y se
seguirán las siguientes fases:
» Realizar unos prototipos lo más parecido al comercial.

» Preparar unos chequeos del producto en planta.

157
» Establecer un cuestionario de preguntas, para entregar junto a las muestras

(empleados, accionistas, voluntarios, etc.)
Realización del producto/servicio: hay que fabricar los primeros prototipos lo más
parecidos a los que se vayan a comercializar (componentes, cableados, carcasas, etc.),
aunque sean montados de forma artesanal; deben simular la misma calidad de producto.
En este apartado se deben tener en cuenta las diferencias que se encontrarán si
fabricamos un producto o se está diseñando un servicio.
Diferencias entre realización de productos o servicios
Productos Servicios
Son elementos tangibles, por lo que al diseñar Los servicios son intangibles con lo que siempre
podemos definir con facilidad las características tendremos dificultades para definir sus
de los materiales. Por ejemplo: Un teléfono características. Por ejemplo: la atención
ciudadana en la administración.
No se consume a la vez que se produce. Esto nos El consumo del servicio por el cliente coincide
permite tener retroinformación para corregir en el tiempo con la generación del servicio,
posibles fallos. Ejemplo: un teléfono con la estamos en directo. En el caso de la atención
carcasa defectuosa, la podemos cambiar antes ciudadana, si cometemos un fallo y hay un mal
de entregárselo al cliente. entendido no tenemos una red para
solucionarlo, ya ha pasado
A la hora de fabricar un producto no siempre El servicio depende en gran medida de las

podemos replicarlo exactamente, a pesar de que personas y estas no siempre están con el mismo
el proceso esté automatizado, estos nunca son humor, ni las mismas ganas, luego es mucho
100% iguales. más difícil. Por ello debe de estar mucho más
definido.
Figura 4. Diferencias entre realización de productos o servicios.
Preparar los chequeos del producto en planta: hay que simular las condiciones
de uso para las que han sido diseñados los productos y en las que trabajarán a lo largo de
su vida, de la forma más fiel que se pueda ser capaz. Se someterán a ensayos de vida,
estrés, envejecimiento (simulando condiciones extremas como nieblas salinas, etc.), se
tomarán nota de todas las anomalías que puedan surgir. Estas anomalías deben de ser
analizadas y solucionadas antes de comercializar el producto en el mercado.

158
Cuestionario de preguntas. Estas preguntas deben de ir en la línea generada para la

encuesta de utilidad de la idea pensada (vista en el punto anterior), encaminada sobre
todo a ver la utilidad del producto para los encuestados, su potencial interés en la
compra, si le cambiaría algo al producto. Para ello, se podrá preguntar lo siguiente:
» ¿Le parece útil el producto?

» ¿lo necesita en la actualidad, le facilitaría la vida?
» ¿Le parece sencillo su manejo?
» ¿Le resulta divertido su empleo?
» ¿Mejora su imagen social?
Las preguntas de validez del producto irán alineadas y serán coherentes con el tipo de
producto que se tenga, es absurdo preguntarse si mejora su imagen social si lo que se
quiere evaluar es un modelo nuevo de tiritas, no así si se habla de un modelo nuevo de
coche.
6.5. Desarrollo del producto en serie
Una vez detectados los posibles problemas, antes de comenzar a fabricar en serie el
producto, habrá que analizar los problemas que hay. Para ello existe una gran variedad
de métodos en el mercado, AMFE (análisis modal de fallos y efectos), Ishikawa, etc.
El método AMFE: se aplica entre otros campos a la mejora (tanto de procesos como
de productos) y se basa en analizar el futuro producto y estudiar los fallos que se podrían
producir y las causas y los efectos derivados del modo de fallo previsto. Esto sin duda
ayudará en la fase de desarrollo del producto, no solo en la reducción de costes, sino en
la fiabilidad del desarrollo del proceso o producto innovado. El AMFE tiene un carácter
preventivo, es un método sistematizado, que permite una priorización de las acciones y
facilita la participación de todos.
» Preventivo: estudia los posibles fallos adelantándose a que sucedan en el cliente.

» Sistematizado: metodología estructurada que asegura que todos los aspectos son
analizados.
» Priorización: permite ordenar por su valor las acciones prioritarias, para
anticiparse en el tiempo a los fallos previstos.

159
» Participación: se pueden desarrollar en grupos de trabajo, permitiendo la

participación de todas las personas del equipo de I+D+i.
La metodología AMFE tiene seis etapas claramente definidas:
» Fase 1. El equipo de trabajo habitualmente está formado por personal de amplia

experiencia, generalmente del departamento de I+D.
» Fase 2. Hay que definir el producto que se va a desarrollar o el proceso de fabricación
que se va a emplear para el nuevo producto (según lo que se quiera estudiar, producto
o proceso) delimitando bien el alcance del AMFE.
o Si el AMFE es de diseño: planos, especificaciones del diseño, etc.
o Si el AMFE es de proceso: diagrama de flujo del proceso, ensayos, etc.
» Fase 3. Es necesario definir claramente las funciones del producto o proceso a
diseñar, su entorno, etc.
» Fase 4. Listar los modos de fallo potenciales, para cada una de las funciones
definidas. Para este trabajo se podrán utilizar las encuestas realizadas en los puntos
anteriores (chequeos de prototipos, por personal de confianza), realizando tormentas
de ideas con los expertos de la organización, etc.
» Fase 5. Definir los efectos de los fallos, definiendo para cada modo potencial de fallo
todas las posibles consecuencias. Hay que tener en cuenta que cada fallo puede tener
en el cliente varios efectos.
» Fase 6. Para cada modo potencial de fallo deben identificarse las posibles causas raíz
que lo pueden originar.
Es importante llegar a las causas-raíz, para que la acción correctiva propuesta se muestre
eficaz y que no aparezcan los fallos en el cliente.
Para calcular el NPR (número de prioridad del riesgo) que definirá las prioridades en la
actuación, habrá que tener en cuenta los siguientes índices:
» Gravedad.
» Ocurrencia.
» Detección.
NPR = G x O x D
Los valores más altos indicarán la dirección en la que se deben priorizar los esfuerzos.

160
Para cada uno de los aspectos (gravedad, ocurrencia y detección) se valora del 1 al 10 en
base a su importancia. Para hacerlo de forma sistematizada, se recomienda emplear las
tablas editadas para este fin.
Se debe comenzar realizando acciones preventivas encaminadas en primer lugar a

disminuir los índices de gravedad (G) y ocurrencia (O). Si no se pueden atacar estos
campos, se propondrán acciones correctivas para disminuir el índice de detección (D),
de tal forma que los productos que salgan al mercado con problemas potenciales sean
mínimos.
La fabricación de un producto innovador en serie tendrá en cuenta cualquier apartado

definido en normas como la ISO 9001 o similar, a fin de que el proceso esté controlado,
destacando lo siguiente:
La dotación de medios:
» RRHH.
» Infraestructuras.
» Económicos.
» Etc.
Realización del producto:

» La planificación de la realización del producto.
» Control de los equipos de fabricación, seguimiento y medición.
» Diseño y desarrollo del producto/ servicio.
» Compras.
» La relación con el cliente.
Medición análisis y mejora:

» Seguimiento y la medición de los productos/ servicios.
» Análisis de los datos.
» Mejora continua:
o Auditorias de producto, proceso, sistema.
o Acciones preventivas.
o Acciones correctivas.
En definitiva, se debe hacer una fabricación que satisfaga las expectativas que el cliente
tiene del producto, aplicando para ello la mejora continua basada en el ciclo de Deming.

161
» Planificar toda la fabricación o prestación del servicio, acorde a lo diseñado, a fin de

satisfacer las expectativas de los clientes.
» Desarrollar las fases definidas, mediante la aplicación de las instrucciones de

fabricación o prestación del servicio.
» Controlar el proceso de fabricación y las características del producto mediante las

pautas de control. Se establecerán auditorias de producto, proceso, etc. a fin de
desarrollar la actividad en un entorno controlado.
» Actuar sobre aquellas no conformidades detectadas, mediante acciones correctivas:
No conformidad
Análisis
Acción inmediata (elimina el

efecto)
Determinación de causa
Acción correctiva (elimina la

causa)
Cumplimiento
Seguimiento
Eficacia
Figura 5. Esquema de actuación sobre las no conformidades.
La figura anterior muestra cómo se puede abordar eficazmente una no conformidad.

Habría que eliminar las causas raíz que originan el problema. El caso contrario llevará a
perder la confianza de los clientes y, por tanto, al fracaso de la idea del proyecto.

162
Analizar el punto de partida producto/mercado
Antes de proceder al lanzamiento de un producto, se realizará un análisis DAFO a fin de

saber cuáles son los puntos débiles, los puntos fuertes, las oportunidades y las amenazas.
Un ejemplo de DAFO basado en la fabricación de un teléfono barato y capaz de competir

con los modelos de Samsung y Lumia puede ser el siguiente:
DEBILIDADES (Mejoras) AMENAZAS (Proteger)

Posibles presiones de los grandes
Empresa nueva y desconocida en el mercado
fabricantes de teléfonos
NEGATIVAS
Escalada de inicio brusca y no planificada

Pocos canales de distribución
(morir de éxito)
Segmento del mercado sin definir. La imagen (nuevo y pequeño)
Pocas alianzas estratégicas con telefónica,
Vodafone, etc.
FORTALEZAS (Mantener) OPORTUNIDADES (Aprovechar)
Sólida formación y experiencia del cuadro
El momento actual
técnico
Buen conocimiento del producto/servicio Buena relación calidad/precio del producto
POSITIVAS
Muchos años de experiencia del personal de Adecuación en prestaciones precio a las

desarrollo en el sector. demandas de los jóvenes
Estructura muy flexible. Contrato con Amena.
Acuerdo de distribución firmado

recientemente con Amena.
Tabla 1. Ejemplo DAFO.
Tras analizar el cuadro, se deben mejorar los puntos débiles para intentar convertirlos
en fortalezas o, en el peor de los casos, «disimularlos» ante la competencia.
De las amenazas se debe buscar, y a ser posible encontrar, la forma de protegerse. En el

ejemplo empleado se podrían establecer alianzas estratégicas con otras empresas para
flexibilizar la fabricación, etc.
Las fortalezas hay que mantenerlas, publicitarlas incluso, puede ser un argumento de
venta del producto en más de una ocasión.
Las oportunidades son para aprovecharlas y se tienen que ver en todo momento, incluso
en los momentos adversos o en las crisis.

163
Y una vez realizada la innovación, desarrollada la idea, la organización se posicionará en

el mercado con su producto innovador, fruto de una investigación y un desarrollo
satisfactorio.
6.6. Sistema de gestión innovación en la empresa
Un sistema de gestión de la innovación se puede definir como un conjunto de

herramientas de innovación, para las distintas fases del proceso. Dentro de dicho sistema
de gestión de la innovación hay que definir una política y unos objetivos específicos de
innovación.
La política es una declaración de intenciones que se integra en el plan estratégico de la

organización, el camino que quiere recorrer para innovar. Es una declaración de
principios en la que la organización determina cuál va a ser su actuación respecto a la
actividad de innovación (pautas a seguir en los procesos de innovación).
Los objetivos de innovación definen la forma en que la organización va a conseguir esa

innovación. Es importante que dichos objetivos sean cuantificables, por lo que deben
llevar asociados unos indicadores que permitan definir el grado de cumplimiento de cada
uno de ellos.
Hay que recordar que se está hablando de un proceso basado en la mejora continua y «lo
que no se mide nunca se mejora», por ello se deben establecer unos objetivos que sean
de la siguiente manera:
» Medibles: que se puedan dimensionar de una forma sistemática.
» Alcanzables: que se puedan alcanzar. La organización tiene que ser realista, no

perseguir valores que sean imposibles de lograr.
» Consensuados: se debe involucrar y motivar a todos los participantes del proceso

de innovación, para que no sea un objetivo ajeno a las partes.
Estos objetivos describen de forma cualitativa lo que la empresa espera obtener de su

actividad de innovación. Para ello, tendrá que poner a disposición unos recursos,
materiales y económicos que permitan el desarrollo de proyectos de innovación.

164
Como es lógico, habrá que definir una estructura de la organización que esté
implicada en el proceso de innovación. Al igual que sucede con cualquier otro sistema de
gestión (ISO 9001, 14001, 20000-1, 27001, etc.), es muy importante que la dirección esté
implicada, es quien tiene que liderar el proceso, debe transmitir a la organización la
importancia de la innovación, así como la implicación que se espera de cada uno de los
participantes.
Todos estos participantes formarán en la organización un equipo de innovación, un

equipo de I+D+i cuya principal misión en la organización es precisamente impulsar la
innovación.
6.7. Definición de equipos de trabajo en I+D+i
Probablemente, el factor más influyente para llevar a cabo la innovación con éxito en la
empresa es el recurso humano que define el equipo de trabajo. Durante el proceso de
innovación se necesitan diferentes competencias y habilidades, por lo que es muy
importante asegurar que se cuentan con ellas para poder dar el enfoque adecuado en
cada momento.
Se puede formar un equipo de diversas formas, depende de la propia creatividad de la

organización. De forma habitual, podrían definirse de la siguiente manera:
» Designando un responsable de I+D+i. Esta opción es muy común en las

empresas (al igual que la segunda). Presenta varios problemas:
o Genera islas en la organización.
o Aísla a la persona del resto de la organización.
o Desmotiva al resto de los miembros de la empresa «la innovación es un problema
de ellos».
» Creando un departamento de I+D+i. Este método presenta los mismos

problemas que el anterior:
o Genera islas en la organización.
o Aísla al departamento del resto la organización.
o Desmotiva al resto de los departamentos de la empresa: la «innovación es
problema de ellos».

165
Los problemas son idénticos en ambos casos, lo único que ha variado es el tamaño, ya no
los sufre una persona, sino que ahora es un departamento. A pesar de todo, actualmente
en la empresa es muy frecuente encontrarse estas figuras.
» Transmitiendo a toda la organización la innovación: cuando se habla de

innovación, se debe asumir como una forma de vida en las actividades diarias de la
organización. Este modelo es el más eficaz sin duda y el más barato y sostenible en el
tiempo. Las ideas innovadoras pueden venir de cualquier área (ya sea innovación en
procesos o productos) o persona.
Al igual que sucede con la calidad, la figura de los comités de trabajo, en el caso de la
innovación, constituye una forma muy eficaz de abordar la innovación, ya que se
consigue involucrar a personas de distintas áreas, con distintas visiones de la
organización (sus procesos, sus productos, etc.).
En definitiva, el proceso de la innovación será realizado por más participantes y estará

enriquecido con el know-how de todas las partes o su experiencia adquirida a lo largo de
los años; sin duda uno de los capitales más importantes de la empresa y más si se habla
de I+D+i.
El funcionamiento de estos comités debe ser muy similar a los de calidad (con más
experiencia en la industria) y tiene unos pasos clave:
» Se nombra a una persona que lo coordine.

» Se motiva a los miembros de la empresa a que expresen sus ideas de innovación,
mediante buzones, recogidas de ideas, premios (vacaciones, dinero, reconocimientos,
etc.).
» Se establece una periodicidad para reunir al comité (mensual, trimestral, etc.) y en
estas sesiones habrá que:
o Revisar las ideas recibidas de toda la empresa.
o Contestar a todas las ideas una a una (es muy importante que las personas que
hayan participado sientan que se han tenido en cuenta).
o Analizar todos los proyectos de I+D+i que están en curso, ver sus indicadores,
generar acciones correctivas (caso de que existan desviaciones), etc. En definitiva,
hacer un seguimiento.

166
o Planificar acciones para poner en común al resto de la organización los resultados

de sus ideas, los proyectos desarrollados o en desarrollo, etc. Es decir, involucrar
al resto de la organización en el proyecto.
o Analizar los puntos fuertes y los puntos débiles de la organización en el campo de
la innovación (análisis DAFO).
o Explotar los puntos fuertes.
o Mitigar los puntos débiles.
o Revisar el plan anual de innovación o la planificación que se haya definido para la
actividad de innovación.
6.8. Pasos para gestionar la innovación
Creación de un comité de I+D+i
El comité debe estar formado por personal de todas las áreas de influencia de la empresa,
aportando conocimientos y enfoque desde las distintas áreas. Se pueden citar como
ejemplo las siguientes:
» Área de realización de producto o generación del servicio: que aporte una

visión técnica del producto o servicio que se va a desarrollar e innovar.
» Área comercial. Trata la visión del cliente o destinatario del producto o servicio.
Esta área aporta una visión interesante del exterior de la organización y es muy
importante su visión sobre todo en la detección de nuevas necesidades de clientes o
de oportunidades de mercado.
» Área financiera. Se relaciona con las limitaciones económicas que tiene la

organización, inestimable su ayuda en los análisis financieros de los proyectos
(análisis de costes, retorno de inversión, etc.).
Es importante que en el comité haya personas con capacidad de decisión, sobre todo que
sean cercanos a la dirección o incluso que pertenezcan a la misma. Esto permitirá tomar
decisiones ágiles y rápidas, sobre todo en la dotación de recursos para el desarrollo de
los proyectos.

167
Funcionamiento del comité
Algunas de las funciones que puede desarrollar un comité de I+D+i son las siguientes:
» Fomentar la participación de todas las personas de la organización.

» Evaluar y contestar periódicamente a las ideas que surjan de innovación.
» Definir una planificación de reuniones para realizar un análisis estratégico de la
situación. Este análisis debe ser tanto interno como externo.
» De las ideas surgidas y que den un resultado positivo, analizar, priorizar aquellas que
se ajusten más a los objetivos de I+D+i de la empresa.
» Asignar los recursos necesarios para desarrollar los proyectos de I+D+i.
» Designar equipos que desarrollen los proyectos de I+D+i. Estos equipos deben ser:
o Multidisciplinares.
o Adecuados a la: planificación y al plan de ejecución de los proyectos de I+D+i.
» Documentar todos los proyectos, para poder aprender en el futuro de los errores o
aciertos. Los proyectos son repetitivos en un 70 %, por lo tanto, se aprender de todos.
» Asegurar la correcta explotación del resultado del proyecto.
» Evaluar los proyectos y decidir sobre:
o Acciones correctivas o preventivas si no cumplen indicadores.
o Cancelar o continuar el proyecto
» Definir un plan de auditorías internas para evaluar la evolución del sistema de I+D+i
y evidenciar su mejora continua.
La norma UNE 166002 hace referencia a dos grupos de trabajo dentro del sistema de
gestión de I+D+i:
» La unidad de gestión de I+D+i, con una responsabilidad general en la gestión de

I+D+i.
» La unidad de I+D+i, con responsabilidad sobre los proyectos específicos de I+D+i.
Muchas veces ambas unidades se funden en un único grupo de trabajo.
Funciones del coordinador del comité de I+D+i
El coordinador es la persona encargada de unificar los canales de comunicación entre la

organización y el comité de I+D+i, de forma que este flujo de ideas y de información no

168
sea destruido por el trabajo diario. También hará reflexionar sobre la importancia de la
innovación, frente a la urgencia de las actividades diarias en la organización.
Más allá de su papel de facilitador y dinamizador, se pueden citar como funciones

primordiales las siguientes:
» Asegurar la participación de todas las personas, sobre todo en la detección de

oportunidades y la generación de nuevas ideas.
» Gestionar la transferencia de las nuevas tecnologías, ideas y mejoras de proceso.
» Hacer un seguimiento de los diversos proyectos, a pesar de que luego sean analizados
por el comité.
» Asegurarse de que los proyectos de I+D+i son correctamente documentados y se
genera una biblioteca del conocimiento de I+D+i en la empresa.
» Ser el puente entre los distintos proyectos y las áreas de asesoramiento de la empresa,
por ejemplo, el departamento.
» Controlar y valorar los indicadores.
» Iniciar acciones de mejora cuando proceda.
» Realizar auditorías internas a intervalos planificados de la actividad de I+D+i., que
aseguren el buen funcionamiento de la organización o la detección de no
conformidades.
» Localizar ayudas para I+D+i (localizar los orígenes, preparar memorias, preparación
de documentos que justifiquen la ejecución de los proyectos para ayudas, etc.).
» Identificar y gestionar posibles alianzas estratégicas en materia de I+D+i que puedan
surgir en el mercado, incluso con la competencia.
Factores que priorizan la elección del proceso o proyecto de innovación
La escasez de recursos obliga a la organización a definir una metodología que haga de

filtro para optimizarlos, ordenando los proyectos para seleccionar aquellos que más
interesan a la organización.
En primer lugar, se deben separar los proyectos por grupo (proyectos de innovación de
producto, de procesos, de servicios, etc.), para posteriormente evaluarlos por el riesgo
que estos tienen.
Otro concepto a tener en cuenta es el riesgo que tiene asociada toda innovación. Esta
puede variar si es un pequeño restyling o un cambio radical del producto anterior. La

169
decisión puede variar mucho dependiendo del tipo de empresa, no es lo mismo una
empresa conservadora con sus productos o servicios o una empresa muy agresiva que
basa todo su éxito en la innovación del producto, sin reparar en otros conceptos.
Dependiendo del tipo de empresa, se puede hacer su análisis con una gráfica donde se
una inversión y riesgo.
50 € 100 € 150 € 200 € 250 € 300 € Miles de €
Proyecto 1: inversión
5
50 000 €, riesgo 1
4
100 000 €, riesgo 3
3
150 000 €, riesgo 5
2
200 000 €, riesgo 4
1
200 000 €, riesgo 1
Tal y como se ve en el ejemplo de la matriz anterior, el orden de trabajo para una empresa
conservadora, respecto al riesgo, será el siguiente:
1. Empresa N.º 1 (50 000 €, riesgo 1).


170
Si por el contrario lo que prima es asumir riesgos, en base a su innovación, sin importar
el importe de la inversión necesaria y primando el riesgo, la clasificación sería:
50 € 100 € 150 € 200 € 250 € 300 € Miles de €
Proyecto 1: inversión 50 000 €,

1
riesgo 1

2
riesgo 3

3
riesgo 5

4
riesgo 4

5
riesgo 1
De cualquier manera, la elección de los proyectos depende de la estrategia definida por

la organización. Dicha estrategia puede cambiar a lo largo del tiempo, por tanto, el orden
de trabajo también puede ser diferente y habrá que tenerlo en cuenta.
Fases en el desarrollo del proyecto: de la idea a la fabricación
Se gestionan los proyectos, estableciendo las prioridades y desarrollando el mapa de

proyectos. Se pueden tener diversos criterios, en el ejemplo anterior se han expresado
dos modelos a seguir, pero puede haber muchos más.
Una vez seleccionado el proyecto, se tendrá que pasar por una serie de fases para
proceder a su desarrollo. A modo de ejemplo, las diferentes etapas se podrían secuenciar
en el siguiente diagrama.

171
Realidad
Planificación,
Desarrollo y Medición y
Idea Provisión de
Oportunidades
ejecución análisis
recursos
Mercado
OK
NO OK
Fabricación y
distribución
Figura 6. Etapas en desarrollo del proyecto.
» Planificación y provisión de recursos: se debe dotar de recursos económicos, humanos

(formación y capacitación), infraestructuras y herramientas de gestión tecnológica
(vigilancia tecnológica, alertas de innovaciones susceptibles de crear oportunidades
de negocio. La organización tendrá que planificar con detenimiento las distintas fases
del proyecto, definiendo fechas objetivos y responsables.
» Desarrollo y ejecución: tras aportar los recursos necesarios, se procederá a desarrollar

la idea y se ejecutará tal y como ha sido planificada en el punto anterior.
» Medición y análisis: es necesario hacer una medición del proyecto

(producto/servicio/proceso) innovado y si todo es correcto, se pasará a fabricar en
serie o a distribuirse en el mercado, en caso contrario, se comenzará de nuevo en la
primera fase del diagrama, corrigiendo las causas que generaron el problema raíz.
6.9. Conocimientos básicos sobre normas de innovación UNE

166000
La serie de normas UNE 166000 se ha desarrollado para mejorar los procesos de I+D+i.
Las normas que componen esta serie son las siguientes:
» UNE 166000, que establece la terminología que se utiliza en las diferentes normas de
esta familia.
» UNE 166001, que establece los requisitos de los proyectos de I+D+i.
» UNE 166002, la más relevante de este conjunto, que establece los requisitos de un
sistema de gestión de la I+D+i.

172
» UNE 166004, que establece los criterios de competencia y evaluación de los auditores
de sistemas de I+D+i.
» UNE 166005, una guía de aplicación de la norma UNE 166002 a los bienes de equipo.
» UNE 166006, que establece las características y requisitos de un sistema de vigilancia
tecnológica.
» UNE 166007, una guía de aplicación de la norma UNE 166002.
» UNE 166008, que permite realizar de forma estructurada la transferencia de la
tecnología en las organizaciones.
Este capítulo se va a centrar especialmente en la norma UNE 166002 que aborda

específicamente los requisitos que debe cumplir un sistema de gestión basado en la
I+D+i.
La implantación de un sistema de I+D+i en cualquier organización ha de estar basada en

la definición de un buen sistema documental.
Documentación del sistema de gestión
El sistema constará de una documentación clara, legible y mantenida en perfecto estado

y que desarrolle los apartados de la norma. Una buena documentación proporciona lo
siguiente:
» Una mayor eficacia en los procesos de trabajo del sistema.

» Un control adecuado de la documentación (tanto la de entrada como la de salida).
» Un ahorro de tiempo, porque estructura y define el sistema de gestión.
Para que la documentación sea eficaz se persiguen las siguientes características:
» Se debe delimitar, designando un grupo que estudie los documentos y los analice
antes de implantarlos. De esta forma, se evitará la aparición de formularios «no
oficiales» y que están fuera del sistema.
» Ser compresible y de fácil manejo. Se persigue que se entienda con facilidad, se
recuerde mejor, se lea con rapidez y se utilicen unos formularios sencillos de rellenar
que ayuden a registrar, medir y mejorar el sistema.
» Algunas sugerencias en la redacción:
o Codificar los documentos (ejemplo: situar en su parte superior derecha, número,
asunto, fecha, etc.).

173
o Esta información importante debería estar en todos los documentos en la misma

situación.
» Seleccionar el mismo tipo de letra para todos los documentos a fin de guardar la
uniformidad (Times New Roman, Book Antiqua, etc.) y un tamaño de letra adecuado
(12, sobre todo si dentro de la organización hay personas mayores que van a utilizar
la documentación).
» La distribución de la documentación debe de tener un criterio lógico, por ejemplo, el
empleo de la intranet es una buena solución para hacer llegar la documentación a
todos los miembros de la organización.
Dentro de la documentación del sistema de gestión I+D+i se encuentra lo siguiente:
» Manual de gestión: declaración universal de las intenciones de la organización en

I+D+i (su elaboración no es un requisito de la norma UNE 166002).
» Procesos: definición más genérica del ¿qué se va a hacer?
» Procedimientos: descripción detallada del ¿cómo lo va a hacer la organización?
» Registros: evidencia de lo que ha hecho la organización dentro del sistema de gestión,
que debe coincidir con lo que se define en los diferentes procedimientos del sistema.
Los registros son la evidencia de lo que se ha hecho, que se encuentra definido en los
procedimientos del sistema de gestión.
Mediante el registro de las actividades de la organización se puede ver el cumplimiento

de los indicadores definidos en el sistema, los objetivos, la satisfacción de los clientes,
ver si sus expectativas coinciden con la realidad del nuevo producto y, sobre todo,
establecer una mejora continua de los sistemas. Hay que recordar que: lo que no se
registra, no se puede medir, lo que no se mide no se mejora y, por tanto, no se gestiona
adecuadamente.
En resumen, de forma gráfica se podría representar de la siguiente forma:

174
Figura 7. Esquema de registro.
Política de I+D+i
Es definida por la alta dirección. A la hora de establecerla se debe tener en cuenta lo

siguiente:
» Las necesidades de la organización.

» Los objetivos de la organización en este campo.
» Los productos o servicios fabricados.
» El tamaño y la estructura de la organización.
Al igual que en otros sistemas de gestión (ISO 9001, ISO 27001, etc.), la norma UNE
166002 recoge los requisitos a cumplir por la política de I+D+i:
» Ser adecuada a la organización.

» Proporcionar un marco de referencia para el establecimiento de los objetivos de
I+D+i.
» Incluir el compromiso de cumplir con los requisitos aplicables.
» Incluir el compromiso de mejora continua del Sistema de gestión.
» Estar documentada.
» Ser comunicada a todas las personas que integran la organización.
» Estar a disposición de las partes interesadas.
Cuando una organización tenga implementado un sistema de gestión basado en la norma

UNE 166002, junto con otros sistemas de gestión, suele ser muy habitual integrar las

175
diferentes políticas en una sola. La finalidad es tener una política común que unifique los
requisitos de todas las normas que tenga implantadas.
Ejemplo de política
Política I+D+ i
Ibertroc, empresa líder en el sector energético que se dedica a prestar servicio con fuentes
energéticas limpias a nivel mundial, considera la innovación como un factor clave para
llegar a ser un referente en el mercado, consolidar nuestro posicionamiento y desarrollar
la tecnología o mejorar la actual, de forma que nos permita aportar valores añadidos a
nuestros productos actuales y futuros.
La empresa está firmemente decidida a fomentar la innovación, así como su cultura, e

implantar una metodología que permita desarrollar la innovación y la mejora continua
dentro de la organización en I+D+ i.
Por todo ello, la dirección tiene interés en incorporar la I+D+i en su estrategia de gestión
y para ello establece la presente política de I+D+i, se aprueban objetivos concretos y
coherentes con esta política y se compromete a comunicarla a todos los niveles de la
empresa, a ponerla a disposición de cualquier grupo de interés, a revisarla de forma
periódica para su continua adecuación y a proporcionar los recursos necesarios para
cumplir con todos los requisitos de aplicación.
Ibertroc se compromete a cumplir todos los requisitos definidos en la norma UNE

160002, para asegurar que sus proyectos de innovación se adecúan a las exigencias de
los clientes, así como a la normativa legal aplicable. De esta manera, busca la mejora
continua en su sistema de gestión, así como de sus partes interesadas.
En Barcelona, 3 de julio de 2018
Carlos Torrer González

Director de Ibertroc

176
Objetivos de I+D+i
Los objetivos I+D+i deben ser coherentes con la política de la empresa y, además, ser
medibles, consensuados y alcanzables.
Es necesario definir unos indicadores para poder realizar su seguimiento y actualizarse

cuando sea necesario. Así mismo, la organización debe definir los recursos, los plazos y
las responsabilidades necesarias para su consecución.
Los objetivos deben estar documentados. La norma UNE 166002 establece que se han
de tener en cuenta los requisitos aplicables en su definición, y es importante que su
definición vaya orientada a satisfacer las necesidades de las diferentes partes interesadas
(trabajadores, clientes, accionistas, proveedores, entorno social, etc.).
A continuación, se recogen algunas áreas de interés sobre las que la organización podría
establecer sus objetivos, así como algunos aspectos que podrían ser medidos para
realizar el seguimiento:
» Satisfacción de los clientes: encuestas (físicas o enviadas por correo) sobre las
innovaciones y los productos y/o servicios.
» Satisfacción de los accionistas, basada en lo siguiente:

o Los buenos resultados económicos.
o La innovación en los productos y servicios.
o La mejora en la competitividad de la empresa.
» Satisfacción de los proveedores:

o Mejora en la relación con la empresa.
o Mejor avituallamiento de materias primas basado en la mejora en la programación
que se les envía (semana, mes y previsiones anuales).
o Fabricación más flexible (por las dos partes).
» Satisfacción de los trabajadores:

o La empresa cuenta con ellos, están más involucrados en el proyecto de la empresa.
o Mayor formación, capacitación del empleado.
o Puestos de trabajo más estables basados en la innovación de nuevos productos o
servicios.

177
» Satisfacción de la empresa:
o Incremento del porcentaje de éxito de los nuevos proyectos, basados en la
metodología de trabajo, desarrollada y apoyada en la norma UNE 166001.
o Incremento en la aparición de nuevos proyectos de I+D+i, lo que da:
• Incremento de facturación.
• Más estabilidad en el mercado, basada en la innovación de los productos/
servicios.
Provisión de recursos
La organización debe dotar de recursos tanto para la gestión del proceso de I+D+i, como
para fomentar la innovación. Estos recursos pueden ser de varios tipos:
» Económicos: viene definido por la dotación de una partida presupuestaria para

I+D+i. Habitualmente, es un recurso escaso dentro de las empresas, aunque suele
variar mucho en las organizaciones. Existen organizaciones que invierten un 2 % de
su facturación en I+D+i (Gobierno Vasco, Navarra y Madrid), mientras que otras
invierten un 21 % de sus ventas (por ejemplo, Apple).
» RR. HH.: la dotación de personas que sean capaces de desarrollar la función de

I+D+i es algo muy relevante, ya que el capital humano es sin duda el más importante
de la organización. Para ello, se debe contar con lo siguiente:
o Cualificación adecuada.
o Experiencia profesional apropiada.
o Personal con competencia y solvencia reconocida.
o Personas ilusionadas y concienciadas de la importancia que tiene el trabajo de
I+D+i.
o Personas que sepan trabajar en equipo.
» Infraestructuras: deben ser adecuadas para desarrollar las actividades de I+D+i:

o Los edificios, deben contar con espacios de trabajo que posibiliten el desarrollo de
las actividades de I+D+i.
o Equipos operativos y en perfecto estado que permitan realizar con éxito las
actividades de I+D+i. Esto afecta a:
• Máquinas, operativas y en perfecto estado de uso.
• Calibración de equipos, que aseguren la veracidad de las mediciones tomadas.

178
» Otras herramientas de I+D+i: que permitan una vigilancia tecnológica adecuada del
entorno e identificar las necesidades de la unidad de I+D+i.
Gestión de los recursos
La organización aportará unos recursos para que sean gestionados y como resultado se
desarrollarán nuevos proyectos de I+D+i. Estos recursos son necesarios para lo
siguiente:
» Implantar y desarrollar un grupo de trabajo.

» Dar respuesta satisfactoria a las necesidades de las partes interesadas (accionistas,
empleados, clientes, empresa).
» Fomentar las alianzas estratégicas de tal forma que proporcionen nuevos
conocimientos, como nuevas tecnologías, nuevo instrumental, financiación, socios
capitalistas, etc.
Documentación de resultados de procesos de I+D+i
Los comités de I+D+I o departamentos deben establecer una metodología para poder
documentar todos los pasos que han dado en el desarrollo del proyecto. Como puntos
interesantes se pueden definir los siguientes:
» La generación, recopilación evaluación y selección de ideas. Se tendrán que definir

las necesidades que se quieren satisfacer, la viabilidad y el nivel de novedad de las
ideas y los medios para proteger los derechos de sus creadores.
» Descripción de los objetivos, tareas, recursos, incluso problemas que surjan en el
desarrollo del proyecto y los resultados de las revisiones para evaluar la progresión de
este.
» Describir las directrices sobre la gestión de la propiedad intelectual e industrial y los
activos intangibles.
» Se debe tener en cuenta la explotación interna del conocimiento adquirido,
definiendo los mecanismos apropiados de transferencia del conocimiento y de la
tecnología.
» Definir los niveles de confidencialidad de los resultados obtenidos, no todas las
personas de la organización podrán acceder a todo el conocimiento desarrollado.

179
Medición, análisis y mejora
La organización debe medir su actividad y mejorarla. La propia UNE 166002 se basa en

el ciclo de mejora continua (PDCA).
Previamente se ha planificado un proyecto, se ha desarrollado (según lo planificado),

mediante la gestión eficaz de los recursos que la dirección ha aportado. Ahora toca medir.
Para medir se empleará lo siguiente:
» Las auditorías internas.

» El seguimiento y medición de los procesos.
» Seguimiento y medición de los resultados.
» Las revisiones por la dirección.
Una vez medidos los resultados, se analizarán y se actuará sobre las desviaciones
detectadas:
» Seguimiento de los indicadores establecidos por la organización y comparación con

los resultados obtenidos.
» Analizando las desviaciones hasta encontrar las causas raíz de la desviación.
» Desarrollando, implantando y evaluando acciones correctivas.
Auditorías internas
Se deben establecer a intervalos planificados, son realizadas por personal competente e

independiente de las áreas auditadas a fin de controlar. Se debe evidenciar lo siguiente:
» El sistema de gestión de I+D+I ha sido implantado de forma eficaz.

» Se mantiene correctamente a lo largo del tiempo, basándose en la mejora continua
(PDCA).
» Es conforme a los requisitos de la norma UNE 166002.

180
Seguimiento y medición de los procesos I+D+i
Hay que garantizar la idoneidad de los procesos para alcanzar aquellos resultados
esperados y planificados en:
» El desarrollo de la actividad I+D+i.

» El sistema de gestión implantado (UNE 166002).
» Que el sistema tiene implantada una metodología de mejora continua.
Estos indicadores, serán analizados y seguidos por el comité de I+D+i, a fin de analizar
la idoneidad del sistema de gestión de la organización, su correcta implantación y
gestión.
Seguimiento y medición de los resultados
Al igual que en el caso de los indicadores, se valorará que los resultados obtenidos
satisfacen a los grupos de interés:
» Accionistas.
» Clientes.
» Empresa.
» Trabajadores.
Una vez analizados los resultados, se actuará sobre las no conformidades o

incumplimientos o tendencias, mediante la aplicación de:
» Acciones correctivas (caso de los incumplimientos).

» Acciones preventivas (en el caso de las tendencias).
Revisión por la dirección
La alta dirección, con el fin de garantizar la conveniencia, adecuación y eficacia, del

sistema de gestión desarrollado dentro de la organización para los proyectos de I+D+I,
debe analizarlo y revisarlo a intervalos planificados. Esta revisión debe incluir lo
siguiente:
» Los resultados de las mediciones y de los distintos indicadores.

181
» Auditorías anteriores (internas y de tercera parte o certificación).

» Grado de cumplimiento de la revisión por la dirección del año anterior.
» Cambios que pueden afectar al sistema de I+D+i, por requisitos de clientes, por
normativa legal, etc.
Con la revisión por la dirección se obtendrá una mejora en la eficacia del sistema de
gestión de I+D+i, mediante la mejora del uso de los recursos y la detección de
necesidades presentes y futuras.
La mejora del sistema de gestión
La mejora continua del sistema de gestión I+D+i debe ser un objetivo permanente en la
organización.
Para ello, tras la medición de los resultados y procesos se analizarán las desviaciones y
sus causas raíz para adoptar las medidas más adecuadas y, finalmente, se evaluará su
eficacia.

182
Capítulo 7
Sistemas de gestión de
seguridad de la información
183
Capítulo 7: Sistemas de gestión de seguridad de la información
7.1. Antecedentes
La sociedad actual está sometida a una doble revolución: la revolución tecnológica y la

revolución del conocimiento.
La Real Academia España (RAE) define los términos tecnología y conocimiento de la

siguiente manera:
» Tecnología: conjunto de teorías y de técnicas que permiten el aprovechamiento

práctico del conocimiento científico. Conjunto de los instrumentos y procedimientos
industriales de un determinado sector o producto.
» Conocimiento: acción y efecto de conocer. Entendimiento, inteligencia, razón natural.
Con la revolución tecnológica, las organizaciones han sido capaces de garantizar la

repetitividad de los procesos básicos, tanto productivos como cognitivos, dentro de los
límites de esta. Por todo ello, las empresas se ven sumidas en un compendio tanto
desmesurado como cotidiano de recursos tecnológicos para el desarrollo ordinario de
cualquier actividad.
La disponibilidad de los recursos cognitivos facilitados por la coyuntura tecnológica ha

impulsado la adquisición, transmisión y almacenaje de la información,
desatándose así una revolución del conocimiento.
La inmediatez de acceso derivada de la aplicación tecnológica al conocimiento ha sido el

catalizador de la revolución dual tecnología-conocimiento, realzando así la
importancia de las tecnologías de la información.
INFORMACIÓN
ADQUISICIÓN
ALMACENAJE TECNOLOGÍA
TRANSMISIÓN
TECNOLOGÍAS DE LA INFORMACIÓN
Figura 1. Tecnologías de la información.

184
Los fuertes avances tecnológicos vividos en las últimas dos décadas han ayudado
significativamente a que todo este proceso se lleve a cabo. La información de todo tipo
fluye a velocidades difícilmente controlables, lo que ha originado que la cultura
financiera del cliente actual sea muy superior a la de años atrás.
Con esta nueva realidad aparecen nuevas amenazas asociadas. La inmediatez de la

información conlleva asociada la disponibilidad de esta, no siempre deseada, de modo
que se presentan nuevas amenazas inherentes a los usos tecnológicos.
A lo largo de este tema se analizarán los sistemas de seguridad de la información como

respuestas a estas nuevas necesidades.
7.2. Realidad empresarial
Hoy en día se vive en una realidad empresarial marcada por la globalización. La

globalización de la industria se debe a la capacidad no solo del trasvase transfronterizo
de productos y servicios, sino también de la información necesaria para que operen. Por
ejemplo, una empresa puede recabar datos de España para tomar de decisiones
estratégicas en Tailandia.
Con la globalización aparece, de forma inmediata, la competencia de forma global

no solo con empresas más allá de las fronteras físicas, sino incluso dentro de una
organización, la competencia entre distintas sedes por la consecución de logros e hitos.
Dentro de su entorno, la empresa se ve sometida no solo a la presión generada por la

competencia sino también a lo siguiente:
» Cambios legislativos: no solo dentro de su ámbito o sector, sino en legislación

transversal, tal como la Ley Orgánica de Protección de Datos, donde se añaden
requisitos adicionales al modo en que han de operar su actividad.
» Calidad de los productos y los servicios que dispone tanto para su venta externa
como para su uso interno. No hay que olvidar que la empresa no solo dispone de
clientes finales o externos (el consumidor), sino también de partes interesadas
internas (los trabajadores).

185
» Adicionalmente, hoy en día la imagen pública de las empresas puede verse

seriamente dañada muy rápidamente, por ejemplo, por una captura de vídeo en un
dispositivo móvil que posteriormente sea publicada en Internet.
De este modo las empresas se ven presionadas a tomar diversas medidas para minimizar
los impactos sobre sus grupos de interés ante las nuevas amenazas asociadas a su nuevo
entorno. Asociados a los mismos y relativas a los modos de operación ante las nuevas
amenazas aparecen los sistemas de gestión de seguridad de la información.
7.3. Sistemas de gestión de seguridad de la información
La información de una organización, junto con los procesos y sistemas que hacen uso de
ella, son activos muy importantes porque pueden llegar a ser esenciales para lograr unos
niveles elevados de rentabilidad, de competitividad y de imagen, necesarios para lograr
los objetivos marcados por la organización.
Por tanto, los sistemas de gestión de seguridad de la información:
» Constituyen una ventaja competitiva para la organización.

» Apoyan las funciones de rentabilidad.
» Ayudan al cumplimiento legal, favorecen la buena imagen de esta.
» Ayudan a su seguridad global.
» Dotan a la organización de diversos controles para su implementación.
» Ayudan al desarrollo de una política de seguridad de la información
» Permiten la obtención de pruebas fiables tanto en lo referente a buenas prácticas
como a requisitos normativos concretos dentro de las compañías.
» Ayudan a gestionar los activos, sus amenazas, así como los riesgos asociados.
Dentro del ámbito de los sistemas de gestión de seguridad de la información se tiene que
realizar la siguiente matización. La información no es solo aquello que se ve contenido
en CD, DVD, vídeo, audio, documentos, etc. En este caso, se entiende la información de
un modo más general.
La norma ISO/IEC 27000 define la información como un activo que, del mismo modo
que otros importantes activos empresariales, tiene valor para la organización y, por
tanto, ha de ser protegido adecuadamente.

186
Al considerar este nuevo matiz dentro de la definición inicial dotada para la información,
la gestión adquiere un nuevo tono. Para poder gestionar la información, lo primero que
se debe hacer es organizarla. La información puede clasificarse conforme a su naturaleza,
repercusión, etc. Dentro del ámbito de los sistemas de gestión, interesa clasificarla
conforme a la confidencialidad, integridad y disponibilidad de esta.
Tomando como base la norma ISO, el sistema de gestión de la seguridad de la

información (SGSI) preserva la confidencialidad, integridad y disponibilidad de la
información mediante la aplicación de un proceso de gestión de los riesgos:
» Confidencialidad: propiedad de la información por la que se mantiene inaccesible

y no se revela a individuos, entidades o procesos no autorizados.
» Integridad: propiedad de exactitud y completitud.
» Disponibilidad: propiedad de ser accesible y estar listo para su uso a demanda de
una entidad autorizada.
INFORMACIÓN
CONFIDENCIALIDAD
INTEGRIDAD AMENAZAS
DISPONIBILIDAD
Figura 2. Clasificación de la información desde el ámbito de los sistemas de gestión.
Las amenazas asociadas a los activos de la información se presentan como efectos no

deseados contra la confidencialidad, integridad y disponibilidad de la información en
ellos contenidos.
Un SGSI es un conjunto de políticas, procedimientos, guías y sus recursos y actividades

asociadas, que son gestionados de manera colectiva por una organización. Es parte del
sistema general de gestión, basado en un enfoque sistemático, para establecer,
implementar, operar, monitorizar, revisar, mantener y mejorar la seguridad de la
información.

187
El sistema de gestión de seguridad debe formar parte y estar integrado en los procesos
de gestión de la organización. De la misma manera, la seguridad de la información debe
tenerse en cuenta durante el diseño de los procesos, los sistemas de información y sus
controles.
La norma ISO 27001 es un ejemplo de herramienta que proporciona los requisitos para
establecer un SGSI dentro de una organización. Por ello, aporta toda la información que
una empresa pueda necesitar para implementarlo.
En el caso de este sistema de gestión, no contempla como clientes a nada que no sea la
información. No tiene en consideración a los clientes internos, ni a ningún grupo de
interés de forma objetiva como diana en el sistema de gestión.
Los clientes, proveedores, términos legales, etc. son considerados únicamente inputs del
proceso de gestión. El objetivo del sistema de gestión es la información para su gestión,
a través de las siguientes acciones basadas en el ciclo de mejora continua o ciclo PDCA:
» Planificar las acciones orientadas a las necesidades del sistema de gestión de la

seguridad de la información (SGSI).
» Implementar dichas acciones empleando a tal efecto los recursos asignados.
» Controlar el sistema de gestión a través de diversas métricas.
» Actuar sobre las desviaciones encontradas respecto a lo planificado.
La suma de dichas actuaciones, en términos de seguridad de la información, constituirán

el núcleo del sistema de gestión: la mejora.

188
Por tanto, para un SGSI, el proceso de gestión de seguridad de la información podría

verse de la siguiente manera:
Proveedor Entrada Proceso Salida Cliente

Requisitos de
producto o Contratos de
servicio confidencialidad Cliente externo
Cliente externo con clientes
Planos
Contratos
Contratos de
confidencialidad Proveedor
LOPD con proveedores
Gestión de
Legislación
Esquema Seguridad de Plan de
nacional de la continuidad de
seguridad información negocio
Alta dirección
Evaluación de
riesgos e
Proveedores Contratos
impactos de la
actividad
Cumplimiento
Información de
Cliente interno legislación Legislación
contacto
vigente
Tabla 1. Proceso de gestión de seguridad de la información.
Si se recuerda la definición de un SGSI, en la que se identifica al mismo como una parte

del sistema de gestión global de la organización, es preciso considerar que se puede
integrar con el resto de los sistemas de gestión existentes dentro de la organización.
Para el correcto trabajo de las actividades amparadas bajo el proceso de gestión de

seguridad de la información habrá que considerar todas las entradas específicas del
proceso. Como ejemplos de estas actividades, se citan los siguientes:
» Catalogación y clasificación de la información.

» Identificación de los principales procesos relacionados con la seguridad.
» Identificación de los activos principales para la empresa.
» Identificación de los requisitos legales referentes a la seguridad de la información.
» Identificación de las amenazas bajo las que se encuentran los activos de la empresa.
» Implementación de los controles relativos a la seguridad de la información.

189
» La clasificación de la información dentro de la organización puede venir a través de

requisitos legales, tales como LOPD, así como requisitos adicionales identificados
dentro de la organización.
La aplicación de la tecnología, no solo a los elementos de comunicación y de información,

ha desembocado en nuevas necesidades en la gestión. La gestión tecnológica dentro de
la organización ha resultado ser una parte más de la optimización de recursos de esta.
Hay que recordar que, al igual que en todos los sistemas de gestión, las responsabilidades
de las personas encargadas de su gestión no se pueden delegar.
Según la naturaleza de la actividad variarán los activos de la empresa, así como el tipo de
información contenida en ellos, las amenazas asociadas, la probabilidad de estas, etc.
Un mismo activo puede ser empleado en diversos procesos. Al analizar los procesos de
la empresa, desde el punto de vista de seguridad de la información, se debe tener cuidado
de tomar todas las consideraciones no solo referentes a cada activo relativo a cada
proceso particular, sino su implicación en el resto de los procesos transversales a los que
pertenece.
7.4. Clasificación de la información
Las diversas entradas para la clasificación de la información pueden ser legislativas,

empresariales, de cliente, etc.
La clasificación según la legislación vigente constituye, en este caso, además de la

legislación referente a la actividad propia de la empresa objeto de implementación del
sistema de seguridad de la información, la Ley Orgánica de Protección de Datos y
garantía de los derechos digitales (Ley Orgánica 3/2018), el Reglamento Europeo de
Protección de Datos (RGPD). En este caso, dicha normativa, protege únicamente los
datos de carácter personal, pero no los empresariales.
Para desarrollar un sistema de clasificación de la información para los requisitos no solo

de carácter personal, sino de carácter empresarial, se deben alinear ambos requisitos.

190
Para ello, se pueden desarrollar matrices de clasificación de la información, tablas o, en

su defecto, reglas para la clasificación. Por ejemplo, se puede clasificar según el contenido
de la información, así como por la disponibilidad de esta.
A continuación se representa un ejemplo de matriz de clasificación de la información:
Criticidad
Baja Media Alta
Baja Baja Media Media

Disponibilidad Media Media Media Alta
Alta Media Alta Alta
Tabla 2. Ejemplo de matriz de clasificación de información.
Los criterios de clasificación pueden ser:
» Baja: información de baja repercusión para la organización. Como tal se pueden

considerar logos, slogans, indicadores públicos, etc.
» Media: información de media repercusión para la organización. Engloba la

información de uso interno para la organización como, por ejemplo, indicadores
internos de funcionamiento, normativa de funcionamiento interno, etc.
» Alta: información de alta o máxima repercusión para la organización. Dentro de esta

información se encuentra, por ejemplo, la afiliación sindical de los trabajadores,
estados de salud, indicadores de la dirección, planes estratégicos, etc.
La clasificación de la información dentro de la organización repercute significativamente

en la operatividad de los flujos de información, así como en la operatividad de esta.
Según la repercusión para la organización de la información en ella gestionada se

aplicarán diversas medidas, así como planes de acción asociados. Según el grado de
repercusión, se endurecerán las medidas a aplicar.
Según el soporte de la información, digital o en papel, se aplican medidas diversas. Las

medidas pueden aplicarse a los métodos de clasificación, almacenamiento y distribución
de esta, así como a las personas. No siempre se actuará de forma directa sobre la

191
información. A veces se pueden poner barreras en el entorno para evitar un mal uso de
esta.
Ejemplo de medidas a aplicar conforme al soporte de la información:
Información Clasificación Soporte Medida

Encriptación del servidor de
Digital
archivos
Facturas Media
Carpetas en armarios bajo llave
Papel
Despachos bajo llave
Plan estratégico Alta Papel Carpeta en armario bajo llave
Indicadores de Encriptación del servidor de datos

rendimiento Medio Digital Acceso por nombre de usuario y
interno contraseña
Tabla 3. Ejemplo de medidas a aplicar en función del soporte de la información.
Información Información
Información alta
básica media
Papel Digital Papel Digital Papel Digital
AMENAZAS
¿Problema
Actuaciones
potencial?
específicas según
el tipo de
información y
soporte Sí No
Figura 3. Criterios de clasificación de la información.
Es sencillo actuar bajo activos de la organización tales como ordenadores y documentos,

si bien resulta más complejo trabajar con la información contenida en las personas.
Hay que recordar que la gestión de la información contenida en los activos de seguridad
de la información para activos fijos resulta sencilla. El problema resulta con todos

192
aquellos elementos que, por su naturaleza, no disponen de un emplazamiento fijo y

resultan, por tanto, activos móviles para la organización, como teléfonos móviles,
tabletas y personas.
7.5. Gestión de activos móviles
La gestión de los dispositivos móviles redunda en la activación de políticas de aplicación,

no solo a nivel técnico o tecnológico. Hay que tener en cuenta que, más allá de la
configuración de la tecnología se debe educar a los usuarios.
Los elementos tecnológicos pueden verse sometidos a configuraciones tales como

protección por contraseñas, por patrones de salvapantallas, etc. El problema radica en la
movilidad. Esto hace que la información llegue de forma desordenada, de modo errático
pudiendo vulnerarse la información contenida en los dispositivos.
La educación de los usuarios para el uso y empleo de dispositivos móviles, así como la
implementación de políticas orientadas para sus buenos usos puede redundar en el éxito
de una sana gestión de la información, minimizando los impactos asociados a dichos
activos.
7.6. Gestión de políticas para dispositivos tecnológicos
Los avances tecnológicos han favorecido no solo la inmediatez, sino también la

portabilidad de los dispositivos móviles. Reducir el tamaño de los elementos portables
de información permite, por ejemplo, emplear un smartphone como elemento capacitivo
de información no solo como elemento de transmisión, sino como elemento de
almacenaje.
Los elementos tecnológicos de naturaleza móvil deberían, para su buen uso, verse sujetos
a una política de gestión de recursos, así como verse amparados por medidas de
seguridad tales como las que se describen a continuación.
Aquellos elementos portátiles capaces de verse sometidos a una protección por

usuario y contraseña, tales como smartphones y tabletas, hay que activarlos

193
amparándolos bajo una política de robustez de contraseñas. Adicionalmente, dichos

elementos, deberán disponer de protección de salvapantallas, bien por patrón táctil o
contraseña numérica.
Dispositivos de almacenamiento portátil, tales como discos duros externos, USB, etc.,
deberían disponer de un sistema de encriptación de datos. El objetivo de dicho
sistema es mantener los datos bajo una barrera lógica que dificulte el acceso a los
mismos.
Adicionalmente, el empleo de puertos USB para los equipos fijos, debido a la masividad
de uso de dispositivos móviles, debería verse condicionado, estando por defecto el uso
de estos limitado. Esto presenta un problema con el desarrollo tecnológico actual, dado
que no solo los dispositivos de almacenamiento de datos necesitan de un acceso a puerto
USB; es el caso de periféricos como ratones, teclados, impresoras, etc.
Existen soluciones tanto comerciales como gratuitas para el empleo de encriptación de

archivos de datos. Se puede ver un ejemplo en la web Cryptool
(https://www.cryptool.org/en/).
Todos los archivos bajo la custodia de una contraseña son potencialmente

perturbables dado que, con tiempo, a base de fuerza bruta (empleo interactivo de
algoritmos de prueba y error para la ruptura de contraseñas) la contraseña será obtenida.
Es ahí donde redunda la importancia de una buena implementación de política de

contraseñas para obtenerse el tiempo suficiente para las actuaciones oportunas:
localización de los dispositivos por GPS, cambio de contraseña de servidores, etc.
El único recurso tecnológico inviolable resulta un ordenador sin conectarse a la corriente

eléctrica en un búnker militarizado con un empleo máximo de sus recursos lógicos a la
protección de la información en él contenido y, aun así, estaría en duda su vulnerabilidad.
Un ejemplo típico de política de contraseñas empleado por administradores de sistemas

de tecnología de la información suele ser el siguiente: se considerará una contraseña
robusta aquella cuya longitud sea mayor o igual a doce caracteres entre los que se
incluirán todos los tipos de estos: mayúsculas, minúsculas, números y símbolos.

194
Las contraseñas tendrán una caducidad semanal para evitar su mal uso y afianzar una
mayor seguridad. Un ejemplo de contraseña segura, bajo dichos estándares, sería la
siguiente: Un1v∑rS1d4dR10j4
Para la inclusión de caracteres, tales como ∑, en una contraseña habrá que pulsar
alternativa gráfica Alt Gr dentro del teclado del ordenador, seguido de la secuencia ASCII
del símbolo. Se puede encontrar una tabla ASCII en el siguiente enlace:
http://www.asciitable.com/
Hay que recordar que los métodos de validación de contraseñas, típicamente, no admiten
espacios pudiendo sustituirse estos, en ciertos casos, por barras bajas «_». Se
recomienda como buena práctica para el uso de políticas de contraseñas evitar nombres
identificables seguidos de números, por ejemplo: «PeDr01».
En el caso de dispositivos tales como tarjetas inteligentes se recomienda la no

identificación de estas. El dispositivo bajo anagramas o adhesivos favorece la ubicación
de emplazamientos en los que hacer uso de esta y si, adicionalmente, añadimos nombre
y fotografía del usuario, permitimos la variabilidad de estos para hacer un acceso físico a
las instalaciones.
Cuanta más información visible disponga dichas tarjetas, mayor vulnerabilidad se genera
tanto sobre la persona física como sobre la ubicación específica de la organización.
Cabe realizar una mención especial a un caso particular: el acceso remoto a recursos
de red. Si bien es cierto que, estrictamente hablando, un servidor o un recurso de red no
es un elemento móvil, el acceso a remoto a dichos recursos sí que resulta un problema.
Tal es el caso de redes VPN, acceso a servidores de archivos tanto propietarios como en
la nube, acceso remoto a herramientas web. Se debe considerar para ello lo siguiente:
» Seguridad del recurso de red remoto.

» Seguridad del equipo desde el que se accede.
» Métodos de validación.
» Seguridad de la comunicación.

195
Seguridad del recurso de red remoto
En el caso de un servidor de archivos propio, se puede gestionar la seguridad de este.

Acceso https en caso de web uploading and downloading con política de contraseñas
seguras, archivos en el servidor encriptado, validación de acceso por firma digital, etc.
Hay que tener cuidado con dónde se encuentra el servidor y el tipo de datos en él alojado.
El problema lo aporta la nube de datos. Debido a la LOPD no es posible alojar datos
de carácter personal en la nube dado que, por definición, la nube imposibilita ubicar el
emplazamiento físico del servidor donde se tienen dichos datos.
Es habitual leer dentro de los contratos de uso de servicios de almacenaje en la nube

cómo dichos contratos aseguran que pueden tener acceso a datos por motivos de
mantenimiento. Es decir, un extraño puede tener acceso a datos sin que la
organización disponga del control o supervisión sobre dichas actividades, lo que resulta
un riesgo para la información de la organización.
Figura 4. Flujo de información simple.

196
El flujo de información simple, anteriormente mostrado, muestra una vulnerabilidad

clara al pasar por la nube. No obstante, se puede hacer una «nube» dentro de la
organización realizando un entorno militarizado y controlado de servidores de archivo
para los datos y aplicaciones críticos de la organización con redundancia en diversas
ubicaciones para evitar el fallo, acceso no deseado, caída, etc. de estos.
Seguridad desde el equipo al que se accede
El acceso remoto a aplicaciones o recursos propios de la organización se debe realizar

desde dispositivos de la organización.
Es decir, para acceder a un recurso de red, idílicamente, se debería acceder a través de

un smartphone, una tableta o un portátil facilitado por la propia organización que
satisfaga los estándares de seguridad por ella establecidos.
En el caso de un acceso desde equipos ajenos, no se podría garantizar la seguridad del

acceso por problemas tales como: intrusiones no deseadas, contraseñas no seguras,
almacenamiento incorrecto de información en el equipo, etc.
Esto provoca que diversos técnicos informáticos necesiten configurar equipos ajenos a la
organización para su uso contra los recursos externos por ella facilitada.
Los técnicos en gestión deberán valorar el uso de recursos propios de la organización

fuera de la frontera física de la misma, así como los impactos de ello derivado
considerando su actuación o no sobre las amenazas potenciales.
Métodos de validación
Los métodos de validación más empleados hoy en día son la firma digital, a través de
certificados digitales, así como el clásico loggin.
Para una eficiente gestión de contraseñas, diversas compañías implementan todos los
certificados en una tarjeta inteligente unipersonal para los usuarios que permite hacer
un loggin general en las aplicaciones y firmar con el certificado la documentación que
generen. Así, a través de la tarjeta, buscan un elemento físico que apoye al sistema lógico
que gestiona las aplicaciones.

197
Los métodos de validación afectan también a las comunicaciones dado que las VPN,
según su configuración, se basan en el envío de un paquete de validación para la
identificación del usuario dentro de la red.
Seguridad en la comunicación
Para garantizar un intercambio de información satisfactorio, la organización, debería

encriptar sus comunicaciones con el exterior o, al menos, el acceso desde el exterior a los
recursos de esta. Existen diversos métodos de encriptación, ya sea por hardware o
por software, siendo la encriptación de las comunicaciones por software la más común.
Hay que tener cuidado con la segregación de las redes. En la medida de lo posible las
redes de «cortesía», entre las que se pueden ubicar, por ejemplo, wifis de acceso para
personal ajeno a la empresa, deberán estar separadas de las redes de comunicación
interna de la organización para evitar una intrusión no deseada.
A día de hoy basta con un acceso a Internet, descargarse una herramienta gratuita de
análisis de red y acceso a videotutoriales para romper una parte importante de las redes
wifi existentes. Si bien existen contramedidas, la mejor de todas, sin duda es la del no
uso de redes wifi por parte de la organización.
Gestión de políticas de activos

tecnológicos
Seguridad del recurso de red

Sistema de remoto Sistema de
gestión, gestión,
requisitos Seguridad desde el equipo de requisitos
generales de la acceso generales de la
organización y organización y
específicos de específicos de
Método de evaluación
negocio negocio
Seguridad en la comunicación
Figura 5. Gestión de políticas de activos tecnológicos.

198
7.7. ¿Qué es la norma ISO 27001?
Antecedentes
La última versión del estándar ISO 27001 ha sido el resultado de la evolución de varios
estándares a lo largo de los años. La cronología que manifiesta el origen y evolución de
dicha norma es la siguiente:
» En 1989 el Centro de Seguridad de Informática Comercial del Reino Unido publica el

código de prácticas para usuarios (CCSC/DTI).
» En 1993 la British Standards Institution (BSI) publica PD0003 Código de prácticas
para la gestión de la seguridad de la información.
» En 1995 BSI informa la norma BS 7799, norma que contiene buenas prácticas o
recomendaciones para ayudar a las empresas a administrar información, no
certificable.
» Debido al éxito de la norma BS7799, BSI desarrolla un estándar certificable de la
misma. Para ello, publica en 1998 la norma BS 7799-2, en la que se establecían los
requisitos para implantar un sistema de gestión de seguridad de la información
certificable. Al darse la dualidad normativa, buenas prácticas vs. requisitos, amparada
bajo los estándares BS 7799-1 y 2 respectivamente, se plantea una revisión conjunta
de las partes.
» En 2002 se revisa nuevamente la norma BS 7799-2 para equiparar sus requisitos a
los de otros estándares muy difundidos en ese momento, como son las normas ISO
9001 e ISO 14001. Adicionalmente, mediante el formato fast track se pasa la norma
BS 7799-1 a norma ISO/IEC 17799:2000, con revisión periódica esperada de 5 años.
Esta norma constituye un conjunto de buenas prácticas, por lo que no resulta
certificable.
» En 2005, el comité ISO publica la norma ISO/IEC 27001, norma certificable, bajo los
guidelines definidos en la familia BS 7799, adicionalmente, se revisa la norma
ISO/IEC 17799.
» Con fecha 2007 se revisa la norma BS 7799 para adecuarla a la familia normativa ISO
27000 y tras esta revisión, pasa a denominarse ISO27002.
» En el año 2013, ISO publica la versión de la norma ISO/IEC 27001.
» En el año 2017, la norma internacional como la ISO/IEC 27001:2013 es adoptada
como norma europea y pasa a denominarse EN ISO/IEC 27001:2017. La nueva
versión BS EN ISO/IEC 27001:2017 es una nueva versión europea de la norma que

199
incluye la aprobación del Comité Europeo de Normalización (CEN)/Comité Europeo

de Normalización Electrotécnico (CENELEC).
La versión del 2017 de la norma ISO no se ha visto afectada y los cambios no suponen
nuevos requisitos. Estos cambios se han introducido para enfatizar la aprobación del
CEN/CENELEC a través de la designación EN (europea). Es decir, esto no supone un
cambio en la ISO/IEC 27001:2013, es simplemente una actualización que refleja la
aceptación del CEN/CENELEC. Es decir, en la versión del 2017 no hay requisitos nuevos
especificados ni requisitos modificados con respecto a la versión del 2013. Esto significa
que el sistema certificado bajo ISO/IEC 27001:2013 sigue cumpliendo bajo ISO/IEC
27001:2017. Las correcciones solo agregan claridad y especificidad al estándar existente.
Los documentos de estándares evolucionan con el tiempo y en respuesta a un

compromiso con la claridad y la facilidad de uso. Esta evolución es un resultado natural
de la aplicación en el campo en miles de sistemas y entornos de producción de la vida
real. Por tanto, en este caso las correcciones son ejemplos de lecciones aprendidas en el
uso de la forma.
En 2001 los trágicos hechos sucedidos en EE. UU. en las Torres Gemelas dejó en
relevancia una situación vital para las empresas en cuanto a la gestión de la seguridad de
la información.
En el momento del atentado aquellas organizaciones que operaban bajo un SGSI

pudieron ser capaces de levantar su negocio en períodos cercanos a 48 horas. Esto se
debe a que un SGSI permite la continuidad de la información, incluso, tras
catástrofes de todo tipo.
De este modo, a través de la desgracia se desarrolló el avance al centrarse en la capacidad

de las organizaciones para preservar la información más allá de todo evento posible.
La actual norma ISO 27001
La norma ISO 27001 constituye la referencia de los requisitos bajo los que ha de operar
un SGSI. Es una norma certificable, por lo cual, constituye una de las normas a emplear
durante la auditoría de certificación. Especifica los requisitos tanto para establecer como
para implementar, operar, monitorizar, revisar, mantener y mejorar un SGSI.

200
La finalidad principal de la norma ISO 27001 es la de preservar la confidencialidad, la

integridad y disponibilidad de información mediante la aplicación de un proceso de la
gestión de riesgos.
La norma ISO 27001 es aplicable a cualquier organización sin importar el tipo, tamaño y
actividad. Es integrable con otros sistemas de gestión tales como calidad (ISO 9001),
medioambiente (ISO 14001), servicios (ISO 20000-1), etc.
La norma ISO 27001 no es la única forma bajo la que puede operar e implementar un
SGSI si bien constituye el estándar más extendido para esta función.
7.8. ¿Qué es la norma ISO 27002?
La norma ISO 27002 es una guía de recomendaciones estructurada, reconocida

internacionalmente y dedicada a la seguridad de la información. Constituye un proceso
conciso para evaluar, establecer, mantener y administrar la seguridad de la información.
La ISO 27002 define una serie de objetivos de control y gestión que deberían ser
perseguidos por las empresas. Esta norma desarrolla un proceso equilibrado entre la
seguridad física, técnica, así como entre procedimientos y seguridad del personal. Su
cumplimiento no garantiza el cumplimiento de la norma ISO 27001.
7.9. Relaciones entre las normas ISO 27001 e ISO 27002
Las normas ISO 27001 e ISO 27002 pertenecen a la misma familia de normas de la serie
ISO 27000, por lo que disponen de ciertos nexos de unión.
Mientras que la ISO 27001 incluye los requisitos del sistema de gestión de seguridad de
la información, la ISO 27002 propone una serie de recomendaciones orientadas a
entablar un marco eficaz para la gestión de la seguridad de la información.
ISO 27001, a través de su implementación, estipula la necesidad de seleccionar una

serie de controles. Precisamente, esta norma incluye un anexo (anexo A) que resume
todos los controles que se pueden encontrar en la norma ISO 27002.

201
Por tanto, existe una paridad entre los apartados de la norma ISO 27001 en su anexo A y
el desarrollo de la norma ISO 27002 pero, pese a ello, ISO 27002 solo es un conjunto
de buenas prácticas. Es decir, para implantar un sistema de gestión de la seguridad
de la información acorde a los requisitos establecidos en la norma ISO 27001, es
fundamental seleccionar qué controles son aplicables, justificando tanto su exclusión
como el modo de aplicación o cumplimiento.
7.10. La familia ISO 27000
La familia ISO 27000 está constituida por una agrupación de normas para la operación,
implementación y gestión de los sistemas de seguridad de la información. Entre las
normas que conforman esta familia se encuentran:
» ISO 27000. Fundamentos y vocabulario.

» ISO 27001. Requisitos de los sistemas de gestión de seguridad de la Información.
» ISO 27002. Buenas prácticas para la Gestión de Seguridad de la Información.
» ISO 27003. Guía de implantación de un SGSI.
» ISO 27004. Métricas e indicadores de eficiencia y efectividad de los controles.
» ISO 27005. Gestión del riesgo en Seguridad de la información.
» ISO 27006. Requisitos de acreditación de las entidades de certificación de SGSI.
» ISO 27007. Manual de auditoría de un SGSI.
» ISO 27011. Guía de gestión de seguridad de la información específica de
telecomunicaciones.
» ISO 27031. Guía de continuidad de negocio basada en las tecnologías de la
información y las comunicaciones.
» ISO 27032. Estándar que garantiza las directrices de seguridad para proporcionar un
marco seguro para el intercambio de información, el manejo de incidentes, y la
coordinación para hacer más seguros los procesos.
» ISO 27033. Visión general de seguridad de la red y de los conceptos asociados.
» ISO 27034. Guía de seguridad en aplicaciones.
» ISO 27799. Estándar de gestión de seguridad de la información dentro del sector
sanitario.

202
7.11. Elementos básicos de la norma ISO 27001
La norma ISO 27001 sigue una estructura común al resto de normas de sistemas de
gestión, la denominada estructura de alto nivel. Los primeros capítulos recogen
consideraciones generales sobre el sistema de gestión y es a partir del capítulo 4 cuando
se comienzan a definir los diferentes requisitos a cumplir por un SGSI.
» Capítulo 0. Introducción.
» Capítulo 1. Objeto y campo de aplicación.
» Capítulo 2. Normas para la consulta.
» Capítulo 3. Términos y definiciones.
» Capítulo 4. Contexto de la organización.
» Capítulo 5. Liderazgo.
» Capítulo 6. Planificación.
» Capítulo 7. Soporte.
» Capítulo 8. Operación.
» Capítulo 9. Evaluación de desempeño.
» Capítulo 10. Mejora.
El capítulo 4 pone de manifiesto la importancia de conocer el contexto de la

organización, tanto a nivel interno como externo, puesto que va a ser imprescindible para
poder planificar e implantar el SGSI de manera adecuada.
A través del capítulo 5 se establece lo que, a día de hoy, constituye una constante en las
normas orientadas a la implementación de sistemas de gestión independientemente del
ámbito de aplicación: la responsabilidad en la que incurren los directivos de máximo
nivel por el hecho de aplicar esta norma, de voluntario cumplimiento, en su organización.
En su capítulo 6 se recogen los aspectos relacionados con la planificación del sistema

de gestión, como la evaluación de riesgos o el establecimiento de objetivos de gestión.
El capítulo 7 se centra en los recursos, tanto humanos, como materiales y económicos,

necesarios para la implantación, mantenimiento y mejora continua del sistema de
gestión, así como en las consideraciones a tener en cuenta sobre la información
documentada que deriva de la implantación del SGSI siguiendo los requisitos de la
propia norma.

203
El capítulo 8 se dedica a la planificación y el control operacional del sistema de gestión.

La organización tiene que planificar, implementar y controlar los procesos necesarios
para cumplir los requisitos de seguridad de la información. También debe implementar
planes para alcanzar los objetivos y controlar los cambios planificados y procesos
contratados externamente.
Y, por último, en los capítulos 9 y 10 se incluyen referencias a tres herramientas

clásicas para el mantenimiento y mejora de los sistemas de gestión, aplicadas
lógicamente en el ámbito de la seguridad de la información:
» Auditoría interna.
» Revisión por la dirección.
» Acciones correctivas (resaltar que en su última versión la norma ya no hace referencia
a las acciones preventivas).
Por último, la norma presenta un anexo de carácter normativo y que, por tanto, se
debe cumplir. Este anexo normativo es el anexo A, del que nace la aplicación de la
arquitectura orientada a servicios (SOA).
La norma presenta tres bloques esenciales para su implementación, comprensión y

auditoría:
» Requisitos documentarles y de gestión: políticas, procesos y procedimientos.

» Evaluación de riesgos.
» SOA.
A continuación, se describirán cada uno de ellos comenzando de forma ascendente.
7.12. Contexto de la organización y liderazgo
Contexto de la organización
El capítulo 4 de la norma ISO 27001 engloba los requisitos relacionados con el contexto
de la organización. Para ello, se deben determinar los factores que pueden afectar
de manera positiva o negativa a la gestión de la seguridad de la información en la
empresa.

204
La norma no especifica ninguna metodología para realizar el análisis del contexto. Entre
las herramientas más utilizadas se encuentra el análisis DAFO (debilidades, amenazas,
fortalezas y oportunidades).
El apartado 4.2 manifiesta la necesidad de tener claramente identificadas las

necesidades y expectativas de los diferentes grupos de interés de la organización que
sean relevantes para la seguridad de la información. Como partes interesadas se pueden
citar a los clientes, administradores, proveedores, trabajadores, etc.
Por otra parte, se debe definir y documentar el alcance del SGSI (apartado 4.3 de
la norma ISO 27001). Para determinarlo, la organización debe tener en cuenta los
resultados del análisis del contexto y las expectativas de los diferentes grupos de interés.
Finalmente, se establece el requisito de establecer, implementar y mejorar el SGSI en

base a todos los requisitos definidos en la norma.
Liderazgo
La alta dirección debe demostrar su compromiso y liderazgo con respecto al SGSI. Para
ello, la norma ISO 27001 establece una serie de responsabilidades definidas en el
apartado 5 de la norma ISO 27001. De manera breve se pueden esquematizar de la
siguiente manera:
» Establecer una política de seguridad de la información que cumpla los requisitos

definidos en el apartado 5.2 de la norma.
» Asignar y comunicar las funciones y roles a todos los miembros de la organización
relativos a la seguridad de la información.
» Proporcionar todo tipo de recursos necesarios para la implantación y funcionamiento
del SGSI.
» Asegurar por una parte la integración de los requisitos del SGSI en todas las
actividades y procesos de la organización, y por la otra la consecución de los resultados
previstos del sistema de gestión.
» Promover la mejora continua del sistema de gestión.
» Apoyar a todas las personas de la organización y dirigirlas, contribuyendo a la eficacia
del sistema de gestión.

205
7.13. SOA
El SOA es el único término no traducido de la norma en su versión original. Constituye

las siglas de Statement Of Aplicability o, en castellano, declaración de aplicabilidad.
La organización, una vez que ha identificado los riesgos de seguridad de la información,

debe definir un tratamiento efectivo para estos. Entre otras acciones a realizar, debe
elaborar una declaración de aplicabilidad que indique lo siguiente:
» Controles por incluir.

» Justificación de la implantación o no de los controles incluidos y de la exclusión de
controles contemplados en el anexo A de la norma.
El anexo A de la norma ISO 27001 establece los controles para aspectos tan generales
como puede ser la política para la seguridad de la información, hasta temas tan concretos
como seguridad en el cableado.
Los controles están pensados para organizaciones de todo tipo, por lo que, por ejemplo,
se pueden encontrar controles de especial relevancia para empresas de desarrollo de
software, pero de dudosa o nula aplicabilidad en otro tipo de organizaciones.
Adicionalmente, cabe mencionar el hecho que la norma permite implementar, por parte
de la organización, cuantos controles adicionales considere oportunos más allá de los
estrictamente normativos. Es importante tener en cuenta que es necesario tener la
debida documentación de los controles, así como de su aplicación. Recaba vital
importancia debido a que, al ser una norma con aplicación de ciertos controles a
elementos de soporte técnico (TI), los controles referentes a dicha disciplina, registros
informáticos, deberán considerarse en diversos apartados de la norma e incluso dentro
del propio anexo A.
Una buena práctica asociada a la aplicación de los controles conjunta a su

documentación es la elaboración de planes de acción para la implementación,
seguimiento y mejora de cuantos controles de similar naturaleza sean necesarios.
Un plan de acción debería tener idealmente los plazos, recursos, controles, así como
sus responsables para una correcta implementación, desarrollo y control.

206
La norma presenta una trazabilidad, pudiendo llegar desde la planificación a la mejora

a través de cada uno de los apartados de esta.
A continuación, se desarrolla un ejemplo de una buena práctica para la planificación de

un grupo de objetos de control:
Plan de acción
Objeto de control: Implementación de escritorios limpios
Fase Fecha fin Responsable Recursos
Desarrollo política de Responsable de
10/07/2018 2h Responsable de seguridad
escritorios limpios seguridad
Tres jornadas de media hora
Formación del Responsable de
17/07/2018 cada una para reunir y explicar
personal en plantilla seguridad
por grupos la política
El responsable de seguridad
Auditoría de puesto Responsable de
31/07/2018 hará una auditoría mensual a
de trabajo seguridad
un puesto de trabajo al azar.
Tabla 4. Plan de acción.
Seguimiento
Acción Fecha cierre Desviación Acción realizada
Desarrollo política de
09/07/2018
escritorios limpios
Dos personas Se añade nueva fecha de

Formación del personal en
18/07/2018 no pudieron formación y se cierra un
plantilla
asistir por baja día más tarde
Auditoría de puesto de
- En seguimiento
trabajo
Tabla 5. Seguimiento.
Hay que tener en cuenta que los registros son documentos vivos, por lo que, según avanza
su estado, se actualizarán. Se ha expuesto un ejemplo de registro (plan de acción) que no
tiene por qué ser una solución única, pero a modo de ejemplo es significativa.

207
Elementos significativos de importancia dispuestos a través del anexo:
Contrataciones
Los candidatos a un puesto de trabajo, así como las contratas de tercera parte, deben ser
seleccionados correctamente mostrando especial interés si van a desempeñar trabajos
sensibles para la seguridad de la información. Para ello sería conveniente lo siguiente:
» Asegurarse de que las personas disponen de información clara y concisa de las

funciones, así como de las responsabilidades que conllevan en lo referente a la
seguridad de la información.
» Los trabajadores comprenden y se muestran conformes con dichas funciones y
responsabilidades.
» Comprobar la información dotada por la tercera parte, ya sea candidato a través de
currículum vitae, subcontrata a través de referencias, etc.
» De forma específica los trabajadores de la organización que afecten a la seguridad de
la información deberán aceptar los términos y condiciones referentes a la misma.
» Durante el desarrollo de cualquier actividad tangente al alcance del sistema de gestión
de seguridad de la información, el personal, ya sea interno o externo, debe ser
consciente de los riesgos y amenazas de su organización en el ámbito de seguridad de
la información. Para ello es conveniente formación y sensibilización.
» Debe existir un proceso disciplinario como parte tanto de la organización como del
SGSI donde se consideren las brechas de seguridad.
» Debe existir, de modo específico, en el momento del cese del empleo o colaboración
de un tercero, lo siguiente:
o Los requisitos de seguridad en curso en el momento del cese.
o Cuando sea oportuno las responsabilidades legales de las partes en el momento del
cese y posterior al mismo.
o Cualquier responsabilidad adicional derivada de acuerdos de confidencialidad
firmado por las partes.
o Deben estar definidos los períodos de duración de los compromisos posteriores a
la relación que vinculen a las partes al finalizar la misma.

208
Protección de áreas físicas que contienen información
Los emplazamientos físicos que contengan información, tales como ubicaciones donde
se encuentren archivos, informes, planes directores, etc. deberán:
» Disponer de un perímetro asegurado que tenga las medidas suficientes para

garantizar el no acceso de personal no autorizado.
» Definir, implementar y operar medios de control para el acceso físico al
emplazamiento donde se encuentre ubicada la información, para garantizar solo el
acceso al recinto a personal autorizado.
» En caso de ser necesaria la visita o acceso a las ubicaciones definidas como zonas de
seguridad por parte de terceros deberán ser autorizadas siempre por un personal
competente.
» Por motivos obvios de preservación física de la archivística, los elementos peligrosos,
combustibles o inflamables deberán permanecer alejados en zonas específicas a
distancia suficiente de las áreas seguras.
» Aquellos equipos de respaldo, tales como servidores espejo, unidades de disco con
copias de seguridad, etc. deberán encontrarse a una distancia de seguridad
conveniente para evitar su daño o deterioro por un desastre en el área principal.
Acceso por personas autorizadas
El acceso a la información para su consulta, modificación, gestión, etc. deberá ser

siempre desarrollado por el personal competente. Para ello se deberá:
» Establecer un procedimiento, preferiblemente documentado, de altas y bajas de

usuario tanto lógico como físico para garantizar accesos y ceses.
» Realizar comprobaciones o auditorías esporádicas de los usuarios con acceso a datos,
así como de la validez de los permisos a ellos asociados.
» Controlar las personas con permisos de acceso y sus accesos a la información de la
organización.
» Realizar informes para el cumplimiento legal (Ley Orgánica 3/2018, de 5 de
diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y el
Reglamento General de Protección de Datos) con periodicidad mensual.

209
Políticas de clave de acceso
Se debería diseñar una política para contraseñas capaz de controlar, de forma

documentada, la asignación de contraseñas de modo que permita lo siguiente:
» Establecer un compromiso firmado por parte del usuario para mantener en secreto
las contraseñas.
» Proporcionar, inicialmente, una contraseña temporal segura que, forzosamente,
deberá cambiar el usuario con su primer inicio de sesión.
» Establecer una vía de comunicación segura para otorgar dichas contraseñas
temporales a los usuarios.
» Demostrar, bajo acuse de recibo, la recepción por parte del usuario de las contraseñas
que le han sido enviadas.
» Almacenar siempre las contraseñas en los equipos informáticos que las requieran, de
forma que estas se encuentren siempre protegidas.
» Evidenciar que las contraseñas nunca han sido prestadas a los compañeros, ni
pegadas en pósits o dispuestas junto a la pantalla del PC o bajo el teclado, etc.
Adicionalmente, y como soporte a lo anteriormente expuesto, se debería informar y

sensibilizar al usuario para lo siguiente:
» Mantener la confidencialidad de las contraseñas.

» Realizar un cambio de contraseña en el caso de disponer de pruebas o sospechas de
una vulnerabilidad, ya sea propia o del sistema.
» Realizar una elección de contraseñas apropiada:
o Que sean fáciles de recordar.
o Que no se basen, de ningún modo, en algún elemento deducible, tal como nombre,
fechas de nacimiento, números de teléfono, etc.
o En ningún caso será el total de la contraseña solo números o letras.
» Efectuar cambios de contraseña a intervalos regulares sin reciclar, en ningún caso
contraseñas anteriores, o realizar un empleo cíclico de contraseñas.

210
Acceso a la información conforme seguridad, criterios del negocio y legales
Más allá de los requisitos establecidos en la norma existen los requisitos propios de la
organización y, de forma adicional, los legales. Para ello se debe considerar lo siguiente:
» Documentar de forma individualizada el control de acceso según el requisito o la

información objeto de protección.
» Considerar siempre la legislación aplicable según el sector. No solo en elementos
propios de la actividad, sino, adicionalmente, en la clasificación de la información, por
ejemplo.
» Definir unos criterios claros para solicitar y, posteriormente, conceder acceso a la
información objeto de protección.
» Verificar una coherencia clara entre la política de control de acceso y la clasificación
de la información objeto de protección.
» Realizar una revisión periódica de los controles de acceso.
Como se puede ver, los requisitos, así como las buenas prácticas asociadas a cada uno de
ellos, adquieren un carácter vertical llegando a solaparse en alguno de los elementos. El
avance conceptual de estos permite, en este caso, completar los requisitos según el
ámbito de aplicación.
Accesos externos a la red interna
Debido a que habitualmente es común el acceso a la red interna de la organización desde

una red externa, hay que asegurarse de lo siguiente:
» Informar al usuario del peligro en el que se incurre al introducir software no

autorizado por la organización en los equipos, tanto internos como externos, con
acceso a la red interna.
» Revisar de forma esporádica el estado de los equipos y sus amenazas para detectarlas
a tiempo y poder impedir su introducción en el sistema.
» Establecer protocolos seguros para el reconocimiento de usuarios remotos.
» Desarrollar una política para escritorios vacíos, tanto virtuales como físicos. Hay que
ser capaces de dejar el puesto de modo que alguien sea capaz de sustituir a otra
persona en cualquier momento sin que acceda de forma indebida a dato alguno.
» Encriptar toda aquella información sensible, ya sea para la organización de forma
específica o bien por requisitos legales.

211
Uso correcto de los equipos de sobremesa
El uso extendido de los equipos de sobremesa en las organizaciones favorece el uso

incorrecto de los mismos. Para prevenirlo sería conveniente tomar las siguientes
medidas:
» En caso de ausentarse del equipo de sobremesa, bloquear el equipo (para equipos con
sistema operativo Windows el comando del teclado es Windows+L), de modo que
obligue a reintroducir la contraseña.
» No dejar ningún dispositivo externo; CD, USB, etc. a la vista o sobre el escritorio físico.
» Mantener el escritorio, tanto el físico como el virtual, limpio de carpetas y
documentos.
» Recoger y guardar, bajo los medios que sean oportunos, la información sensible. Suele
ser habitual disponer de armarios con llave para tal efecto.
7.14. Evaluación de riesgos
La norma ISO 27001 hace referencia a la evaluación de riesgos a lo largo de su desarrollo.
Las organizaciones tendrán, en primer lugar, que definir y desarrollar lo que la norma
denomina un proceso de apreciación de riesgos de seguridad de la
información, donde se recojan los criterios de aceptación de riesgo y los criterios que
sean necesarios para llevar a cabo la identificación de los riesgos de seguridad de la
información.
El principal objetivo de este proceso de apreciación de riesgos es identificar los riesgos

asociados a la pérdida de confidencialidad, integridad y disponibilidad de la información,
así como identificar a los dueños de los riesgos, de manera que se pueda asociar a una
persona concreta la responsabilidad del riesgo y, por tanto, su tratamiento a niveles
aceptables.
La norma no especifica una metodología concreta para desarrollar esta evaluación de

riesgos, pero sí señala que estos deben ser analizados teniendo en cuenta las
consecuencias y la probabilidad de ocurrencia.

212
Otro aspecto importante que se debe tener en cuenta en la evaluación de riesgos de

seguridad de la información es la priorización en el tratamiento de estos, que podrá
realizarse teniendo en cuenta los resultados del análisis de riesgos previamente
realizado.
Toda la información sobre el proceso de apreciación de riesgos debe quedar

documentada, como se indica en la propia norma ISO 27001.
Existen métodos de riesgos estándares, tales como Magerit, encargados de la

identificación, la definición y la clasificación de los riesgos asociados a los activos de la
organización.
Se puede encontrar más información sobre la última versión de esta metodología de

análisis y gestión de riesgos de los sistemas de información (Magerit) en el siguiente
enlace.
Portal de Administración Electrónica (s. f.). Magerit v3: Metodología de análisis y gestión
de riegos de los sistemas de información [en línea]. Recuperado de
https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Meto
dolog/pae_Magerit.html
Hay que ser cuidadosos con los métodos estándares para su aplicación pues, en
numerosas ocasiones, requieren de gran conocimiento tanto del método como de la
norma por parte de la estructura de la organización.
En resumidas cuentas, la norma obliga a desarrollar una mecánica para la identificación,

análisis y valoración de los riesgos conforme a lo siguiente:
» Los activos empleados dentro del alcance del SGSI (identificando los propietarios de
dichos activos).
» Las amenazas a las que se ven expuestas dichos activos.
» Los impactos sobre los activos de la pérdida de confidencialidad, integridad y
disponibilidad.
» Los efectos en la actividad de la organización motivados por las pérdidas de
confidencialidad, integridad o disponibilidad de sus activos.
» Probabilidad realista de la aparición de dichas amenazas, así como los impactos
asociados y los controles desarrollados.

213
» Los niveles de riesgo.

» El riesgo aceptable, así como los riesgos derivados del análisis que requieran su
posterior tratamiento conforme a los criterios de aceptación.
Una vez definidos aquellos riesgos que requieran un tratamiento, se evaluarán las
actuaciones conforme a las siguientes opciones:
» Implementar controles sobre dichos riesgos.

» Aceptar los riesgos, acorde a los criterios de aceptación de riesgos previamente
establecidos.
» Evitar los riesgos identificados.
» Transferir los riesgos, en caso de ser posibles, a terceros, de modo que la gestión
recaiga en sus manos.
Dada la interacción de la norma, en este último punto, se deben considerar todos

aquellos efectos derivados del trabajo de terceros, tal como se ha considerado en el SOA
en el apartado anterior.
Se debe ser muy minuciosos con las condiciones contractuales y las cláusulas en ellas
mostradas. Se recalca esto último dado que, si se deriva un riesgo a un tercero se puede
incurrir, si no se define adecuadamente la relación entre ambas partes, en un riesgo
mayor.
7.15. Información documentada del sistema de gestión
El sistema de gestión de la seguridad de la información debe incluir una información

documentada que incluya la requerida por la norma ISO 27001 y aquella que la
organización considere necesaria para la eficacia del sistema de gestión.

214
Figura 6. Clasificación típica de la documentación de las normas de sistemas de gestión.
La pirámide documental anterior es una clasificación típica de la documentación de

cualquiera de las normas de sistemas de gestión. El manual del sistema de gestión no es
un requisito de la norma ISO 27001, aunque suele ser práctica su implementación dentro
de la organización.
La norma ISO 27001, a lo largo de todo su desarrollo, establece el sistema documental

derivado de la implantación de un SGSI.
La información documentada requerida por la norma puede resumirse como sigue:
» Proceso de apreciación de riesgos de seguridad de la información.

» Proceso de tratamiento de riesgos de seguridad de la información.
» Objetivos de seguridad de la información.
» Competencia de los integrantes de la organización.
» Planificación, implementación y control de los procesos.
» Resultados de las apreciaciones de riesgos de seguridad de la información.
» Resultados del tratamiento de los riesgos de seguridad de la información.
» Resultados del seguimiento, medición análisis y mejora.
» Resultados de la auditoría interna.
» Implementación del programa de auditoría.
» Resultados de las revisiones por la dirección.
» No conformidades.
» Resultados acciones correctivas.

215
Es importante tener en cuenta que las organizaciones deberán desarrollar toda la

información documentada que consideren necesaria para asegurar el correcto
funcionamiento y la eficacia del sistema.
Además, la información documentada debe cumplir unas características

establecidas por la propia norma y que, a continuación, se resumen:
» Debe estar identificada adecuadamente.

» Determinar el formato y los medios de soporte.
» Se debe definir tanto el formato como los medios de soporte.
» Ha de ser revisada y aprobada. Se deben controlar los cambios.
» Debe estar protegida frente a posibles problemas de confidencialidad, de uso
inadecuado, etc.
» Debe ser controlada en todo momento teniendo en cuenta su distribución, acceso,
recuperación, almacenamiento, preservación, retención y uso.
Además, de la propia información de la organización se debe identificar y controlar

cualquier tipo de documentación externa que la empresa considere necesaria para llevar
a cabo el SGSI.
7.16. Evaluación del desempeño y mejora
En este apartado se abordarán los dos últimos capítulos de la norma ISO 27001, los
capítulos 9 y 10, que corresponden a los requisitos relacionados con la evaluación del
desempeño y la mejora, respectivamente.
Evaluación del desempeño
Todo sistema de gestión debe ser evaluado para conocer si la implantación realizada es
efectiva. Para ello, la organización debe llevar a cabo un seguimiento y un análisis de
mismo, determinando por lo siguiente:
» Los métodos necesarios para asegurar la fiabilidad de los resultados obtenidos.

» La periodicidad de realizar el seguimiento y las mediciones.
» Qué es lo que necesita seguimiento y medición.
» Quién será el responsable de realizar, por una parte, el seguimiento y la medición, y
por la otra, el análisis e interpretación de los resultados obtenidos.

216
La organización debe conservar información documentada de la evaluación de este

desempeño.
Dos de las herramientas definidas en la norma ISO 27001, y en el resto de las normas
de sistemas de gestión, para llevar a cabo dicha evaluación del desempeño son las
auditorías internas y la revisión por la dirección.
» Las auditorías internas se llevan a cabo en intervalos planificados por la

organización y tienen la finalidad de evidenciar el cumplimiento de los requisitos del
SGSI. Mediante un programa de auditoría se planifican y también se establecen unos
criterios y un alcance. Se deben seleccionar auditores objetivos y mantener como
información documentada las evidencias de los resultados de esta.
» La revisión por la dirección se realiza de forma periódica para revisar el SGSI. Se
deben tener en cuenta unos elementos de entrada como los resultados de las
auditorías internas, la gestión de los riesgos de la seguridad de la información, el
seguimiento y los resultados de las mediciones, los objetivos, las no conformidades y
las acciones correctivas implantadas, etc. Los elementos de salida tras la revisión
tienen que reflejar las decisiones relacionadas con cualquier cambio necesario en el
sistema de gestión y con la mejora continua.
Mejora
La mejora en cualquier sistema de gestión es necesaria porque ello asegura su

continuidad. Para ello, la organización debe fijar las oportunidades de mejora e
implementar las acciones necesarias que hagan que mejore eficazmente su sistema de
gestión de la seguridad de la información.
Para definir dichas acciones deberá tener en cuenta todos los resultados que se han
obtenido a través de la gestión de los riesgos, las auditorías internas y la revisión por la
dirección.
En el caso de que se hayan detectado no conformidades durante el seguimiento del SGSI,

se deben determinar las causas y proponer acciones correctivas adecuadas para cada una
de las no conformidades encontradas.

217
7.17. Certificación de la norma ISO 27001
Dado que la norma ISO 27001 es una norma certificable, se puede auditar. Las
auditorías de un SGSI no difieren, en su estructura, de otras auditorías de certificación
de otras normas de sistema de gestión. Por lo tanto, para llevar a cabo este tipo de
auditorías se siguen los criterios establecidos en la ISO 19011 que especifica las
directrices para auditar los sistemas de gestión.
La auditoría es un proceso sistemático, exhaustivo e independiente que se realiza

para determinar si las actividades de la organización cumplen los requisitos establecidos
en la norma de referencia. Por tanto, se evalúa de forma objetiva el cumplimiento de unos
criterios previamente definidos.
Es preciso tener en cuenta que las auditorías tienen un carácter muestral, es decir, se
auditan diversos requisitos y no la totalidad. La justificación de este hecho reside en la
limitación temporal, pues muchas veces auditar todo el sistema de gestión de una
organización resultaría inviable dentro del ciclo de vida de los certificados.
La estructura formal de la auditoría sería la siguiente:
» Inicio de la auditoría (previo al emplazamiento del cliente a auditar):

o Definir los objetivos, alcance y criterios a comprobar con el cliente y a validar con
el personal auditado en la auditoría.
o Determinar si la información y las estimaciones de tiempo y recursos para la
planificación inicial de la auditoría son adecuadas a la realidad del alcance de la
certificación para la organización.
o El equipo auditor debe mostrar competencia para cumplir los objetivos de la
auditoría.
o Establecer contacto inicial con el auditado.
» Inicio de la auditoría (en las instalaciones del auditado):

o Breve descripción de la certificadora.
o Descripción de la organización objeto de auditoría.
o Alcance de la auditoría: alcance y límites entre los que se incluyen las ubicaciones,
las actividades y los procesos bajo el alcance.
o Motivo de la auditoría.

218
o Criterios: estándar, especificaciones, documentación, legislación y otros requisitos

aplicables.
o Fecha estimada de cierre.
La auditoría consta siempre de dos etapas:
» Fase 1: fase en la que se realiza una revisión de la documentación del SIGSI.

» Fase 2: fase encargada de recabar evidencias propiamente dentro de la actividad de la
organización.
Habitualmente en la auditoría SGSI se analiza de inicio a fin la actividad de la

organización con el fin de establecer los vínculos referentes del SGSI a través de esta.
Tras ello se realiza una auditoría del SOA en la cual se determinan los puntos que no han
sido revisados durante la auditoría de actividad, es decir, que quedan pendientes de
revisar. Durante una auditoría no es común que se revise el SOA en su totalidad. Lo
normal es que a lo largo del ciclo de vida del certificado se revise el SOA completo.
El ciclo de vida de un certificado ISO 27001 es de tres años. El primer año se hace una
auditoría total del sistema. El segundo año se realiza una auditoría parcial (la mitad) del
sistema y el tercer año se desarrolla otra auditoría parcial del sistema de la mitad faltante.
La auditoría de recertificación siempre tiene lugar en fechas previas a la emisión del

certificado para evitar que ninguna organización opere sin el amparo de este.
Una vez concluida la obtención de evidencias, se da paso a la reunión final donde el
auditor expondrá el informe de auditoría. En dicho informe el auditor señalará lo
siguiente:
» Las no conformidades detectadas.

» Las observaciones detectadas.
» Las oportunidades de mejora para la organización.
Las no conformidades pueden ser de dos tipos:
» Mayores: afectan a la estructura básica del SGSI, dificultando su operación,

mantenimiento y gestión.

219
» Menores: no afectan a la estructura básica del SGSI, pero se muestra una

disconformidad con los criterios de auditoría.
Las no conformidades en una auditoría de ISO 27001 pueden provenir de:
» Requisitos legales o normativos.

» Incumplimiento de la norma ISO 27001.
» Requisitos de la organización.
Las observaciones son no conformidades potenciales. No es obligatorio responder a ellas.
Las oportunidades de mejora son ideas que da el auditor a la organización para su mejora
en el desempeño del SGSI. En ningún momento hay que dar respuesta a las mismas.

220
Capítulo 8
Implantación del sistema de
seguridad de la información
221
Capítulo 8: Implantación del sistema de seguridad de la información
8.1. Principales errores de la organización al implantar un SGSI
A la hora de implementar un SGSI las organizaciones siempre suelen incurrir en los

mismos errores:
» No entender el problema y esperar que no suceda nada.

» Creer que la seguridad se basa únicamente en productos y tecnología.
» Ser únicamente reactivos y dedicarse a apagar incendios todo el tiempo.
» Implementar únicamente medidas preventivas.
» Confiarse únicamente en seguridad perimetral, ya sea física con barreras o lógica con
firewalls, y nada más.
» No evaluar los riesgos.
» Disponer de poco personal, con poca o ninguna experiencia en seguridad de la
información.
» No controlar la destrucción de la información.
No entender el problema y esperar a que no suceda nada
En un primer momento la mayoría de las organizaciones se muestran reticentes a la

implementación de un SGSI.
La mayor parte de las organizaciones, al escuchar seguridad de la información, delega la

gestión o responsabilidad del SGSI en el departamento de informática, lo que es un claro
error.
La responsabilidad no se puede delegar nunca y, a parte, un SGSI incluye gestión, para

lo cual afecta no solo a las tecnologías de la información de la empresa, sino a toda la
compañía dentro del ámbito de gestión.
Hay que reconocer que la norma dispone de una carga tecnológica. Esto se debe,
esencialmente, al hecho de que gran parte de la gestión de la información en el momento
de su publicación recae en las tecnologías de la información. Es normal, por tanto,
encontrar referencias al mundo TIC.
Hay que recordar siempre que las máquinas son herramientas reactivas, es decir,
responden tal como se hayan programado para responder. No existe, todavía, una
inteligencia artificial suficiente para permitir que las herramientas TIC realicen una

222
gestión activa de la seguridad de la información. Esto significa que, por mucha tecnología
que haya, la gestión recaerá siempre en las personas.
Creer que la seguridad se basa únicamente en productos y tecnología
Tal y como se ha comentado anteriormente, no se puede generar una dependencia

tecnológica en la gestión de la información, pensar que un elemento tecnológico será la
solución totalitaria a los problemas de gestión es un error.
Se deben emplear medidas concretas a problemas concretos. La tecnología es un arma

de doble filo. Invertir sin control en tecnología es una causa bastante común para la ruina
de una empresa. La implementación de soluciones tecnológicas no acota el problema
concreto y suele revertir en beneficios menores de los necesarios para su amortización
económica. Adicionalmente, se tendrá un problema complementario. Cuanto más seguro
es un sistema más incómodo resulta. Para la correcta gestión de los activos de una
organización dentro del SGSI, habrá que encontrar el correcto equilibrio entre
seguridad y operatividad.
Otro problema es la interconexión de sistemas. Cuantas más soluciones

tecnológicas, mayor número de problemas de interconexión de sistemas y esto, en sí
mismo, constituye una brecha de seguridad.
Ser únicamente reactivo
La tendencia natural de la gestión del tiempo aplicada a la realidad empresarial incurre

en una tendencia natural a dedicar mayor tiempo a interrupciones que a las actividades
de máxima rentabilidad. Es decir, se terminaría por dedicar más tiempo a cosas que no
se debería y que, casi siempre, no son prioritarias para una función específica.
Cuando no se dedica tiempo a la planificación y control, sino que únicamente se realizan

correcciones, se incide en un ciclo de no mejora. La corrección es la solución de un efecto
de la causa de una no conformidad.
Si solo se solventan los efectos, nunca se analizarán las causas y, por tanto, no se mejora.
El exceso de correcciones frente al número de acciones correctivas suele ser un síntoma
de esta situación.

223
En este tipo de organizaciones, intentar implantar un sistema, es decir, un método de

gestión que ordene, organice y priorice la seguridad de la información requiere un gran
esfuerzo en la formación y capacitación de las personas.
Una organización reactiva muestra una clara ineficacia en nuestra estrategia de

seguridad. Por lo tanto, debe definir una estrategia de seguridad clara y precisa, con
apoyo de la alta dirección, recursos asignados, soportada por una política de seguridad y
administrada.
Las organizaciones que emplean gestión, sea del tipo que sea, deben tender a la
proactividad y no a la reactividad.
¿Es suficiente aplicar solo acciones preventivas?
La organización debe medir los resultados esperados al operar el SGSI, lo cual, de forma
inequívoca, desemboca en errores.
Un sistema de gestión donde no se mide la eficacia de sus procesos principales incurre

en una incapacidad innata para afrontar la implementación del SGSI. Por ello, se deben
añadir controles y métricas para corregir dicho defecto.
Confiarse únicamente en la seguridad perimetral
Típicamente, al pensar en seguridad se piensa siempre en un gran muro frente a la

organización o bien en un tremendo firewall que proteja sus comunicaciones.
El problema de disponer de estos conceptos preconcebidos recaba en que se falla en el

análisis de riesgos. Hay que ser conscientes de que los mayores riesgos van a provenir
siempre de las personas y no de los perímetros. Una buena educación al trabajador en
los deberes heredados de la implementación del SGSI ayuda más que levantar muros
infranqueables.
Son los usuarios quienes, por ejemplo, divulgan secretos de la organización a quien no
deben o dejan un pósit con sus contraseñas en la pantalla de su equipo a la vista de
cualquiera.

224
Un buen diseño de un contrato de confidencialidad es de gran ayuda para temas

relacionados con el personal, así como una buena política de formación y sensibilización
periódica en temas de seguridad de la información.
No evaluar los riesgos
Hay que recordar que el único sistema seguro es aquel que está apagado y los usuarios
no tienen acceso a él, pero esto no resulta muy útil.
El tiempo y el dinero invertidos en asegurar un sistema tiene que ser comparado siempre
con el riesgo de perderlo.
Cuando una empresa se plantea los riesgos que le pueden afectar, debe considerar que la
inversión no irá encaminada a sobreprotegerla, sino a minimizar la posibilidad de
fallos críticos en pérdida de organización.
Siempre hay que pensar que un atacante no es distinto a la organización. Él también

evalúa los costes y beneficios del ataque a la seguridad de la empresa. De modo que si le
lleva mucho tiempo, con probabilidad elevada, se irá a otro lado.
Existen muchos riesgos asociados a las diversas organizaciones de todo tipo como los que
veremos en las páginas que siguen.
Disponer de poco personal con poco o nula experiencia en seguridad de la

información
La gestión correcta del personal de la organización en materia de seguridad de la

información es vital. Da igual si el personal está dentro del alcance del sistema de gestión
e interactúa con él como usuario. Por tanto, es imprescindible para una gestión eficaz de
la seguridad de la información en una organización que todo el personal, tanto interno
como externo, conozca perfectamente sus roles y responsabilidades.
Al personal interno se le puede informar a través del manual de acogida o de la

formación de bienvenida a la empresa, así como por medio de charlas de sensibilización.
No hay nada más peligroso para la seguridad de la información que la desinformación.

225
La mejor píldora preventiva de un SGSI es la preparación de su personal en las

actuaciones precisas, por ejemplo, en los usos correctos de la tecnología que gestionan,
accesos de forma correcta a información sensible, etc.
El personal constituirá siempre un gran activo dentro de la organización que deberá ser
medido en consecuencia en la evaluación de riesgos, así como las amenazas que lo
afectan.
Las actuaciones del personal constituyen a su vez, amenazas o vulnerabilidades para la

imagen de la organización. Así, hay que poner especial atención a la imagen de la
organización, pues es un activo que muchas veces es pasado por alto y resulta vital para
esta.
Se pueden reducir los impactos derivados de la mala operatividad del personal interno
de la organización a través de cláusulas de confidencialidad dentro de los contratos
o cláusulas de responsabilidad, tanto para su trabajo como para sus responsabilidades
tras el cese de este.
Es conveniente recabar un recibí firmado del personal cuando se le otorga información

en lo referente a funciones y responsabilidades, así como un «comprendo, entiendo y
acepto lo anteriormente expuesto» dentro del documento de aceptación para evitar las
ya clásicas «es que yo no sabía…».
Cuando el personal es externo se debe tener cuidado dado que los contratos muchas
veces son entre empresas y, de algún modo, sería conveniente vincular a los
trabajadores que, de forma específica, van a realizar tareas en el entorno del SGSI.
No hay que olvidarse de que las faltas las cometen específicamente las personas y no las
organizaciones, si bien es cierto que en la búsqueda de la culpabilidad se podría llegar
hasta estas.
No se controla la destrucción de la información
La organización está sujeta al cumplimiento legal del Reglamento Europeo de Protección

de Datos y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos
Personales y garantía de los derechos digitales, así como cualquier requisito legal

226
adicional vinculado a la actividad de la organización en materia de seguridad de la

información.
Se debe cuidar siempre dónde y cómo se depositan los documentos independientemente

del soporte. Es conveniente establecer una metodología clara, pública y eficaz para la
destrucción de la información, en especial aquella información sensible para la
organización.
En caso de delegar la actividad de destrucción de la organización en un tercero,

obtener un certificado que demuestre tanto la destrucción en sí como el cumplimiento
con la legislación vigente.
Últimamente se ha extendido la destrucción tanto de la documentación en papel como

de dispositivos externos por empresas externas. Por lo tanto, se deberá verificar si estas
cumplen con la legislación, por ejemplo, en relación con el tamaño mínimo en el que
dejan el papel, si la destrucción de los dispositivos externos (CD, USB, etc.) es eficaz, etc.
Si además estas empresas hacen gestión de residuos y se llevan los PC de la compañía,

habrá que vigilar y garantizar que se inhabilitan sus discos duros mediante formateo de
baja densidad y, a ser posible, físicamente mediante un taladro en el mismo.
8.2. Definición del alcance
La definición de un buen alcance del sistema de gestión de seguridad de la información

constituye, sin lugar a dudas, uno de los puntos claves del éxito para la implantación de
esta.
El alcance del sistema de gestión no es sino la definición del ámbito de aplicación

de este dentro de la organización. Para su certificación, el alcance deberá contemplar, al
menos, una de las actividades principales de la organización.
El alcance del SGSI vendrá condicionado por los requisitos de la organización. No hay
duda de que el certificado de una norma como ISO 27001, más allá de los beneficios que
entraña su buena gestión, incluye una mejora cuantitativa de la imagen de la
organización.

227
La correcta definición del alcance suele ser algo laborioso. Por un lado, entra en conflicto
el alcance publicitario del certificado, «la organización quiere que ponga (…)»; por
otro lado, el operativo, «es conveniente certificar la actividad (…)», y finalmente el
económico, «si se hace todo va a costar certificarlo (…) euros».
Para una eficaz definición, implementación y operación del SGSI desde su alcance hasta
su gestión, la organización debería constituir un grupo con potestad de decisión dentro
de la organización para definir temas importantes como el alcance.
8.3. Comité de seguridad
Es conveniente para una eficaz y correcta implementación de un SGSI el nombramiento

de un comité de seguridad. El comité de seguridad debería estar constituido por un
grupo multidisciplinar de la compañía con potestad para la toma de decisiones. Es
decir, debería incluir a personas con capacidad de firma y, siempre, al menos una
persona del departamento económico financiero para agilizar los trámites económicos
de las decisiones en él tomadas.
Sus funciones deberían ser tan diversas como las siguientes:
» Definición de estrategias para la gestión de seguridad de la información.

» Definición de un método de valoración de riesgos.
» Análisis y clasificación de las amenazas que afectan a los activos de la compañía.
» Evaluación de los riesgos.
» Definición e implementación de los controles.
» Métricas asociadas a los controles para valoración de su eficacia.
» Valoración de los cambios en el entorno, tecnología, etc. de la organización.
» Diseño de un plan de continuidad de negocio.
» Aprobación del riesgo residual de la compañía.
» Etc.
Adicionalmente, el comité debería contar con el representante de la dirección en materia

de seguridad de la información. En gran medida, la eficacia del SGSI dependerá de la
buena actuación del comité de seguridad.

228
8.4. SOA
Los problemas derivados de la implementación de los controles del SOA radican en su

complejidad. Los controles definidos en el anexo A de la norma se definen de forma
generalista o bien de un modo que, en caso de aplicarlo literalmente, repercutiría en
sobrecostes.
Por ello, la propia norma ISO 27001 establece en su anexo que los controles definidos se
corresponden directamente con los que figuran en la norma ISO/IEC 27002, que es
una guía de implementación de controles.
La norma ISO/IEC 27002 es un grupo de buenas prácticas, de modo que no son de

obligado cumplimiento. Son orientaciones para la implementación de los
controles que no constituyen en modo alguno una obligatoriedad.
Es importante argumentar los modos de aplicación y cumplimiento de los controles, así

como sus exclusiones. Resulta complicado establecer exclusiones claras dentro del
anexo.
Algunos de los apartados de controversia son los siguientes:
» Comercio electrónico.
» Gestión de la seguridad de las redes.
Comercio electrónico
Hace unos años resultaba raro que una organización realizase pagos mediante el uso de
Internet. Hoy en día, por contra, es cada vez más habitual el empleo de las nuevas
tecnologías para realizar pagos.
Esto se debe a que, pese a la desconfianza inicial suscitada por el uso tecnológico al
sistema de pagos, los organismos, en este caso los bancos, han aplicados métodos de
autenticación, encriptación y cifrado para garantizar los pagos de sus clientes lo
que ha revertido en una confianza positiva por parte de los usuarios.
La exclusión del comercio electrónico se suele basar en que no todas las empresas
realizan una televenta. No obstante, dado que, muchos de los organismos que implantan

229
esta norma realizan pagos online, estos constituyen la base para la no exclusión de dicho
apartado. Típicamente es un control que suele acabar relegado parcialmente en los
controles aplicados por el banco para los telepagos. No obstante, se deben controlar, de
puertas hacia adentro, todos aquellos elementos cuya gestión depende de la organización
y puedan afectar a un fallo en esta actividad.
Gestión de usuarios y contraseñas, encriptación de datos, etc. son actuaciones o controles

adicionales que, si bien no se encuentran bajo el mismo epígrafe, apoyan a varias
actividades de forma transversal.
Gestión de la seguridad de las redes
Se puede actuar de forma activa sobre las internas de la organización, pero difícilmente
se podrá actuar sobre las redes exteriores a la misma.
De hecho, salvo que la propia organización sea el proveedor del servicio, será una
actividad complicada de gestionar. Es realmente complicado que la organización pueda
acordar con la empresa que ofrezca el servicio el tipo de canalización a emplear, la fibra,
etc.
Elementos específicos relacionados con normativa adicional ISO 20000-1:
» Control de cambios.
» Gestión de incidentes.
» Plan de continuidad de negocio.
Todas las normas de gestión presentan una serie de elementos comunes como gestión de
la documentación, gestión de los recursos, revisión por la dirección y mejora (auditorías
internas, acciones correctivas).
Pero de forma específica, la norma ISO 27001 desarrolla los apartados anteriormente
mencionados con interacción clara con la norma ISO 20000-1.

230
8.5. Evaluación de riesgos
Uno de los mayores escollos en la implantación de un SGSI resulta el método

de evaluación de riesgos. La metodología seleccionada debe ser capaz de lo siguiente:
» Identificar los activos de la organización.

» Identificar los propietarios de los activos.
» Identificar las amenazas bajo las que operan estos activos.
» Identificar la probabilidad de que se materialice una amenaza.
» Realizar valoraciones conforme a la confidencialidad, integridad y disponibilidad de
la información.
» Definir un método de cálculo para el riesgo.
» Valorar los impactos para la organización de la materialización de las amenazas.
Debe existir un riesgo residual aprobado por la organización, que tendrá que decidir
sobre qué elementos actuará para mitigar los valores de riesgo no aceptados. Esto se
traduce de la siguiente manera:
Figura 1. Evaluación de riesgos.
Tras identificar los elementos sobre los que se va a actuar, se debe realizar un tratamiento
del riesgo. Es decir, se debe concretar qué se va a hacer con los riesgos que se han

231
decidido tratar y definir las medidas a emplear, planificar su implementación y medir su

eficacia.
Podría ser el comité de seguridad el encargado de definir las medidas a emplear para
reducir el riesgo obtenido. Los planes para la implementación de controles deberían
describir lo siguiente:
» Elemento por controlar.

» Descripción del control.
» Recursos que dotar.
» Valor esperado del control.
» Duración del plan.
» Responsable.
A la hora de implementar una medida, se hace esperando actuar sobre:
» Confidencialidad.
» Integridad.
» Disponibilidad.
» Probabilidad de la amenaza.
Inicialmente, lo más fácil de implementar son medidas que vayan en contra de la

probabilidad de amenazas. Esto se debe a que resulta mucho más simple imponer una
barrera física o tecnológica que desarrollar métodos y técnicas que afecten a los otros
atributos.
Hay que recordar que recargar en barreras externas, ya sean físicas o tecnológicas, así
como la inversión excesiva en tecnología resultan unas de las causas habituales de
fracaso en la implementación de un SGSI.
Las actuaciones que se pueden hacer son las siguientes:
» Confidencialidad: variar la clasificación de la información contenida en los activos.

» Integridad: segregar la información contenida en los activos.
» Disponibilidad: establecer protocolos de acceso para la información sensible de la
organización contenida en sus activos.

232
Una vez identificadas las actuaciones por realizar, se volverá a someter a una evaluación
de riesgos a los elementos sobre los que se ha actuado, considerando que se han
implementado satisfactoriamente las medidas.
Lo que se pretende es considerar el modo en el que operará el SGSI una vez

implementadas las medidas.
Figura 2. Funcionamiento del SGSI una vez implementadas las medidas de gestión de riesgos.
Uno de los problemas principales no solo en la implementación, sino también de las

auditorías de los SGSI, son los fallos en el tratamiento de riesgos.
La gestión del riesgo debe estar presente en todas las actividades de la organización dado
que resulta una actividad transversal a todas ellas. Los riesgos se deben tener en cuenta
a lo largo de cualquier proyecto.
Los controles deben ser acordes a las características tanto de los riesgos como de la
organización. Hay que registrar siempre evidencias del buen funcionamiento de los
controles para evidenciar un riesgo controlado.

233
8.6. Plan de continuidad de negocio
A continuación, se desarrollará un ejemplo de un plan de continuidad de negocio para su

aplicación en una organización.
Estructura
» Introducción (en qué consiste un plan de continuidad de negocio).

» Identificación de la empresa:
o Misión de la empresa.
o Visión de la empresa.
o Organigrama.
» Evaluación de riesgos:
o Riesgos humanos.
o Riesgos naturales.
o Riesgos tecnológicos.
» Tabla de probabilidad y vulnerabilidad.
» Análisis, probabilidad y vulnerabilidad de los riesgos identificados.
» Análisis de los riesgos y contramedidas.
» Plan de manejo de la crisis.
» Números de teléfono claves para resolver las contingencias.
» Plan de contingencia.
» Identificación de los equipos de trabajo (nombre, responsable, teléfonos…).
» Sistematización de las comprobaciones.
» Conclusiones.
Método análisis completo
» Introducción: desde el incidente de las torres gemelas en EE.UU. ha quedado

expuesta la vulnerabilidad de los negocios a los incidentes menos pensados. Así, se
pretende desarrollar un plan capaz de establecer el funcionamiento normal al mayor
nivel posible de las actividades de la compañía.
» Los desastres:
o Impacto adverso sobre el negocio, interrupción información crítica.
o Tipos de desastres e interrupciones.
o Causas de interrupción del servicio.

234
» Análisis del impacto sobre el negocio (BIA, Business Impact Analysis):

o Criticidad de los recursos de información, relacionados con los procesos críticos de
negocio. Estos pueden ser:
• Críticos: sus funciones no pueden ser ejecutadas a menos que sean
reemplazados por otros idénticos y coste de interrupción muy alto.
• Vitales: sus funciones pueden ser ejecutadas manualmente durante un período
de tiempo corto.
• Sensitivos: sus funciones pueden ser ejecutados manualmente durante un
período relativamente largo.
• No críticos: sus funciones pueden ser interrumpidas durante un período de
tiempo largo con poco coste o ningún coste.
o Tiempo de recuperación crítico antes de incurrir en pérdidas.
• Objetivo de recuperación: ¿qué actualizados necesitan estar los datos? (RPO).
• Tiempo de recuperación: ¿cuál es la tolerancia a la paralización del trabajo en la
compañía?
» Estrategias de la recuperación:
o Combinación de medidas:
• Preventivas.
• Detectivas.
• Correctivas.
o Todas estas medidas estarán encaminadas a:
• Eliminar la amenaza completamente.
• Minimizar la probabilidad de que ocurra.
• Minimizar el efecto.
o Identificar las estrategias de recuperación:
• Criticidad de los procesos de negocio y aplicaciones que soportan los procesos.
• Coste.
• Tiempo requerido para la recuperación
• Seguridad.
En resumen:
RPO = objetivo punto de recuperación.

RTO = objetivo tiempo de recuperación
DRP = plan de recuperación de desastres.

235
Figura 3. Fases BIA.
Figura 4. Análisis del costo en el impacto de algún evento de desastre. Fuente:

https://www.dspace.espol.edu.ec/retrieve/97863/D-CD102182.pdf
Alternativas de recuperación
Las interrupciones más prolongadas y más costosas suelen ser los desastres que afectan
a las instalaciones. En el caso de la compañía, se tendrán las instalaciones del hardware,
así como la información que contienen los ordenadores, los acuerdos preferenciales, etc.
Como alternativas a todo esto se pueden aportar como soluciones copias de seguridad de
la información principal para los negocios o acuerdos de colaboración con entidades
similares.

236
El resto de las recuperaciones pueden ser solucionadas con una buena póliza de seguros
y poco más, ya que comprar una mesa o alquilar unas instalaciones provisionales es
relativamente sencillo.
Desarrollo del BCP (plan de continuidad del negocio) y de DRP (plan de

recuperación de desastres).
Está basado en el BIA. Gerencia y equipo de trabajo desarrollan un plan que debe abarcar
todos los campos involucrados en la recuperación del desastre. Debería resolver todos
los problemas involucrados en la interrupción de negocio. Esto no siempre es posible,
hay limitaciones económicas, físicas.
Factores que considerar
» Intentar cubrir todas las incidencias.

» Procedimientos de evacuación (plan de emergencia).
» Criterios para considerar un desastre e implantar el plan (no abrir la caja de Pandora
antes de tiempo).
» Clara identificación de las responsabilidades en el plan (quién y qué).
» Clara identificación de los contratos (mantenimiento de urgencia, seguros).
o Teléfonos, direcciones de personas críticas (responsables de software, equipos,
suministradores de equipos, instalaciones de almacenamiento externo):
• Explicación paso a paso de la recuperación.
• Clara identificación de los recursos.
• Aplicación paso a paso de las etapas planificadas de la recuperación.
Organización y asignación de responsabilidades
Se deben formar equipos de trabajo para realizar lo siguiente:
» Respuesta a incidentes.
» Atención de emergencias.
» Equipos de almacenamiento externo.
» Equipo de seguridad.
» Equipos de preparación de datos y registros.
» Equipos de soporte administrativo.
» Equipos de reubicación.

237
» Equipos de coordinación.
» Equipos de asuntos legales.
» Equipos de prueba de la recuperación.
» Equipos de entrenamiento.
Otros aspectos
» Definir el personal clave para la toma de decisiones (información, contactos).

» Suministros necesarios (configuración de las instalaciones, mesas, sillas).
» Método de recuperación de desastres para redes de telecomunicaciones.
Un plan de continuidad de negocio debe de contener lo siguiente:
» Plan de contingencia T.I.

» Plan de comunicación de crisis.
» Plan de respuesta a incidentes.
» Plan de recuperación de desastres (DRP).
» Plan de emergencias de ocupantes (OEP).
Evaluación periódica del plan
El plan debe de ser evaluado a intervalos planificados, se deben de revisar como mínimo
los siguientes ítems:
» Verificar el plan completamente.

» Verificar la capacitación y desempeño del personal involucrado.
» Evaluar el entrenamiento y conocimiento del personal que no pertenece al negocio.
» Evaluar la coordinación del equipo de continuidad y los proveedores externos.
Figura 5. Evaluación periódica del plan.

238
El resultado debe ser documentado y analizados los resultados en:
» Tiempo de recuperación.
» Cantidad.
» Exactitud.
El plan debe de ser mantenido en el tiempo, siendo los factores que más impactan:
» Cambios en la organización.
» Nuevos recursos/ aplicaciones.
» Cambios en la estrategia de negocio.
» Cambios en software o hardware.
Ejecución del plan
¡Desastre!
No se activa el
¿Daño crítico a su No plan, pero se
negocio? evalúan las causas
Sí del desastre
Activación del plan de continuidad de

negocio
Notificación a gerencia
Contacto con proveedor informático
Recuperación de
equipos Compra/alquiler de equipos informáticos
informáticos
Acceso a copias de seguridad y
restauración en los nuevos equipos
Recuperación de
Alquiler/compra de nuevas instalaciones
instalaciones
Recuperación de Toma de contacto con clientes

líneas de negocio
Tiempo máximo estimado: 48 horas
Figura 6. Ejecución del plan.

239
Capítulo 9
Iso 20000-1
240
Capítulo 9: ISO 20000-1
9.1. Introducción
ISO 20000, en su parte 1, es una norma de la familia de las normas de tecnología de la

información, donde se establecen los requisitos para la implementación y operación de
un sistema de gestión de servicios (SGS).
Con la finalidad de ayudar a las empresas a responder a la creciente demanda de servicios

y al cambiante entorno de prestación de servicios se desarrolló la norma ISO/EIC
20000-1.
Las diferentes partes de la familia 20000 fueron desarrolladas por los comités y
subcomités técnicos de dos organismos de normalización internacionales ISO
(International Organization for Standardization) e IEC (International Electrotechnical
Commission).
Aunque a lo largo del tema se utilice ISO 20000-1 con objeto de simplificar, es necesario
tener en cuenta que la denominación correcta de la norma es ISO/EIC 20000-1.
En la actualidad, la versión que se encuentra en vigor es la del 2018, que sustituye a la

del 2011. En este sentido, las empresas que actualmente se encuentran certificadas según
la norma ISO 20000-1:2011 disponen de un plazo de tres años para realizar la transición
a la nueva versión del 2018 de la norma. Después del 29 de septiembre de 2021, los
certificados en ISO 20000-1:2011 dejarán de ser válidos.
Los principales cambios con respecto a la versión anterior son los siguientes:
» Estructura de alto nivel, en consonancia con las últimas versiones de las diferentes
normas ISO publicadas.
» Se han tenido en cuenta los avances tecnológicos, han dado lugar a nuevos tipos de
productos que se intercambian en el mercado y son considerados commodities, como
los minutos de telefonía celular y la banda ancha de Internet.
» Se han incluido nuevos requisitos del conocimiento y planificación del servicio.
» Separación de procesos de gestión de incidencias, de peticiones de servicio, de niveles
de servicio, de catálogos de servicio, de la capacidad y de la demanda.
» Cambio de «gobierno de los procesos operados por terceros» a «control de partes
involucradas en el ciclo de vida de los servicios».
» Minimización de los requisitos de información documentada.

241
» Se han añadido y reemplazado algunos términos y definiciones. Además, se ha

buscado estructurar y agrupar los términos, por lo que se ha dividido el apartado 3,
«Términos y definiciones», en un apartado de términos del sistema de gestión y otro
apartado de términos de la gestión de servicios.
La norma ISO 20000 nace en 2005 tomando como base la norma BS 15000, que fue
desarrollada por el organismo de normalización British Standards Institute (BSI), de
Reino Unido. BS 15000 nació a partir de ITIL (Information Technology Infrastructure
Library) como una respuesta a la necesidad por parte de las organizaciones de
tecnologías de la información (TI) de establecer un grado de conformidad con las buenas
prácticas. Dichas normas pertenecen al grupo normativo pertenecientes al mundo de
gestión de servicios TI.
ITIL es un conjunto de buenas prácticas asociadas a la gestión de servicios de tecnología

de la información dotando de una serie de procesos de gestión para obtener tanto calidad
como eficiencia en su actividad TI.
La norma ISO 20000-1 está basada en los principios fundamentales de ITIL y es una
norma que se puede certificar. Mientras la norma ISO 20000-1 indica los requisitos que
necesita hacer una organización para gestionar los servicios de las tecnologías de la
información, las prácticas ITIL definen cómo hacerlo.
En ocasiones, cuando se habla de la norma ISO 20000 se está haciendo referencia a la

norma ISO/IEC 20000-1, que es la norma utilizada para certificar un sistema de gestión
de servicios de TI. Pero, realmente, esta norma forma parte de una familia de normas
que componen la serie de normas ISO 20000. Esa norma pertenece a una familia de
normas que quizás resulten interesantes.
La familia de normas ISO 20000 está formada actualmente por las siguientes:
» ISO/IEC 20000-1: norma que define los requisitos que debe cumplir un SGS.
» ISO/IEC 20000-2: recomendaciones y buenas prácticas para facilitar el
cumplimiento de los requisitos establecidos en la norma ISO 20000-1.
» ISO/IEC 20000-3: guía que sirve para ayudar a las organizaciones a definir el alcance
de la aplicación de la norma ISO 20000-1.

242
» ISO/IEC 20000-5: contiene recomendaciones para proveedores de servicios sobre la

mejor manera de cumplir con los requisitos de ISO / IEC 20000-1, estableciendo un
modelo de implementación de esta.
» ISO/IEC 20000-10: describe los conceptos básicos y términos de interés para poder
realizar una gestión del sistema de servicios.
» ISO/IEC 20000-11: informe técnico sobre la relación entre ISO/IEC 20000-1 y las
ITIL.
» ISO/IEC 20000-12: guía que explica la integración entre ISO/IEC 20000-1 y los
modelos de gestión de servicios CMMI-SVC (Capability Maturity Model Integration
for Services), es decir, se trata de un modelo que ayuda a las organizaciones
proveedoras de servicio al establecimiento, administración y ofrecimiento de servicios
exitosos.
Como en todas las normas de gestión, ISO 20000 no sustituye ningún cumplimiento
legal, por lo que la organización deberá estar al tanto de cuanta legislación le sea de
aplicación conforme a su naturaleza o actividades.
También, como muchos otros sistemas de gestión, ISO 20000-1 se basa en la aplicación
del ciclo PDCA (planificar, hacer, verificar y actuar) a la gestión del servicio de la
organización.
A través de la planificación, la organización definirá una política de gestión del servicio

que considere la tecnología aplicada en los servicios, las personas, los grupos de interés,
los objetivos de la organización, los procesos de gestión y los elementos de mejora de
gestión de la organización aplicada a sus servicios.
Mediante el desarrollo, se implementará tanto la política como los controles, los procesos
y los procedimientos que dan soporte a las actividades de gestión del servicio.
El control se realizará a través de las mediciones de proceso para analizar su

comportamiento frente a los objetivos fijados por la organización en términos de negocio,
políticas, etc. informando de sus resultados a la alta dirección.
Finalmente, la actuación sobre el sistema se orquestará a través de las acciones

correctivas que tomarán como input principal los resultados de los procesos de
revisión aplicados sobre el sistema para obtener, así, una mejora continua del SGS.

243
Por tanto, la aplicación del sistema PDCA al SGS deriva en una gestión global de la
organización para su orientación a la mejora y no solo de las actividades específicas que
constituyen los servicios.
Al desarrollar, implementar y gestionar un sistema de gestión de servicio lo que se

consigue es articular una herramienta que aporta beneficios a la organización. Entre
ellos cabe destacar los siguientes:
» Mejora en la planificación de las líneas estratégicas del negocio.

» Maximiza la calidad y eficiencia del servicio de TI.
» Mejora en la comunicación tanto con terceras partes como aguas a dentro de la
organización en la ejecución de las actividades que componen el servicio.
» Mejora en la satisfacción del cliente al ver reflejo de un sistema organizado de gestión
que apoya al servicio del cual es cliente.
» Disminución de costes, no de calidad.
Al operar bajo un SGS se ofrece una garantía a los clientes de los servicios ofertados.
Esto genera confianza en el servicio y proporciona aumento de su consumo o fidelización
por parte del cliente con la organización.
Otro elemento clave es la diferenciación. Al implementar un SGSTI se incurre en una

operatividad marcada y estricta en cuanto a los pasos a llevar a cabo tanto en la gestión
de los servicios de la organización, a alto nivel, como en el ciclo de vida de estos. Con ello,
se puede demostrar a terceros unos servicios sólidos basados en una norma internacional
reconocida.
Una vez implementado el sistema, la organización puede solicitar a una empresa externa
acreditada que lo certifique. Dicha certificación acredita que la empresa tiene un SGS
que cumple con los requisitos establecidos en la norma ISO 20000-1.
9.2. Estructura de la norma
La norma ISO 20000-1 adopta un enfoque por procesos, tomando como base el ciclo
PDCA. Estas características le permiten ser fácilmente integrables con otros sistemas de
gestión, como la norma ISO 9001, norma ISO 27001, etc.

244
La norma ISO 20000-1 se puede aplicar a todo tipo de organizaciones, sin tener en
cuenta el sector, el tipo, el tamaño o la naturaleza de los servicios que presta.
La norma adopta la estructura de alto nivel (HLS, HighLevel-Structure):
» Objeto y campo de aplicación.

» Normas para la consulta.
» Términos y definiciones.
» Contexto de la organización.
» Liderazgo.
» Planificación.
» Apoyo.
» Operación.
» Evaluación del desempeño.
» Mejora.
Figura 1. Representación de la estructura de la norma ISO 20000-1. Fuente: UNE-ISO/IEC 20000-1.

245
9.3. Contexto de la organización
Antes de comenzar a implantar un SGS es importante hacer un diagnóstico inicial de

todo lo que la organización está realizando dentro de este ámbito. Por lo tanto, se puede
decir que el análisis del contexto de la organización es la fase inicial antes de proceder a
implementar el sistema de gestión SGS.
La organización debe determinar cualquier factor interno o externo que pueda tener
impacto positivo o negativo a la hora de entregar los servicios a las partes
interesadas, en función de sus necesidades y expectativas.
En la línea del resto de normas de sistemas de gestión, el contexto de la organización

debe tener en cuenta lo siguiente:
» Cualquier aspecto interno y externo que afecte a la organización y su capacidad para

lograr los resultados esperados.
» Cualquier parte interesada y sus requerimientos. Dentro de dichos requerimientos se
pueden incluir requisitos de servicio, rendimiento, requisitos legales y
reglamentarios, cualquier obligación contractual derivada del SGS.
También dentro de este apartado, la norma define la necesidad de determinar los límites
de aplicabilidad del SGS. De hecho, es de vital importancia establecer un alcance eficaz
para la implementación de la norma. Este alcance debe estar disponible y mantenerse
como información documentada.
Para definir un alcance acorde al SGS se deberá considerar lo siguiente:
» Las cuestiones internas y externas determinadas dentro del contexto de la

organización.
» Los requisitos requeridos por las partes interesadas.
» Los servicios prestados por la organización (pueden ser todos o solo algunos).
Con dichos elementos, la organización será capaz de formular un alcance suficiente para
la buena operación del SGS. Es importante tener en cuenta que el alcance es el ámbito
en el cual se aplica la gestión, por lo tanto, si no se define de manera clara y minuciosa,
puede haber deficiencias en dicha gestión.

246
En la cláusula 4.4 de la norma ISO 2000-1, se pone de manifiesto el enfoque a procesos

y cómo la organización debe concretar los procesos necesarios para el SGSST y sus
interacciones. Por tanto, lo que solicita la norma en este punto es que la organización
analice todos los requisitos recogidos en esta y determine cómo aplicarlos, teniendo en
cuenta sus actividades, sus procesos, su contexto, sus partes interesadas, etc.
Para determinar los procesos y su interacción se puede utilizar un mapa de procesos. El

mapa de procesos es una herramienta en la que se representan todos los procesos de
la organización y su interacción, además, con sus elementos de entrada (contexto y
necesidades partes interesadas) y de salida (resultados del SGS).
Como ejemplos de procesos dentro del ámbito de gestión de servicios se puede indicar lo
siguiente: gestión de configuraciones, gestión de capacidad, gestión de seguridad de la
información, gestión de entregas, gestión de cambios, gestión de incidencias, gestión de
relaciones, gestión de problemas, gestión de disponibilidad, etc.
9.4. Liderazgo
Dentro del apartado «Liderazgo», la norma ISO 2000-1 realza el papel fundamental
que ha de jugar la alta dirección a la hora de establecer, implementar y mantener el
SGS. La norma estipula los elementos necesarios a llevar a cabo por la dirección para
demostrar su compromiso, definiendo cuáles son sus responsabilidades respecto al
sistema de gestión. Entre ellas se indican las siguientes:
» Establecer y aprobar una política y unos objetivos de SGS coherentes con las
actividades de la organización.
» Desarrollar, implementar y mantener un plan de gestión de servicios.
» Asignar y comunicar los niveles de autoridad y de responsabilidad necesarios
conformes a la gestión del SGS y a los servicios.
» Aportar los recursos necesarios para el buen funcionamiento del SGS.
» Integrar los procesos del SGS con los procesos de negocio de la organización.
» Asegurar que se obtiene el desempeño previsto en el SGS.
» Dirigir y apoyar a los diferentes roles de gestión y a todos los miembros de la
organización para que participen en la gestión efectiva del SGS.
» Comunicar la importancia de gestionar los servicios para que toda la organización
entienda el propósito del SGS y haya menos resistencia al cambio.

247
» Promover la mejora continua del SGS y de los servicios.
El papel de la dirección consistirá en ser un claro protagonista desde el momento que se

decida diseñar e implementar un sistema de gestión de servicio. Ante una auditoría,
tendrá que mostrar evidencias de dicho compromiso con el SGS en su totalidad, así
como con los servicios que este gestiona. Por ejemplo, lo puede demostrar a través de las
siguientes actuaciones:
» Actas de reunión donde se notifique el compromiso de la alta dirección con el SGS.

» Política y objetivos de SGS.
» Revisión por la dirección de la evolución del SGS.
» Acciones correctivas en las que actúa la alta dirección.
Además, la dirección, debe asegurarse, por una parte, de que se definan y se asignen las
autorizaciones y responsabilidades del SGS y, por la otra, de que se comunican dentro de
la organización.
Política de gestión de servicios
La dirección tiene la responsabilidad de definir una política del sistema de gestión que
sea apropiada para el propósito del proveedor del servicio e incluya un compromiso de
satisfacción de los requisitos del servicio y de mejora continua de eficacia del SGS.
La política de SGS no debe ser una declaración genérica, sino que debe ser específica para
las circunstancias del proveedor del servicio.
La alta dirección debe establecer una política de gestión de servicios que cumpla los
siguientes requisitos dispuestos en la norma ISO 20000-1:
» Sea apropiada al propósito de la organización.

» Proporcione un marco de referencia para el establecimiento de los objetivos de gestión
de servicios.
» Incluya un compromiso de cumplir con los requisitos aplicables y de mejora continua
del SGS y los servicios.
» Debe comunicarse a los miembros de la organización y estar disponible a las partes
interesadas.

248
Los requisitos anteriores son comunes al resto de normas de sistemas de gestión ISO,
centrándose en este caso, lógicamente, en ámbito de la gestión de servicios.
9.5. Planificación
La planificación del SGS corre a través de los elementos comunes al resto de sistemas de
gestión, como es la determinación de los riesgos y oportunidades y las acciones para
tratarlos, pero también otros específicos como los requisitos del servicio, la tecnología
utilizada para soportar el SGS, etc. Todos los elementos considerados de la planificación
deben recogerse en un plan de gestión de servicio.
La norma ISO 20000-1 no especifica la metodología para evaluar los riesgos y

oportunidades de gestión de servicios presentes en sus actividades. Por tanto, cada
organización deberá escoger el método que mejor se ajuste a sus necesidades. En
particular, se puede acoger a la metodología establecida en la norma ISO 31000.
Objetivos de gestión de servicios y planificación para lograrlos
La organización debe definir unos objetivos coherentes con su política de SGS y

medibles, que le permitan obtener un desempeño acorde a las necesidades de los clientes
y a las estrategias de gestión de la empresa. Por tanto, los objetivos deben estar
vinculados con los objetivos de negocio de la empresa y estar documentados en un
plan.
La organización debe planificar cómo va a conseguir la consecución de los objetivos de

gestión de servicios definidos. En concreto deberá determinar lo siguiente:
» Qué es lo va a hacer.
» Recursos.
» Responsable.
» Plazo.
» Evaluación (indicadores).
La planificación del SGS se realiza a través del plan de gestión de servicios que tiene en
cuenta la política, los objetivos, los riesgos y oportunidades de gestión de servicios y los
requisitos del servicio y requisitos establecidos en la norma ISO 20000-1.

249
Cualquier otra actividad de planificación debe estar en línea con el plan de gestión de
servicios, que debe incluir o hacer referencia a lo siguiente:
» La lista de servicios.
» Las limitaciones conocidas que pueden afectar al SGS y los servicios.
» Las obligaciones tales como políticas relevantes, normas o estándares, requisitos
legales, reglamentarios y contractuales, y cómo estas obligaciones se aplican al SGS y
los servicios.
» Autoridades y responsabilidades para el SGS y los servicios.
» Recursos humanos, técnicos, de información y financieros necesarios para operar el
SGS y los servicios.
» El enfoque que debe tomarse para trabajar con otras partes involucradas en el ciclo
de vida de los servicios.
» La tecnología utilizada para apoyar el SGS.
» Cómo se medirá, auditará, informará y mejorará la eficacia del SGS y los servicios.
9.6. Apoyo
En su apartado 7, la norma ISO 20000-1 se centra en los procesos de apoyo que dan
soporte al SGS. Estos procesos son muy importantes porque podrán garantizar la
efectividad del SGS. En concreto se refiere a lo siguiente:
» Recursos: la organización debe establecer y proporcionar los recursos que sean

necesarios para establecer, implementar, mantener y mejorar continuamente su SGS.
Dentro de los recursos, se integrarán recursos humanos, técnicos, de información,
financieros necesarios para la implementación, mantenimiento y mejora del SGS.
» Competencia: para poder implantar y mantener de manera eficaz un SGS se debe

garantizar y asegurar la competencia de las personas implicadas. Para ello, se debe
determinar la competencia adecuada para las personas que realizan actividades
relacionadas con la SGS y, en caso de ser necesario, tomar acciones para adquirirlas.
Además, habrá que evaluar la efectividad de dichas acciones y mantener como
información documentada la evidencia de dicha competencia (por ejemplo,
certificados de formación).

250
» Concienciación: los trabajadores han de tomar conciencia sobre la importancia de

su participación en el establecimiento, la implementación y la mejora continua del
SGS. Por ello, deben ser conscientes de la política y objetivos de gestión de servicios,
los servicios relevantes para su trabajo, su contribución para la mejora del SGS y las
implicaciones en caso de incumplimiento de requisitos.
» Comunicación: es importante lograr una comunicación eficiente tanto de manera

interna como externa. En este punto, la norma hace hincapié en determinar
claramente lo que se va a comunicar y a quién se va a comunicar. Es importante
determinar cuándo y cómo se va a establecer esa comunicación.
» Conocimiento: se utiliza y comparte para apoyar el correcto funcionamiento del

SGS y de los servicios. El conocimiento es específico de la organización, su SGS,
servicios y partes interesadas. La organización debe determinar cuál sería, a la vez que
mantenerlo y retenerlo.
» Información documentada: la norma indica la información que la organización

tiene que incluir en su SGS. En este punto se establecen los requisitos sobre cómo
crear, actualizar y controlar la información relevante para el SGS y para la propia
organización. Se desarrollará a continuación.
Información documentada
La organización debe crear, actualizar y controlar la información documentada requerida

por la norma ISO 20000-1. La extensión de esta depende de la organización y puede
variar en función de su tamaño, actividad, complejidad de los procesos, de los servicios,
etc.
Para crear la información documentada, la organización debe tener en cuenta aspectos

como los siguientes:
» Identificación y descripción (código, título, fecha).

» Formato (versión del software, idioma).
» Soporte (papel, digital).
» Su revisión y aprobación.

251
Además, es imprescindible llevar un control de la información documentada para

asegurar que esté disponible y sea adecuada para su uso, así como para que esté protegida
adecuadamente (confidencialidad, uso inadecuado, etc.).
En el caso del control de la información documentada, la organización abordará

los siguientes aspectos, cuando sea necesario:
» Distribución, acceso, uso y recuperación.

» Almacenamiento y preservación.
» Control de cambios.
» Conservación y disponibilidad.
Finalmente, la organización también tendrá que identificar y controlar aquella

documentación externa que considere relevante para el funcionamiento del SGS.
Información documentada del SGS requerida por la norma ISO 20000-1:
» Alcance.
» Política y objetivos de gestión de servicios.
» Plan de gestión de servicios.
» Políticas y planes creados para procesos específicos acorde a la norma ISO 20000-1:
política de gestión de cambios, política de seguridad de la información, plan o planes
de continuidad de los servicios.
» Procesos del SGS de la organización.
» Requisitos del servicio.
» Catálogo de servicios. Es un documento vital para la compañía, debido a que se trata
de la carta de presentación a los clientes donde se plasman los elementos que pueden
satisfacer sus necesidades.
» Acuerdo de nivel de servicio (SLA, service level agreement), es decir, un acuerdo
documentado entre el proveedor del servicio y el cliente que identifica el servicio y sus
objetivos.
» Contratos con proveedores externos y acuerdos con proveedores internos.
» Procedimientos y registros que requiere la norma ISO 20000-1.

252
9.7. Operaciones
Las especificaciones incluidas en el capítulo 8 de la norma ISO 20000-1 están dedicadas

a la planificación y control de los procesos que garanticen la gestión de los servicios.
La organización debe planificar, implementar y controlar los procesos necesarios para

asegurar la gestión correcta de los servicios, entre ellos, también se incluye el control de
los procesos externos. Para ello, debe tener en cuenta lo siguiente:
» La criticidad de los servicios, en función de las necesidades de la organización y de

cualquier parte interesada.
» Propuesta de cambios donde sea necesario, con el fin de alinear los servicios de la
organización a la política y objetivos de gestión de servicios definidos.
» Priorización en las peticiones de cambios en función de los objetivos definidos y de
los recursos disponibles.
Control de las partes involucradas en el ciclo de vida de los servicios
La norma ISO 20000-1 establece las directrices para los procesos o partes de estos en los
que actúan terceras partes. Estas terceras partes pueden ser proveedores externos,
grupos internos y clientes cuando actúan como proveedores externos.
Es preciso aclarar que, aunque tanto los proveedores como los clientes son terceras
partes, no afectan por igual a la organización:
» El proveedor debe presentar acuerdos de servicio con la organización más exigentes

que los propios niveles de servicio de la empresa, medirse, revisarse periódicamente
e identificar la evolución de su servicio para su análisis.
» El cliente será con quien la organización acuerde los niveles de servicio, por lo tanto,
será el grupo de interés que propone condiciones al servicio que va a consumir.
Lo que se pretende es que la organización asegure el control del proceso incluso dentro
de la incursión de terceras partes. Para ello, la organización tiene que determinar y
documentar lo siguiente:
» Los servicios o componentes de servicios que proporcionan o donde operan terceros.

» Los procesos o partes de procesos de SGS que son proporcionados por terceros.

253
Es primordial que dentro de los contratos de colaboración o acuerdos se detallen

claramente las funciones y responsabilidades de las partes, así como los límites
de su actuación. Es decir, se deben definir claramente los modos de interacción entre
las partes, terceros y organización, para la gestión del servicio, su operación y
mantenimiento en el tiempo.
Gestión de catálogo de servicios, de activos y de configuración
El catálogo de servicios es una información documentada que está disponible para los
usuarios, clientes y otras partes interesadas. Se trata de un documento donde se incluye
la información sobre la descripción de los servicios, sus resultados y las dependencias
entre los servicios.
La norma ISO 20000-2 establece una orientación sobre el contenido que debe tener:
» Nombre y descripción del servicio.

» Objetivos de este.
» Punto de contacto.
» Horarios de soporte y de servicio, excepciones.
» Disposiciones de seguridad.
» Dependencias entre los servicios y los componentes del servicio (por ejemplo, un
servicio de soporte técnico al ordenador de un trabajador puede incluir el soporte al
acceso de Internet, el soporte al acceso a diferentes aplicaciones y programas, el
soporte al acceso al correo electrónico, etc.
La organización debe gestionar, por una parte, los activos utilizados para prestar los
servicios de forma que cumplan con los requisitos y, por otra parte, la configuración.
Cada elemento de configuración (CI) tiene que estar controlado y debe tener una
información de configuración que debe registrarse en función del tipo y de la criticidad
del servicio. Dicha información para otras actividades de gestión de servicios en caso de
ser necesario será revisada a intervalos planificados. En el caso de que se observen
deficiencias en las revisiones, se propondrán las acciones necesarias.

254
La información de configuración incluye lo siguiente:
» Identificación única.
» Tipo.
» Descripción.
» Relación con otros CI.
» Estado.
Relación y acuerdo
Además de los procesos relacionados con terceros vistos anteriormente, se debe

mantener una relación fluida con clientes y proveedores. Una práctica habitual es
gestionar un sistema de incidencias al que tanto clientes internos como externos y
proveedores tengan acceso. Esto facilitará las interacciones entre los grupos de interés y
la compañía, mejorando la eficacia de los servicios.
El proveedor del servicio debe identificar a los clientes, usuarios y partes interesadas de
los servicios. Para ello, debe establecer un mecanismo de comunicación, con la finalidad
de poder dar respuesta a cualquiera de los requisitos requeridos.
También el proveedor del servicio debe acordar con cada suministrador un contrato
documentado, en el que se incluirá entre otros aspectos: el alcance de los servicios
prestados por el suministrador, los objetivos del servicio, las autoridades y
responsabilidades de ambos, la información y la comunicación que debe ser
proporcionada al suministrador, las bases para los cobros, etc.
Es muy importante el procedimiento documentado para los desacuerdos contractuales y

reclamaciones.

255
Figura 2. Relaciones y acuerdos entre las partes involucradas en el ciclo de vida de los servicios.
Fuente: UNE-ISO/IEC 20000-1.
La organización tiene que acordar con los clientes los servicios que van a ser prestados.
Para ello tiene que definir uno o más acuerdos de nivel de servicio (SLA).
La norma ISO 20001-1:2018 define acuerdo de nivel de servicio (SLA) como el acuerdo
documentado entre la organización y el cliente que identifica los servicios y su
rendimiento acordado.
Los SLA constituyen el núcleo de gestión de la norma y deben incluir los objetivos de
nivel de servicio, los límites de volumen de trabajo y las excepciones. Estos acuerdos
desarrollan una «dependencia de gestión» en cascada: la organización acuerda un SLA
con sus clientes y, a su vez, posteriormente, se acuerdan los SLA que van a aplicar a los
proveedores.
Obviamente, los niveles de servicio acordados con los proveedores resultarán más
rigurosos que los propios de la organización, y así asegurarse de que esta no incumple
los niveles de servicio acordados con sus clientes.
Los SLA no tienen por qué resultar únicos para cada servicio. Pueden navegar de modo
transversal a través de varios servicios, bien porque compartan recursos bien por su
naturaleza, etc. Para la provisión del servicio resulta imprescindible que el cliente haya

256
acordado con la organización un catálogo de servicios. que se debe mantener siempre

actualizado.
Diseño, construcción y transición de servicios
El elemento clave para comprender el ciclo de vida del servicio es su interconexión. El

motor del servicio será la gestión de cambios, por lo que, cuando se vaya a modificar el
servicio, se recurrirá a él.
Es importante elaborar una política de gestión de cambios donde se definan los

componentes de servicios y otros elementos que estén sujetos a posibles cambios, las
categorías de los cambios y cómo se deben gestionar y los criterios para determinar si los
cambios pueden tener impacto en los servicios y en los clientes.
Todas las peticiones de cambio deben registrarse y clasificarse, incluidas las

propuestas para incluir, retirar o transferir servicios. Por tanto, cualquier evaluación,
programación, aprobación y revisión de los servicios nuevos o modificados en el alcance
se deben gestionar mediante las actividades de gestión de cambios.
Los cambios aprobados deben ser comunicados a las partes interesadas. También debe
revisar los mismos para verificar la eficacia y en caso de que sean fallidos proponer las
acciones necesarias.
Por otra parte, los servicios nuevos o modificados deben diseñarse y documentarse
teniendo en cuenta una serie de requisitos:
» Autoridad y responsabilidades de las partes involucradas en esos servicios nuevos o

modificados.
» Los requisitos para los cambios en los diferentes tipos de recursos que se necesiten.
» Los requisitos relativos a la capacitación y experiencia necesarios.
» Los SLA nuevos o modificados y cualquier otro acuerdo o contrato sobre los que se
apoya el servicio.
» Cualquier cambio que afecta al SGS.
» El impacto en otros servicios.
» Las actualizaciones del catálogo de servicios.

257
Cuando se planifique un nuevo servicio se deben planificar a su vez el modo en que

interactuarán las partes que lo componen, los interlocutores, las actividades y el modo
en que será evaluado.
La planificación de los servicios debe ser revisada. Normalmente, se realizarán

revisiones anuales con las partes implicadas para analizar la validez de los niveles de
servicio, las nuevas situaciones de los negocios y los nuevos requisitos.
En el caso de servicios modificados la situación toma distintos matices. El servicio

modificado se puede deber a lo siguiente:
» Cambios en el entorno legal.

» Cambios generados por proveedores.
» Cambios en la tecnología.
» Cambios del cliente.
» Cambios formales solicitados por el cliente.
La diferencia entre los cambios del cliente y los cambios formales solicitados por el
cliente radica en la diferencia entra la actitud proactiva o reactiva del mismo.
El cliente puede modificar el entorno de entrega modificando así las condiciones del
servicio de la organización, obligando por tanto a esta a valorar la gestión. Otra opción
es que el cliente, de modo formal, atendiendo a los interlocutores adecuados, solicite una
revisión o modificación formal.
Siempre que se implanten nuevos servicios o haya modificación, se debe considerar el

impacto que van a tener sobre los servicios existentes, los SLA acordados tanto
existentes como modificados y sobre el propio SGS. Por lo tanto, antes de su
implementación formal deben probarse para analizar si realmente están en disposición
de satisfacer los SLA acordados. Si no se satisfacen dichas condiciones habrá que ponerse
en contacto con las partes interesadas para argumentar la actuación. En ese caso se
podrán realizar las siguientes actividades:
» Modificación de los SLA: se adaptan a la situación presente con las nuevas

medidas. Se acepta un nuevo nivel de servicio aceptable por las partes interesadas.
» Cancelación del servicio: tras implementar las medidas no se ha llegado al nivel
de servicio deseado y, por tanto, se opta por su no implementación.

258
» Nuevas modificaciones: se dictaminan insuficientes las modificaciones

implementadas y necesaria la implementación de nuevas hasta lograr el nivel de
servicio acordado.
Siempre que se compare un entorno de pruebas con los resultados esperados, se

notificarán los resultados a las partes interesadas.
Una vez terminada la planificación de los servicios se comenzará a suministrar el

servicio. Para el suministro de servicio, pensando siempre en los SLA acordados con el
cliente, resulta vital mantener durante la actividad la capacidad de suministro.
Cuando se detecte la necesidad de un cambio en los servicios se deberá solicitar el

proceso de gestión del cambio para que valore los cambios a realizar sobre este. Los
cambios por realizar deberán ser valorados para decidir si modifican o no los niveles de
servicio acordados por algunas de las partes implicadas.
En caso de verse modificados los SLA de los servicios, se establecerán reuniones con
dichas partes para valorar y aprobar dichos cambios en los niveles de servicio acordado,
argumentando y justificando los cambios.
Como ya se ha visto antes, la norma ISO 20000-1 dispone de un grado elevado de

interactividad entre sus procesos. Por ello se debe recordar que existe un proceso para
la gestión de incidentes y la gestión de problemas. Esto significa que una entrada
de información poderosa para el sistema de gestión constituye la retroinformación
otorgada por los usuarios del sistema de incidentes:
» Usuario final.
» Proveedores.
» Clientes finales.
» Clientes internos.
Por lo tanto, los cambios en el servicio pueden gestionarse a través de un sistema de

incidencias. Si se establece un portal de comunicación con clientes, tanto internos
como externos, y se les añade acceso a los proveedores, se establecerá un punto común
de comunicación. Todos ellos son elementos susceptibles de suscitar un cambio en el
servicio, por lo que, a través de los incidentes se puede realizar la gestión del cambio.

259
Lo anteriormente expuesto se ve monitorizado por el sistema de gestión. La idea es ver,

entre otras cosas, las repercusiones de los cambios sobre las tendencias, así como los
impactos de fallos críticos a través de ensayos documentados.
Para aquellos servicios en los que operen terceros se puede llegar a necesitar su
colaboración en los simulacros que se realicen. Si la documentación de la empresa es
suficiente, las interfaces claras y se dispone de un diálogo fluido con ellos, los simulacros
serán algo trivial. Pero en caso de haber problemas durante las pruebas se deben
documentar y analizar a posteriori los puntos de fallo detectados.
Si durante las pruebas se detectan fallos potenciales que puedan afectar al cliente,
habrá que notificárselos para desarrollar cuantas medidas se estimen oportunas o bien
proceder a las revisiones de los SLA establecidos.
Debido a la gran variabilidad de operaciones desarrolladas para la implementación de

los servicios de la organización, se debe conocer con la mayor claridad posible el coste de
estos. El problema radica en lo siguiente:
» Existen actuaciones transversales a todos los servicios. Lo cual implica

calcular impactos sobre cada servicio para ponderar su coste y rara vez la medida
económica imputada será exacta.
» Los servicios, así como la tecnología y personal, requieren de un mantenimiento,
ya sea de máquinas, rotación de personal por vacaciones, etc. Todo ello repercute en
la capacidad y costes de los servicios, pero al igual que en el punto anterior resulta
complicada su valoración precisa.
» Los imprevistos o emergencias. Es imposible dictaminar el coste de estas durante
su diseño para la repercusión directa de costes o diluirlo. Solo se podrá actuar
reactivamente y calcular su coste cuando ocurran o bien, si se dispone de un histórico,
a través de los costes de no calidad registrados en la organización para situaciones
similares.
Habrá que supervisar los costes periódicamente, en especial, para aquellos servicios que
no dispongan de entrega única y sean servicios mantenidos. Se deberán realizar
revisiones de costes para analizar si, durante alguno de los contactos con el cliente, hay
que modificar los precios contratados.

260
Uno de los temas a valorar con el cliente es el coste de los cambios: número de horas,
personal que intervenga, especificidad, franja horaria, etc.
A su vez, se debe implementar un plan de capacidad para que la organización pueda

asegurarse del mantenimiento efectivo de sus servicios.
Por otra parte, dado que el interés redunda en la provisión del servicio conforme a los
requisitos establecidos a través de los SLA acordados por las partes, se deben remarcar
las condiciones de aceptación del servicio, para así asegurarse del modo en que
este servicio operará:
» Inicio del servicio.

» Condiciones de puesta en marcha.
» Duración de este.
» Obligaciones de las partes.
Finalmente, la organización debe definir el tipo de entrega y la forma en la que se

gestiona. Al definir los criterios de aceptación y de entrega de este, se asegura el ciclo del
servicio. Se le da continuidad y se consigue articular un flujo continuo para su
mantenimiento.
Hay que entender el ciclo de vida del servicio para comprender cada punto analizado:
Clientes
Diseño y transición de
servicios nuevos o
modificados
Provisión del servicio

Control
Clientes
Relaciones
Proveedores
Resolución
Figura 3. Ciclo de vida de un servicio.

261
El fallo o el éxito de estas entregas se debe monitorizar y analizar. Los resultados de dicho
análisis se deben registrar y revisar para identificar oportunidades de mejora.
Resolución y ejecución
Los procesos de resolución se concentran en la gestión de incidencias, de peticiones de

servicio y de problemas. La diferencia radica en que todo problema nace de un incidente,
pero los incidentes no nacen de problemas.
Es común apoyar la gestión de problemas en la gestión de acciones correctivas. La gestión

efectiva tanto de incidentes, de peticiones de servicio, como de problemas nutre la base
de datos de errores conocidos.
Suele ser común gestionar la base de datos a través de aplicaciones informáticas con texto
predictivo para la consulta de incidencias o problemas previa a la apertura de un registro
de estos.
Debe existir un procedimiento documentado para gestionar todas las incidencias, los
problemas y las peticiones de servicio, priorizando aquellas que tengan un mayor
impacto y urgencia.
Los registros de las incidencias, de las peticiones de servicio y de los problemas se deben
actualizar teniendo en cuentas las acciones llevadas a cabo para subsanarlas.
Gestión Registrar y clasificar
Priorizar
Incidencias
Peticiones de servicios Escaladas/os (si es necesario)
Problemas
Resueltas/os - satisfechas
Cerradas/os (si es posible)
Figura 4. Etapas para la gestión de incidencias, peticiones de servicios y problemas.
Aseguramiento de servicios
La organización debe evaluar y documentar los riesgos sobre la disponibilidad, la

continuidad de los servicios y la seguridad de la información.

262
Respecto a la disponibilidad de servicios, se deben documentar los requisitos y objetivos

relativos a la misma y monitorizar dicha disponibilidad, registrar los resultados y
compararlos con los objetivos.
En cuanto a la continuidad, la organización debe desarrollar uno o más planes de

continuidad que incluyan lo siguiente:
» Criterios y responsabilidades para llevar a cabo la continuidad de los servicios.

» Procedimientos por poner en marcha en el caso de que exista una pérdida del servicio.
» Objetivos de disponibilidad del servicio cuando se pone en marcha el plan de
continuidad.
» Requisitos de recuperación de los servicios.
» Procedimientos para recuperar las condiciones normales de trabajo.
El plan o planes de continuidad se deben probar a intervalos planificados y cuando haya

cambios significativos en el entorno del servicio. Se deben registrar los resultados de las
pruebas y después de que el plan haya sido solicitado. En caso de que se detecten
deficiencias, se deben tomar las acciones necesarias.
9.8. Evaluación del desempeño
Con el fin de determinar el grado de efectividad de la implantación del SGS, este se debe
monitorizar, medir, analizar y evaluar. Para ello, es necesario que la organización
determine qué es necesario medir, qué metodologías emplear, cuándo se van a realizar y
analizar las mediciones y monitorizaciones.
Para cada servicio existen una serie de métricas a realizar, por ejemplo, en cuanto a
capacidad, lo cual da a la dirección un monitoreo de la evolución y tendencia tanto de los
recursos empleados en cada servicio como de las tendencias desarrolladas por estos tales
como el estado de los niveles de servicio.
Las herramientas que se utilizan para evaluar el desempeño del SGS son las siguientes:
» Auditorías internas.
» Revisión por la dirección.
» Informes de servicio.

263
La organización debe definir el alcance y los criterios de las auditorías internas

y seleccionará auditores para que realicen la auditoría de forma objetiva e imparcial.
También se tendrá que planificar un programa de auditorías que incluya la periodicidad
de ejecución, los métodos, las responsabilidades, los requisitos de planificación y
elaboración de informes, teniendo en cuenta el estado y la importancia de los procesos a
auditar, los cambios que se pueden producir y los resultados de las auditorias anteriores.
Por otra parte, la revisión por la dirección se tiene que realizar a intervalos planificados
y debe incluir la evaluación de oportunidades de mejora y la necesidad de cambios del
SGS, incluida la política y los objetivos.
La organización debe conservar como información documentada las evidencias de haber

llevado a cabo la revisión.
Por último, la norma ISO 20000-1 establece que se tienen que generar unos informes
sobre el rendimiento y la eficacia del SGS. Estos informes de seguimiento deben
incluir tendencias y, en base a sus conclusiones, se deben llevar a cabo acciones
consensuadas previamente con las partes interesadas.
9.9. Mejora
La actuación para mantener y mejorar el SGS se lleva a cabo a través de lo siguiente:
» Política de mejoras.
» Acciones correctivas para eliminar la causa de las no conformidades identificadas.
Debido a la gestión transversal de los servicios, las mejoras pueden repercutir

sobre uno o más servicios de forma simultánea. Esto se debe a que las mejoras pueden
incidir en lo siguiente:
» Tecnologías aplicadas a los servicios.

» Métodos y actividades dentro de los servicios.
» Modificaciones en los recursos asignados.
» Inclusión/exclusión de terceras partes en los servicios.

264
Todas aquellas mejoras que se decidan implantar deberán ser planificadas. Dentro de
su planificación habrá que determinar lo siguiente:
» Elementos por implementar.

» Hitos principales.
» Recursos que comprometer.
» Responsabilidades.
Las mejoras implementadas para la gestión de los servicios constituirán información

de entrada para la revisión por la dirección. La organización debe documentar las
oportunidades de mejora en caso de que decida su aprobación y determinar unos
criterios que le permita evaluarlas.
Las mejoras implementadas en la organización pueden verse vinculadas a objetivos. Los

objetivos de mejora pueden estar vinculados a la optimización de los servicios.
No hay que olvidar que la mejora es un elemento no solo de gestión, sino de apoyo a la
imagen de la organización pues, en numerosas ocasiones, de un defecto se puede ser
capaz de identificar nuevas líneas de negocio, nuevos servicios, generando así nuevos
mercados para la compañía.
Finalmente, en cuento a la gestión de la seguridad de la información, la dirección debe

definir una política documentada de seguridad de la información, que estará
disponible y será comunicada a las personas apropiadas dentro de la organización, los
clientes y los usuarios, los proveedores internos y externos, así como cualquier parte
interesada.
Así mismo, se deben evaluar y documentar de manera periódica los riesgos

relacionados con la seguridad de la información para el SGS y los servicios. Se deben
determinar e implementar los controles necesarios para abordar dichos riesgos y
monitorizarlos, evaluarlos, para en caso de ser necesario proponer las acciones
necesarias.
Cualquier incidencia de seguridad de la información se gestiona de la misma manera que

cualquier incidencia, petición de servicio o problema. Cualquier incidencia deberá ser
comunicada y revisada para plantear oportunidades de mejora.

265
266

Manual 10

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Manual 10

Cargado por

Copyright:

Formatos disponibles

María Dolores Cima Cabal

Otros sistemas de gestión

Otros sistemas de gestión

© María Dolores Cima Cabal

© Universidad Internacional de La Rioja

© Edición y composición: UNIR

Actualizado: diciembre 2020

Impreso en España – Printed in Spain

Capítulo 1. Contexto, iniciativas de RSE y la norma SGE 21 ……………………………………..………..……….....…12

Capítulo 2. Gobierno de la organización …………………………………....………….………..………………..……..45

Capítulo 3. Personas que integran la organización ……………………………………………............70

Capítulo 4. Clientes, proveedores y cadena de suministro ………………………………………...…94

Capítulo 5. Entorno social y ambiental y relaciones con inversores, competencia y

Capítulo 6. Sistemas de gestión I+D+i ……………………………………………………………………..145

Capítulo 7. Sistema de gestión de seguridad de la información ….………………………………...184

Capítulo 8. Implantación del sistema de seguridad de la información …..……………………....222

Capítulo 9. ISO 20000-1 …………………………………...…………………………………………………..241

1.1. Responsabilidad social de la empresa

Numerosos factores impulsan el avance de la responsabilidad social corporativa (RSC)

» Las nuevas inquietudes y expectativas de los ciudadanos, consumidores, poderes

Compromiso con la estrategia y procesos en la organización

Diálogo y conocimiento de lo que esperan los grupos de interés

Promoción de la transparencia y la comunicación

Figura 1. Características de la RSC.

En cuanto a la definición sobre la responsabilidad social de la empresa, podemos

© Universidad Internacional de La Rioja (UNIR)

este debate plantea la buena utilización de la responsabilidad social corporativa frente a

Pero, independientemente de este debate conceptual, con la nueva coyuntura económica

» Los impactos negativos que se causan en el entorno debido a nuestra manera de

Veamos a continuación las definiciones de responsabilidad social corporativa

© Universidad Internacional de La Rioja (UNIR)

» Es algo voluntario para las organizaciones.

© Universidad Internacional de La Rioja (UNIR)

1.2. Instrumentos para la RSE. Principios inspiradores

En las últimas décadas se ha avanzado sustancialmente en lo referente a los derechos

» Declaración Universal de los Derechos Humanos (1948).

© Universidad Internacional de La Rioja (UNIR)

• La eliminación de toda forma de trabajo forzoso o realizado bajo coacción.

» Objetivos de Desarrollo del Milenio. En la Cumbre del Milenio de las Naciones

© Universidad Internacional de La Rioja (UNIR)

Estos objetivos giran en torno a los siguientes ejes:

Principales iniciativas de la Comisión Europea en responsabilidad social

© Universidad Internacional de La Rioja (UNIR)

productos y servicios, la calidad en el trabajo y la inversión socialmente

» Multi-stakeholder Forum 2015:

» Una estrategia renovada de la UE para la RSE 2011-14 (A renewed EU strategy 2011-

© Universidad Internacional de La Rioja (UNIR)

o Mejorar la divulgación de información social y medioambiental por parte de la

© Universidad Internacional de La Rioja (UNIR)

Principales iniciativas en España en responsabilidad social

» Consejo Estatal de Responsabilidad Social de las Empresas (CERSE)

El 20 de enero de 2009 se constituyó formalmente como órgano consultivo y asesor del

Se caracteriza por la participación en su seno de los agentes sociales: sindicatos y

Grupos de trabajo creados y documentos desarrollados:

o El papel de la RSE ante la crisis económica: su contribución al nuevo modelo

Es una red global de organizaciones y profesionales implicados en el desarrollo de la

Forética es la asociación de empresas y profesionales de la RSE líder en España que tiene

Se creó en 1999 y ha jugado un papel clave en la difusión de la RSE en nuestro entorno.

© Universidad Internacional de La Rioja (UNIR)

Ha desarrollado la norma de Empresa SGE 21, siendo el primer sistema de gestión de

El sistema de gestión SGE 21 ha sido el elegido tanto por empresas multinacionales

» La Asociación Española del Pacto Mundial (ASEPAM)

Se creó el 15 de noviembre de 2004, durante la Asamblea Constituyente, momento en el