Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ISBN: 978-84-18367-29-8
Administración ……………………………………………………………………………………………………120
Concepto
Así como indica la SGE21, «la gestión ética y socialmente responsable se constituye como
una respuesta de las organizaciones a los retos de transparencia, integridad y
sostenibilidad entendida esta última en su triple vertiente: económica, ambiental y social»
(2017, p. 1).
Características de la RSC
Su voluntariedad
Por ello, debemos tener en cuenta diversos factores como los siguientes:
» Libro verde de la Unión Europea: «Integración voluntaria, por parte de las empresas,
de las preocupaciones sociales y medioambientales en sus operaciones comerciales y
sus relaciones con sus interlocutores» (Comisión de las Comunidades Europeas, 2001,
p. 7).
» Definición consensuada entre el Observatorio de RSC, CEPES, Amnistía
Internacional, CERMI, Ayuda en Acción, CECU, Asgeco, Asociación Española de
Fundaciones, Cruz Roja, Fundeso y Fundación Eroski, con motivo de la primera
sesión del Foro de Expertos del Ministerio de Trabajo y Asuntos Sociales: «la RSC es
el conjunto de obligaciones legales (nacionales e internacionales) y éticas de la
empresa, que surgen de la relación con sus grupos de interés y del desarrollo de su
actividad, de la que se derivan impactos en el ámbito social, medioambiental, laboral
y de derechos humanos en un contexto global».
» Definición del World Business Council for Sustainable Development (WBCSD): «la
RSC es el compromiso que asume una empresa para contribuir al desarrollo
económico por medio de la colaboración con sus empleados, sus familias, la
comunidad local y la sociedad, con el objeto de mejorar la calidad de vida».
» Documento de AECA (2004), marco conceptual de la RSC: «la responsabilidad social
corporativa es el compromiso voluntario de las empresas con el desarrollo de la
sociedad y la preservación del medioambiente, desde su composición social y un
comportamiento responsable hacia las personas y grupos sociales con quienes
interactúa».
» Definición dada por Business for Social Responsability (BSR) (s. f.): «la
responsabilidad social empresarial se define como la administración de un negocio de
forma que cumpla o sobrepase las expectativas éticas, legales, comerciales y públicas
que tiene la sociedad frente a una empresa».
» El Instituto Ethos de Brasil (s. f.) define la RSC como «la forma de conducir los
negocios de una empresa de tal modo que esta se convierta en corresponsable por el
desenvolvimiento social».
Tal como se observa, las definiciones son muy variadas. Extrayendo las cuestiones más
importantes de cada una de estas definiciones, se puede decir que la RSC tiene las
siguientes características:
Dos de los documentos que estimamos más representativos en la evolución hacia la RSC
son: el Pacto Mundial de las Naciones Unidas y los Objetivos de Desarrollo
del Milenio.
» Pacto Mundial de las Naciones Unidas (UNGC). Este pacto pide a las empresas que
hagan suyos, apoyen y lleven a la práctica en sus ámbitos de influencia un conjunto
de valores fundamentales, con diez principios básicos.
o Derechos humanos:
• Las empresas deben apoyar y respetar la protección de los derechos humanos
fundamentales internacionalmente reconocidos dentro de su ámbito de
influencia.
• Deben asegurarse de no ser cómplices en la vulneración de los derechos
humanos.
o Relaciones laborales:
• Las empresas deben apoyar la libertad de afiliación y el reconocimiento efectivo
del derecho a la negociación colectiva.
El nuevo acuerdo insta a los países a iniciar, a partir del año 2016, esfuerzos para
lograr los 17 objetivos de desarrollo sostenible (ODS) planteados en los
próximos 15 años.
» Libro Verde:
o Pretendía fomentar un marco europeo para la responsabilidad social de las
empresas en el año 2001.
o Su objetivo era iniciar un debate sobre cómo puede fomentar la Unión Europea la
responsabilidad social de las empresas en los ámbitos europeo e internacional y,
en particular, sobre cómo aprovechar al máximo las experiencias existentes,
fomentar el desarrollo de prácticas innovadoras, aumentar la transparencia e
incrementar la fiabilidad de la evaluación y la validación.
o A lo largo de todo el Libro Verde se dan pautas sobre aspectos relacionados con la
responsabilidad social, tanto con la dimensión interna como externa de la empresa.
o Aborda la integración de la gestión de la responsabilidad social en la estrategia
organizacional, la elaboración de informes de sostenibilidad, el etiquetado de
» CSR Europe:
Es una red europea de negocios para la responsabilidad social de las empresas.
Fundada en 1995 por algunas de las empresas europeas líderes en respuesta a un
llamamiento del presidente de la Comisión Europea Jacques Delors, tiene como
objetivo principal apoyar a las empresas en la integración de la responsabilidad social
en su modelo de negocio. Principalmente, los temas y cuestiones que trabaja CSR Europe
en materia de la RSE son los siguientes:
o La innovación y el espíritu emprendedor.
o La consolidación de capacidades y competencias.
o La igualdad de oportunidades y diversidad.
o La seguridad y la salud.
o La protección del medioambiente.
o La integración de la RSE.
o La participación y el compromiso con los grupos de interés.
o Liderazgo y gobernanza.
o Comunicación y transparencia.
o Cooperación y alianzas entre empresas.
» Forética
aportación de soluciones innovadoras para los retos de la gestión ética, han supuesto una
contribución importante para el desarrollo de estrategias de responsabilidad social, tanto
de grandes empresas como de pymes.
Forética es además:
o Una organización multi-stakeholder, donde se trabaja conjuntamente para
desarrollar un concepto de gestión ética y socialmente responsable fundamentada
en el diálogo con todas las partes interesadas.
o El referente en herramientas de gestión de la RSE integrales, que
permiten la implantación, medición y verificación de valores y conductas de la
empresa en sus operaciones y relaciones con el entorno.
o Una fuente de conocimiento e innovación, fruto de una extensa red de
empresas, académicos y expertos en RSE en distintos sectores.
o Una plataforma de comunicación, benchmarking y fomento de la
transparencia, que permite a los socios aumentar su capilaridad y eficacia en la
difusión del compromiso real y demostrable con sus valores.
La red española se convierte a partir de ese momento en una de las primeras plataformas
mundiales de esta naturaleza y características. Se trata de una de las redes más activas y
destaca por su modelo multi-stakeholder que agrupa a distintos grupos de interés:
empresas, ONG, sindicatos, instituciones académicas y organismos sociales.
Los fondos ISR son fondos de inversión que tienen en cuenta para elegir los activos
argumentos que no son únicamente financieros, sino que consideran criterios
extrafinancieros, como pueden ser los siguientes:
Los enfoques para aplicar a los diferentes fondos pueden ser los siguientes:
» Criterios negativos:
o Rechazando de plano la inversión en empresas cuya actuación social es
inaceptable, como: la producción de armas, de energía nuclear y de tabaco.
Son indicadores bursátiles donde se agrupan compañías que cumplen con determinados
criterios medioambientales, éticos o de responsabilidad social corporativa. Los índices
de sostenibilidad más reconocidos son el Dow Jones Sustainability Index (DJSI) y el
FTSE4 Good Index. Se revisan periódicamente para comprobar si las empresas que los
forman cumplen los requisitos exigidos por cada índice.
La relevancia de que una organización esté en alguno de los índices vistos está en que los
grupos inversores que toman las decisiones los tengan en cuenta, como pueden ser los
consultores, gestores y brokers.
Rentabilidades
Figura 2. Criterios.
Se constituye en el año 2001 y sus socios fundadores son los SIF (social investment
forum) de Francia, Alemania, Italia, Holanda y Reino Unido. Posteriormente, se
incorporan los SIF de Bélgica, España y Suiza
Las actividades en las que se centra Eurosif giran en torno al apoyo y ayuda a los
miembros afiliados en la promoción y desarrollo de la ISR.
Spainsif
Para la consecución de sus fines, la asociación tendrá las siguientes líneas de actuación:
Introducción
Las empresas están desarrollando, cada vez más, memorias donde establecen los
indicadores y los principios por los que se van a regir y que van a divulgar para que se
conozca su actividad económica, ambiental y, sobre todo, social.
GRI es una organización que no tiene ánimo de lucro y donde se da cabida a múltiples
grupos de interés. Fue fundada por CERES y el programa de las Naciones Unidas para el
medioambiente (PNUMA) en el año 1997, en Estados Unidos. En 2002, GRI establece su
sede en Ámsterdam. Dispone de delegaciones regionales (focal points) en diversos países
como: Australia, Brasil, China, India y Estados Unidos, y con una red de más de 30 000
personas en todo el mundo.
Por eso, los estándares de GRI para la elaboración de las memorias de sostenibilidad se
desarrollan en el marco de las iniciativas de la Carta de La Tierra, la Corporación
Financiera Internacional (CFI) y la Conferencia de las Naciones Unidas sobre Comercio
y Desarrollo (UNCTAD).
» La serie 100 está compuesta por tres estándares universales aplicables a cualquier
organización que prepare un informe de sostenibilidad. Estos orientan a los
informantes acerca del uso de los estándares (GRI 101), la información contextual de
interés de la organización (GRI 102) y cómo esta gestiona sus temas materiales (GRI
103).
» La serie 200 está compuesta por los estándares temáticos que informan de los
impactos materiales de una organización en cuanto a temas económicos (desempeño
económico, presencia en el mercado, etc.).
» La serie 300 está compuesta por los estándares temáticos que informan de los
impactos materiales de una organización en cuanto a temas ambientales (energía,
agua, emisiones, biodiversidad, etc.).
» La serie 400 está compuesta por los estándares temáticos que informan de los
impactos materiales de una organización en cuanto a temas sociales (empleo, trabajo
infantil, corrupción, etc.).
En la siguiente tabla se muestran los estándares incluidos en cada una de las series y el
aspecto que desarrollan.
Estándar Temática
GRI 101 Fundamentos
GRI 102 Contenidos generales
GRI 103 Enfoque de gestión
GRI 201 Desempeño económico
GRI 202 Presencia en el mercado
GRI 203 Impactos económicos indirectos
GRI 204 Prácticas de adquisición
GRI 205 Anticorrupción
GRI 206 Competencia desleal
GRI 301 Materiales
GRI 302 Energía
Los nuevos estándares hacen una distinción más clara entre lo que debe ser reportado
(requerimientos), lo que es recomendable (recomendaciones) y lo que es solo guía
(directrices).
SAI viene desarrollando su actividad desde 1997 y actualmente está implantado en todos
los continentes donde mantiene oficinas y representación.
» Trabajo infantil:
o Eliminar el trabajo infantil.
o Establecer políticas y procedimientos para la rehabilitación de niños que se
encuentran en situación de explotación.
o Proporcionar apoyo financiero para permitir que esos niños asistan a la escuela.
» Salud y seguridad:
o Proporcionar un lugar de trabajo seguro y saludable.
o Evitar posibles accidentes de trabajo.
o Nombrar responsable para garantizar la SST y la formación sobre seguridad y
salud para todo el personal.
o Eliminar, reducir los riesgos para las embarazadas.
o Procurar la higiene, aseo, agua potable, almacenamiento de alimentos de forma
higiénica, etc.
» Discriminación:
o No a la discriminación por motivos de raza, origen nacional o social, casta,
nacimiento, religión, discapacidad, género, orientación sexual, afiliación sindical,
opiniones políticas y edad.
» Prácticas disciplinarias:
o Tratar a todo el personal con dignidad y respeto.
o Practicar la tolerancia cero hacia el castigo corporal, abuso mental o físico del
personal.
o No aplicar ningún tratamiento cruel o inhumano.
» Horas de trabajo:
o Cumplir con las leyes y normas de industriales.
o La semana de trabajo normal, sin incluir horas extras, no excederá de 48 horas.
o Establecer un día de descanso después de cada 6 días de trabajo consecutivos,
etc.
» Remuneración:
o Respetar el derecho del trabajador al salario digno.
o Que el salario sea suficiente para satisfacer las necesidades básicas.
» Sistemas de gestión:
o Debe ir más allá del simple cumplimiento de la norma para integrarlo en sus
sistemas y prácticas de gestión
Análisis de situación
1. SA 8000 2. PROCESO DE
CERTIFICACIÓN
Elaboración de la
documentación requerida por
SA 8000 Auditoría de certificación
Implantación de la
Corrección de desviaciones
documentación y formación del
personal
Corrección de desviaciones
La serie AA1000 surge en el Reino Unido en el año 1999 por el Institute of Social and
Ethical Accountability (http://www.accountability.org/) con vocación de integrar la
gestión, auditoría y comunicación en los aspectos relativos a la responsabilidad social de
las organizaciones.
» Documentos desarrollados:
Forética (s. f.). ¿Qué es la SGE 21? [en línea]. Recuperado de http://foretica.org/sge21/
Se trata del primer sistema de gestión ética y socialmente responsable en Europa, que
permite de manera voluntaria auditar procesos y alcanzar una certificación en gestión
ética y responsabilidad social.
Cabe destacar que la norma ISO 19011, Directrices para la auditoría de los sistemas de
gestión, es aplicable a las auditorías del sistema de gestión ético y socialmente
responsable en base a la norma SGE21.
Se trata de una evaluación por parte de Forética del nivel de aplicación de los requisitos
de la norma en la organización a través de una revisión documental y recogida de
evidencias en la información pública de dicha entidad. Este proceso permite obtener una
validación del uso de la metodología de gestión que plantea la norma en un momento
determinado.
La norma SGE21 se publicó en el año 2000 y ha sido revisada en cuatro ocasiones ( 2002,
2005, 2008, 2017), siendo publicada su última versión en el año 2017.
» Introducción.
» Objeto.
» Ámbito.
» Documentos de referencia.
» Descripción.
» Áreas de gestión.
o Gobierno de la organización.
o Personas que integran la organización.
o Clientes.
o Proveedores y cadena de suministro.
o Entorno social e impacto en la comunidad.
o Entorno ambiental.
o Inversores.
o Competencia.
o Administraciones públicas.
Cada una de las áreas de gestión establece los requisitos para el control de la gestión de
la responsabilidad social en aspectos de ética y buen gobierno, inversores, aspectos
sociales, aspectos ambientales, económicos y de mercado.
La norma SGE 21 establece nueve áreas de gestión sobre la que se construye el sistema y
que pueden agruparse como sigue:
La norma ISO 26000, Guía de responsabilidad social, aprobada en el 2010, es una norma
internacional que proporciona orientación a los usuarios en materia de RSC, pero no es
adecuada ni pretende servir respeto al principio de legalidad. para propósitos de
certificación. La propia norma indica que cualquier oferta de certificación o petición para
obtener una certificación conforme a la norma ISO 26000 se consideraría una
tergiversación del propósito e intención de esta norma internacional. Esta norma no es,
por tanto, certificable.
Prefacio
Introducción
1. Objeto y campo de aplicación
2. Términos y definiciones
3. Comprender la responsabilidad social
3.1. La responsabilidad social de las organizaciones: antecedentes históricos
3.2. Tendencias recientes sobre responsabilidad social
3.3. Características de la responsabilidad social
3.4. El estado de la responsabilidad social
4. Principios de la responsabilidad social
4.1. Generalidades
4.2. Rendición de cuentas
4.3. Transparencia
4.4. Comportamiento ético
4.5. Respeto a los intereses de las partes interesadas
4.6. Respeto al principio de legalidad
4.7. Respeto a la normativa internacional de comportamiento
4.8. Respeto a los derechos humanos
5. Reconocer la responsabilidad social e involucrarse con las partes interesadas
5.1. Generalidades
5.2. Reconocer la responsabilidad social
5.3. Identificación y compromiso de las partes interesadas
6. Orientación sobre materias fundamentales de la responsabilidad social
6.1. Generalidades
6.2. Gobernanza de la Organización
6.3. Derechos humanos
6.4. Prácticas laborales
6.5. El medioambiente
6.6. Prácticas justas de operación
6.7. Asuntos de consumidores
6.8. Implicación y desarrollo de la comunidad
7. Orientación sobre la integración de la responsabilidad social en toda la
Organización
7.1. Generalidades
7.2. Relación de las características de una Organización con la responsabilidad social
Figura 8. Estructura de la norma ISO 26000. Fuente: ISO 26000, 2012, p. 10.
Business for Social Responsability (BSR) (s. f.). Responsabilidad social empresarial [en
línea]. Recuperado de https://www.bsr.org/en/about
Comisión de las Comunidades Europeas (18 de julio de 2001). Libro verde. Fomentar un
marco europeo para la responsabilidad social de las empresas. Bruselas: Comisión de
las Comunidades Europeas. Recuperado de http://eur-lex.europa.eu/legal-
content/ES/TXT/PDF/?uri=CELEX:52001DC0366&from=ES
Forética (2017). SGE 21. Sistema de Gestión Ética y Socialmente Responsable. Madrid:
Forética.
Global Reporting (2016). GRI 101: Foundation 2016. Amsterdam: Global Reporting.
Recuperado de https://www.globalreporting.org/standards/media/1036/gri-101-
foundation-2016.pdf
44
Capítulo 2: Gobierno de la organización
2.1. Introducción
En la medida en que estos aspectos se aborden con una mayor profundidad, podrá ser
considerada la política en sí misma como la evidencia documental que acompañe a la
comprobación de la implantación de los puntos 6.1.8 sobre la política anticorrupción,
6.2.1 sobre derechos humanos o 6.6.4 sobre estrategia frente al cambio climático.
Si nos preguntamos si la política mostrada cumpliría con los requisitos de la norma SGE
21, cabría señalar algunos puntos de mejora, por ejemplo: le falta indicar actividad de la
empresa, el compromiso de darla a conocer a todos sus trabajadores y estar a disposición
pública, tampoco tiene la firma de la alta dirección, no está fechada, ni incluye
compromiso de revisión periódica.
Las características que debe incluir el código de conducta son las siguientes:
» Ser distribuido a todas las personas que trabajen para la organización y en nombre de
ella, garantizando su comprensión.
» Puede estar disponible para sus grupos de interés (si la organización lo considera
necesario).
» Ser específico para la organización y estar acorde con sus valores.
» Determinar la vía adecuada para gestionar todas las dudas, quejas, reclamaciones,
sugerencias o denuncias, garantizando la ausencia de represalias en su uso.
» Fijar, para casos de incumplimiento, las medidas sancionadoras a tomar.
» Contar con mecanismos que garanticen su elaboración, revisión, comprensión y
cumplimiento.
Asimismo, contendrá claridad sobre las faltas éticas y la resolución de conflictos, de tal
forma que se identifiquen, se sancionen cuando se requiera y se resuelvan bajo las vías y
medidas estipuladas.
El documento debe ser concreto, propio de la organización, claro y centrar las medidas
de sanción en los procesos y no en las personas.
Es positivo establecer una revisión anual de cómo las actividades de la organización han
contribuido al respeto y avance en el código de conducta y, en todo caso, asegurar que no
se ha actuado en su contra. Aquí encontramos de nuevo un vínculo con otro requisito de
la norma, el 6.1.10, «Revisión por la dirección y mejora continua», que establece
específicamente que la alta dirección debe revisar, al menos anualmente, una serie de
documentos del sistema de gestión, para asegurarse de su adecuación y eficacia, entre
ellos el código de conducta.
Este código comienza estableciendo los valores de la organización, para luego establecer
los compromisos adquiridos con cada uno de sus grupos de interés, socios, proveedores,
medioambiente, equipo de trabajo, administraciones públicas, comunidad, etc.,
finalizando con un compromiso de cumplimiento. El código de conducta es firmado por
el director general de la organización.
A continuación, se indica el enlace para la descarga del código de conducta de otras tres
empresas a modo de ejemplo:
» Novartis (https://www.novartis.es/sobre-novartis/responsabilidad-
social/practica-empresarial-responsable/codigo-etico).
» Indra (http://www.indracompany.com/es/indra/codigo-etico-cumplimiento-legal).
» Ferrovial (https://www.ferrovial.com/es-es/sostenibilidad/etica/).
La dirección procurará que los miembros del comité reciban formación acerca de los
principios de la gestión ética y socialmente responsable, lo que facilitará su actualización
para establecer sus sugerencias con criterio frente a iniciativas legales, estándares
voluntarios o propuestas de colaboración.
Por ejemplo, Indra establece lo que denominan «canal directo» como cauce de
comunicación con su comité de responsabilidad social, con el fin de comunicar, en su
caso, sobre el código ético y de conducta, irregularidades sobre su aplicación, de modo
anónimo y confidencial.
Además:
Con objeto de facilitar las tareas del comité, será el encargado de proponer tanto el
plan de responsabilidad social como las iniciativas anuales, sugerir la composición del
mapa de los grupos de interés y la categorización de los riesgos ambientales, sociales y
de buen gobierno. El responsable de gestión ética o responsabilidad social recogerá las
indicaciones del comité para presentar a la alta dirección las propuestas sobre los
aspectos mencionados.
En el estudio El perfil emergente del directivo de RSC se ha querido conocer más sobre
el trabajo diario que realizan, a qué dedican mayoritariamente su tiempo, cuál es su
opinión sobre la forma en que se gestiona la RSC. Se trata de una primera aproximación,
basada en las respuestas a 48 cuestionarios, que apunta los temas y claves de futuras
investigaciones y permite dibujar un primer perfil de estos directivos.
Las organizaciones se enfrentan a factores tanto internos como externos que le quitan
certeza a la posibilidad de alcanzar sus objetivos ASG, lo que se convierte, por tanto, en
riesgos que hay que gestionar, estableciendo un plan de mitigación con acciones
concretas. Además, teniendo en cuenta la naturaleza cambiante de las organizaciones se
hace preciso una revisión anual de la identificación, el análisis y la categorización de los
riesgos que permita adaptar el plan de mitigación a los cambios.
La norma UNE 31000 (Gestión del riesgo: principios y directrices) puede servir de
guía a la hora de desarrollar una metodología que permita gestionar el riesgo en la
organización. Por otro lado, la norma UNE 31010 (Gestión del riesgo: técnicas de
apreciación del riesgo) puede servir de orientación para la selección y aplicación de
técnicas sistemáticas para la evaluación de riesgos.
El Informe de Riesgos Globales 2017 publicado por el Foro Económico Mundial evalúa
30 riesgos globales, así como trece tendencias subyacentes que podrían agravarlos o
alterar las interconexiones entre ellos, basándose en encuestas y entrevistas a 750
expertos en todo el mundo y puede servir de ejemplo a la hora de establecer los riesgos y
oportunidades en una empresa, adaptándolos a su realidad.
por escrito lo que se espera obtener para responder a retos detectados y mejorar las
prácticas éticas y la excelencia empresarial a partir de objetivos e indicadores.
Los objetivos serán los resultados concretos que se esperan con la implementación de
la RSC y los indicadores de los datos concretos que permitirán visualizar el cumplimiento
y el éxito de los objetivos propuestos. Dichos objetivos e indicadores estarán en un marco
de referencia que permitirá, además, identificar las fuentes de verificación, los tiempos
para su cumplimiento, los recursos requeridos y las personas responsables de ejecutar
las actividades planteadas en el plan, de tal forma que se facilite su control y seguimiento.
Los objetivos del plan podrán concretarse en metas específicas a las que se asignará
un responsable, plazos, recursos, así como los indicadores que permitan dar seguimiento
al cumplimiento de estos. Los objetivos deben ser medibles, comparables y verificables.
Los objetivos del plan de responsabilidad social deberán enmarcarse en los procesos que
desarrolla la organización, así como con la estrategia general de la organización. Pueden
clasificarse de la siguiente manera:
» Bajo las cuatro perspectivas que proponen Kaplan y Norton (1996) en el cuadro de
mando integral (balanced scorecard):
o Financieros, clientes (precio, marca, servicios).
o Internos o propios del negocio (operaciones de producción, innovación, etc.).
o Aprendizaje (competencias y calidad del talento humano).
o Capital de información (sistemas, redes, etc.).
» Carta.
» Teléfono.
» Fax.
» Correo electrónico.
» Reunión presencial.
» Paneles de diálogo, etc.
Debe permitir que cada uno de los grupos de interés pueda hacer llegar sus expectativas,
quejas o propuestas. También podrá establecer el mecanismo de respuesta para cada uno
de los grupos de interés, identificando al interlocutor con cada uno de ellos y evaluando
su satisfacción.
Sería adecuado establecer, al menos, una revisión anual de la aplicación del modelo
de relación con los grupos de interés, encaminado a detectar los resultados obtenidos y
el nivel de desarrollo de la relación con dichos grupos.
Para establecer un modelo documentado de la relación que tiene la organización con sus
grupos de interés se recomienda avanzar en las siguientes fases:
No existe un formato específico para el modelo de relación con los grupos de interés, pero
en los siguientes enlaces se pueden consultar y comparar los diferentes modelos de
gestión de la RSC y la relación con sus grupos de interés de tres empresas (Vodafone,
Ferrovial y Endesa), a través de sus memorias o informes de sostenibilidad.
» Vodafone (http://www.vodafone.es/static/fichero/pro_ucm_mgmt_642133.pdf?f
rame=1).
» Ferrovial (http://www.ferrovial.com/es/Responsabilidad-
Corporativa/Reputacion-corporativa-Grupos-de-interes).
» Endesa (https://www.endesa.com/es/sostenibilidad.html).
La organización debe garantizar que todas las personas con capacidad de decisión
conocen y entienden la política. Se han de mantener evidencias de las acciones
emprendidas en caso de incumplimiento (Forética, 2017, p. 10).
En el marco de la visión y los valores del grupo de desarrollo rural del Litoral de La Janda
de la política integrada de gestión y del compromiso asumido de trabajar contra el fraude
en todas sus formas, incluidas la extorsión y el soborno, la dirección ha aprobado la
presente política anticorrupción con el fin de prevenir el deterioro del valor de las
acciones desarrolladas por la asociación a través del diseño y desarrollo de programas y
proyectos para el desarrollo socioeconómico del territorio.
Los principios por los que se rige esta política y a la que se comprometen todos los
miembros del GDR Litoral de La Janda son los siguientes:
La organización debe realizar anualmente auditorías internas del sistema de gestión ética
y socialmente responsable para comprobar la correcta aplicación y evolución del sistema
y su adecuación a los requisitos de esta norma. Para ello debe:
Al igual que a la hora de llevar a cabo las auditorías internas de otros sistemas de gestión,
como calidad o medio ambiente, se puede tomar de referencia lo establecido por la norma
UNE-EN ISO 19011: Directrices para la auditoría de los sistemas de gestión, en cuanto
a la gestión del programa de auditoría, la realización de la auditoría y las competencias
de los auditores internos.
Al igual que sucede con otros sistemas de gestión, la alta dirección debe revisar el sistema
de gestión ética, como mínimo, con carácter anual, para verificar a través de
indicadores su adecuación, eficacia y elaborar planes de mejora continua. El ciclo de
Deming o mejora continua se cerraría con esta etapa. A continuación, se muestra un
ejemplo de algunos aspectos a considerar en esta revisión, como pueden ser los puntos
fuertes y débiles, para poder determinar qué sería interesante incluir en los planes de
mejora, teniendo en cuenta los distintos grupos de interés de la empresa.
Figura 4. Aspectos que considerar en una revisión anual del sistema de gestión ética y socialmente
responsable.
GRUPO
OBJETIVO ACCIÓN EVALUACIÓN
INTERÉS
Figura 5. Ejemplo de acciones tomadas como consecuencia dela revisión por la dirección.
El último requisito dentro del área de gestión gobierno de la organización establece que
la misma debe poner a disposición pública toda la información relevante relacionada con
los aspectos ambientales, sociales y de buen gobierno, de manera periódica.
» Grupo L’Oréal
(https://www.loreal.com/es-es/spain/).
Forética (2017). SGE 21. Sistema de gestión ética y socialmente responsable. Recuperado
de http://www.foretica.org/norma_SGE_21.pdf
69
Capítulo 3: Personas que integran la organización
La organización debe respetar los derechos humanos. Para ello, ha de llevar a cabo un
control y seguimiento del cumplimiento de estos en relación con las personas que
trabajan en la organización y en nombre de ella, así como con los distintos colectivos con
los que se relaciona en el desempeño de su actividad. Debe disponer, en función de su
tamaño y circunstancias, de los siguientes elementos:
a. Un compromiso público, y al más alto nivel, de asumir su responsabilidad de respetar
los derechos humanos, al menos en lo que respecta a:
1. Derechos de la infancia y la juventud, entre ellos supresión de la explotación
infantil y trabajos forzados.
2. Derecho de asociación, principalmente libertad de sindicación y negociación
colectiva.
3. Derecho a unas condiciones de empleo equitativas y satisfactorias.
b. Un procedimiento para identificar, prevenir, mitigar y rendir cuentas de cómo aborda
su impacto sobre los derechos humanos en todas sus operaciones y actividades.
c. Unos procesos que permitan reparar, en la medida de lo posible, las consecuencias
negativas sobre los derechos humanos que hayan provocado o contribuido a provocar
(Forética, 2017, p. 13).
Las personas que integran la organización son el principal activo de estas. La RSC exige
un trato equitativo y respetuoso a los empleados, además del respeto a los derechos
de la infancia y la juventud, contractuales y colectivos de los trabajadores. En este
sentido, la organización tiene que identificar el impacto que tienen sus actividades sobre
los derechos humanos, definiendo, en caso de ser necesario, unas pautas que le permitan
paliar las posibles consecuencias negativas que hayan podido ocasionar.
Para el control y seguimiento del cumplimiento de los derechos humanos se puede seguir
el esquema que establece la norma de empresa SA8000, emitida por SAI y sobre la que
también se apoya la SGE 21.
DERECHOS SOCIALES/HUMANOS
Cuestiones de género:
• Políticas de genero y mejores prácticas
• Derechos de la mujer en el trabajo
• Salud y seguridad de la mujer
Las áreas que cubre el sistema de certificación SA8000, y como se ha comentado sobre
los que también se basa la SGE21, tienen que cubrir los siguientes aspectos:
Área social
Derechos sociales/humanos
Promoción/mejora de la educación
Promoción/mejora de la asistencia médica
La existencia de instalaciones sanitarias y viviendas
Cuestiones de género. No se puede discriminar por esta condición en igualdad de formación
Políticas de género y mejores prácticas
Derechos de la mujer en el trabajo (CSI, 2008)
Salud y seguridad de la mujer (EU-OSHA, 2018)
Derechos culturales/religiosos, C169 (OIT, 1989)
Área social
Derechos del trabajo/laborales. Condiciones de trabajo
Seguridad en el trabajo, C184 (OIT, 2001)
Capacitación sobre cuestiones de seguridad (ONU Mujeres, 2012)
Entorno de trabajo seguro
Equipos de seguridad y materiales de emergencia
Condiciones de trabajo saludables
Acceso al agua potable
Acceso a instalaciones sanitarias en el trabajo
Acceso a asistencia médica/ seguro médico
Requisitos de capacitación in situ
Abolición del trabajo forzoso, CO 29 (OIT, 1930) y C 105 (OIT, 1957)
Abolición de la utilización de la violencia física
Prohibición del trabajo infantil, C182 (OIT, 1999)
Área social
Condiciones de empleo
Políticas y prácticas de la contratación de mano de obra. Esas políticas no pueden ir en contra
de los derechos y otros puntos que se recogen en la RSC respecto a las personas que integran
la organización
Transparencia de las prácticas de empleo
Contratos escritos y contemplando horarios, salarios, nivel adecuado de formación, etc.
Se especifican claramente los días de licencia, esto se refiere a los días de periodo vacacional
al que tienen derecho los trabajadores
Pago oportuno del salario. Cada organización tiene que estipular el margen de pago de
salarios mensuales y tiene que cumplirlo. De esta forma, los trabajadores saben la fecha límite
de pago por la organización
Pensiones y beneficios de la seguridad social. Todo trabajador tiene que asegurarse, y la
organización debe cumplir con ello, que va a sufrir retenciones en su salario, pero que estas
retenciones le permiten el acceso a la sanidad y que el día de mañana van a recibir una
compensación económica por sus años de trabajo
Edad mínima, C182 (OIT, 1999) y C138 (OIT, 1973)
Igualdad de remuneración (OIT 100) (OIT, 1951)
Ingertec (s. f.). Plan de igualdad para empresas [en línea]. Recuperado de
https://ingertec.com/rsc-y-sostenibilidad/plan-de-
igualdad/?gclid=CjwKCAiAzNj9BRBDEiwAPsL0d6TAACvVMU1nZ7Dv0pgbelNs8j-
cbGSMBv1O_QAXvW6vNrj0wUI5HhoCRbgQAvD_BwE
La organización debe llevar a cabo una gestión activa de la diversidad, para ello
desarrollará las siguientes acciones:
a. Identificación y análisis de los perfiles de diversidad.
b. Identificación de las necesidades y expectativas de cada uno de ellos.
c. Definición de un plan de acción en función de los resultados obtenidos.
d. Seguimiento de los resultados de las acciones llevadas a cabo.
e. Revisión, al menos cada tres años, del plan de acción (Forética, 2017, p. 14).
Para ello, es necesario verificar que en la organización existan los siguientes elementos:
» Crear un microclima interno que coincida con la diversidad del entorno externo o
interno de la organización.
» Fomentar un clima que optimice la eficacia del proceso empresarial a través de la
inclusión de todas sus personas.
» Propiciar la innovación a través de mecanismos que dinamicen la interacción entre
personas de diferentes culturas, orígenes y competencias.
» Crear y actualizar productos y servicios que atiendan las nuevas necesidades y
fidelizar a clientes con perfiles cada vez más diversos y con requisitos distintos
dependiendo del país de origen. Si se tiene un equipo de trabajo intercultural será más
fácil entender estas necesidades y satisfacer al cliente.
» Interactuar con proveedores de diferentes regiones, culturas y naturaleza para
incrementar la eficacia en toda clase de suministros.
» Reinventar sistemas y procesos que optimicen todos los recursos financieros y
tecnológicos de la organización en busca de mejores resultados.
» Crear una cultura que haga coincidir los valores y preferencias corporativas con las
prioridades y necesidades de sus empleados y empleadas.
Se entiende por diversidad los perfiles que diferencian a las personas y que tienen un
impacto en el comportamiento grupal. Hay diversidades visibles y diversidades no
visibles que deben gestionarse para potenciar su contribución y reducir conflictos.
Las organizaciones incluyentes miden su eficacia por la aportación que hacen sus
personas y no por las horas de presencia en la empresa.
» Intranet para la plantilla con acceso a todos los documentos relativos a la igualdad y
a la estrategia de la diversidad.
» Formación: idiomas y traducciones.
» Acciones de sensibilización (cursos de formación, vídeos de sensibilización,
programas de acogida) en torno a las políticas de diversidad.
» Canal interno de denuncias.
» Grupos de buenas prácticas para el intercambio de ideas y experiencias.
fin de semana, servicio de guardaría en las propias instalaciones de las empresas, entre
otras.
Una medida cada vez más implantada en las empresas y organizaciones, al objeto de
lograr la conciliación familiar-laboral, es el teletrabajo, que es una forma de trabajo
que favorece la movilidad y la flexibilidad.
» Deslocalización. Permite trabajar desde cualquier lugar (no dispone un lugar fijo de
trabajo).
» Flexibilidad. Permite trabajar en cualquier momento (no requiere un horario fijo de
trabajo).
» Se utilizan siempre las TIC como apoyo.
» En la mayoría de los casos no se conoce personalmente a los empleadores o clientes.
»Los trabajadores que se sumen a esta iniciativa, que será voluntaria, una vez
que la correspondiente Secretaría General Técnica lo autorice, podrán realizar
fuera de su puesto de trabajo hasta el 40 por ciento de su jornada laboral
mensual, lo que supone 56 de las 140 horas mensuales que deben realizar.
»Los requisitos que deberán reunir los empleados públicos que se sumen a esta
iniciativa serán disponer de un espacio en su domicilio o en otro lugar que
cumpla con la normativa de riesgos laborales, tener ordenador y banda ancha,
así como amplios conocimientos sobre ofimática. Estos trabajadores recibirán
los programas necesarios para conectarse al ordenador de su oficina y la
formación correspondiente para su uso y para garantizar la confidencialidad de
los datos que manejen.
»Esta iniciativa forma parte del Plan de Consolidación de las Finanzas y los
Servicios Públicos y también está contemplado en el Plan Concilia, además de
contar con el impulso tanto del Gobierno central como de la Unión Europea para
aplicar las nuevas tecnologías al trabajo y mejorar la eficiencia, el rendimiento
y la motivación de los empleados públicos.
La organización debe llevar a cabo una evaluación del clima laboral, al menos cada tres
años, analizando los resultados y poniendo en marcha los mecanismos necesarios para
su mejora continua (Forética, 2017, p. 15).
Esta medida activa de seguimiento del clima laboral se hará al menos cada tres años e irá
acompañada de un informe de análisis y mejora. La organización podrá realizar un
seguimiento pasivo a través de la evaluación de los siguientes aspectos, desglosados por
edad, sexo, nivel de estudios y su posición en la organización.
Por tanto, el desarrollo organizacional (DO) ha adquirido gran importancia dentro de las
organizaciones porque puede modificar el comportamiento tanto del individuo como de
la organización con unos resultados favorables, esto se debe a que el recurso humano es
la clave para el éxito o fracaso de cualquier empresa, comenzando por adecuar la
estructura organizacional (organigrama), siguiendo por una eficiente conducción de los
grupos de trabajo (equipos y liderazgo) y desarrollando relaciones humanas que
permitan prevenir los conflictos y resolverlos rápida y oportunamente cuando se tenga
indicios de su eclosión.
Para la resolución de ese tipo de conflictos en el área laboral, el DO cuenta con objetivos
planteados como los siguientes:
Las etapas principales del DO, tal y como se recoge en la web de recursos humanos,
son las siguientes (Gestión Empresarial, s. f.):
relación con la satisfacción en los puestos o puede incluir una capacitación específica
en áreas de motivación de liderazgo que fueron identificadas como problemáticas.
También incluye el mantenimiento de las nuevas conductas deseadas, el cual puede
lograrse a través del establecimiento de un grupo de trabajo interno para controlar el
desempeño y realizar encuestas de seguimiento para no fracasar en los objetivos
deseados.
Gestión empresarial (s. f.). ¿Qué es el desarrollo organizacional y cuáles son sus etapas y
técnicas? [en línea]. Recuperado de http://www.rrhh-
web.com/Desarrollo_organizacional.html
Más información sobre este aspecto y otros relacionados con las personas que integran
la organización se puede visualizar en la página web de Great Place to Work:
La organización debe garantizar la salud y el bienestar de todas las personas que trabajan
en la organización o en nombre de ella, para ello debe:
a. Llegar a cabo un diagnóstico de riesgos laborales para las instalaciones y los distintos
puestos de trabajo, incluyendo los riesgos psicosociales.
b. Implementar las mejoras necesarias para garantizar un lugar de trabajo seguro y
saludable a través de un plan de acción anual con objetivos concretos.
c. Dar formación a todos los empleados y personas que trabajen en nombre de la
organización sobre los temas de ergonomía, salud laboral, seguridad e higiene y
hábitos de vida saludable que se apliquen en cada caso.
d. Facilitar información de seguridad de las instalaciones a las personas que desarrollen
alguna actividad en las mismas (Forética, 2017, p. 15).
Para ello, se sugiere que establezca y documente las bases de un sistema preventivo a fin
de asegurar la integridad física y psicológica de las personas que trabajan para la
organización y aquellas inherentes a sus propias instalaciones.
» Un diagnóstico de situación.
» Designación de un responsable de PRL (prevención de riesgos laborales) o de
seguridad y salud en el trabajo.
» Establecimiento de un plan de acción con objetivos y metas alcanzables y realistas con
la situación actual de la organización. Evaluación de riesgos identificados en cada uno
de los puestos de trabajo, aplicando la metodología adecuada en cada caso.
» Investigación de incidentes, accidentes laborales y enfermedades profesionales, sean
cuales fuere su carácter o calificación (leves, graves, muy graves o mortales).
» Orientación de mejora continua.
» Información de los riesgos generales y formación específica de los riesgos inherentes
a cada puesto de trabajo. Se deben impartir cursos para indicar a cada trabajador los
riesgos a los que está expuesto y, además, formarle sobre formas de trabajo seguro,
tipos de medidas a implantar de tipo técnico, organizativo, de protección individual o
colectiva, para eliminar o minimizar dichos riesgos. También cada trabajador tiene
que saber, conocer y disponer de los equipos de protección adecuados para realizar su
tarea, así como la forma de utilizarlos correctamente.
» Tener en cuenta todo tipo de riesgos, incluidos los riesgos psicosociales
(principalmente mobbing o acoso laboral, el bullying o acoso entre iguales, acoso
sexual y el síndrome de burnout o síndrome del quemado, así como el estrés laboral).
Estos riesgos también hay que detectarlos y establecer las acciones pertinentes para
su eliminación.
Este análisis tiene como objetivo principal el estudio de las necesidades formativas que
muestra el personal, de modo que la formación realizada repercuta directamente en la
competitividad y en el retorno de la inversión de la empresa.
A esto hay que añadir el potencial de desarrollo de estas personas para aumentar sus
posibilidades de promoción y desarrollo profesional.
Por ello se exige que, siempre y cuando sea posible, se realice un plan estratégico de
reestructuración en el que se evalúen los impactos derivados de reducciones de jornada
laboral, despidos y cese de actividad y en el que se establezcan cauces para minimizar
tales impactos sobre los trabajadores afectados.
» Aspectos financieros. Debería velar por el bienestar del personal, ya sea que se
encuentre recién introducido a la actividad o pronto a salir de ella. Por ello, en el
contexto de la desvinculación, la organización debería diseñar estrategias para
fomentar el ahorro en su plantilla y formarle para ello, ofrecer facilidades para que las
personas desvinculadas puedan acceder a créditos para empezar nuevas iniciativas de
negocio y promover formas de asociación cooperativa para quienes se encuentren en
situaciones similares, con el objeto de emprender actividades de ocupación (laboral,
recreativa, de formación, etc.) de manera conjunta y solidaria o de proveerse de los
recursos y las herramientas necesarias para adaptarse al nuevo estilo de vida. La
empresa debería buscar y asesorar a los trabajadores acerca de nuevas oportunidades
de negocio y facilitarles toda la ayuda y apoyo.
Para más información acerca de cómo afrontar estas situaciones se puede visitar el
siguiente enlace.
Forética (2017). SGE 21. Sistema de gestión ética y socialmente responsable. Madrid:
Forética.
OIT (1957). Convenio sobre la abolición del trabajo forzoso (C105). Recuperado de
https://www.ilo.org/dyn/normlex/es/f?p=NORMLEXPUB:12100:0::NO::P12100_ILO
_CODE:C105
OIT (1999). Convenio sobre las peores formas de trabajo infantil (C182). Recuperado de
https://www.ilo.org/dyn/normlex/es/f?p=NORMLEXPUB:12100:0::NO::P12100_INS
TRUMENT_ID:312327
ONU Mujeres (2012). Diseñe el contenido de la capacitación sobre la base de las mejores
prácticas. ONU Mujeres. Recuperado de http://www.endvawnow.org/es/articles/1079-
disene-el-contenido-de-la-capacitacion-sobre-la-base-de-las-mejores-practicas.html
93
Capítulo 4: Clientes, proveedores y cadena de suministro
Los clientes demandan cada vez más mayores cotas de calidad en los productos y
servicios responsables, adquiridos. Esta creciente exigencia requiere, por parte de las
organizaciones, mayores esfuerzos para fomentar la investigación e innovación
responsable (RRI, responsible research, innovation).
Los pilares son una prioridad absoluta: la seguridad de los productos, respecto por el
medioambiente, la ciencia y la ética avanzan juntas, hacia unas compras más justas e
innovación adaptada a la diversidad mundial.
El término RRI es impulsado por la Comisión Europea dentro del programa Horizonte
2020 para agrupar la relación entre la investigación y la innovación con la sociedad. La
RRI referencia a que los diferentes actores provenientes de la investigación, la gestión y
la administración, la empresa y los negocios, la educación y la sociedad, cooperen
durante todo el proceso de investigación e innovación, con el objetivo de alinear sus
resultados con los valores y necesidades de la sociedad (Reglamento (UE) n.º 1291/2013,
de 11 de diciembre de 2013).
I+D+i
AENOR ha desarrollado la familia de las normas UNE 166000, las cuales surgieron en
el año 2002 en colaboración con el Ministerio de Ciencia y Tecnología y de la asociación
SERCOBE, con el ánimo de fijar criterios acerca de las actividades de I+D+i y su gestión.
Accede a las normas o comentarios sobre ellas a través de la Biblioteca Virtual de UNIR
En todo el proceso de prestación del servicio o elaboración del producto, deben estar
presentes la calidad y la excelencia para garantizar la satisfacción del cliente.
AENOR (s. f.). Certificación de calidad. El mejor aliado de la competitividad [en línea].
Recuperado de
http://www.aenor.es/aenor/certificacion/calidad/calidad.asp#.VMj88SxGT-l
Un ejemplo de ello lo encontramos en la empresa BRP, que tiene como lema: «La
seguridad es lo primero».
Por accesibilidad global vamos a hacer referencia a las actuaciones de la empresa para
hacer más fácil el acceso a su información, a las instalaciones, a sus productos y
servicios, por parte de las partes interesadas de la empresa o sus grupos de interés.
» Deambulación:
o Iluminación.
o Pavimentos (uniformidad, deslizamiento).
o Espacio de maniobra (dimensiones, obstáculos, mobiliario, apoyos o ayudas y
asientos).
o Zonas de circulación (dimensiones, obstáculos puertas, elementos de cierre).
» Aprehensión:
o Alcance (todo al alcance del usuario).
o Accionamiento (los elementos de acción manual no deben ofrecer una resistencia
excesiva al usuario).
o Agarre (ayudas técnicas, de apoyo y agarre adecuadas).
o Transporte (facilitar el transporte de objetos con los medios adecuados).
» Localización:
o Señalización (facilitar la orientación del usuario y la identificación y localización
de lugares y objetos).
o Otros medios de localización (información para la localización).
» Comunicación:
o Comunicación no interactiva (señales panel, otros medios gráficos, señales
luminosas, señales acústicas, señales táctiles).
o Comunicación interactiva (consultas ordenador, lector óptico, línea braille, etc.).
La organización debe establecer los principios que han de guiar sus acciones de
publicidad y marketing en lo que respecta a la promoción del producto o servicio. Estos
principios deben considerar, al menos, los siguientes aspectos:
a. Protección de públicos vulnerables.
b. Obtención y custodia responsable de datos personales.
Para tener una buena publicidad responsable no hay que mentir acerca de las
características del servicio o producto si se ha detectado previamente que no se pueden
cumplir. No se puede poner en dicha publicidad el desprestigio hacia otras marcas que
ofrezcan el mismo producto o servicio. No se debe utilizar como reclamo anuncios
sexistas, oportunistas, etc.
Se podría señalar que es imposible incorporar todos los valores en una campaña
publicitaria o que la publicidad se dedica específicamente a la venta de artículos y
servicios. Ambas cosas son verdad; pero también es cierto que para animar a la compra
de un producto, este suele asociarse a la satisfacción de otros tipos de necesidades
humanas básicas, como el deseo de seguridad, los impulsos sexuales, la necesidad de
amor, el deseo de comodidad y lujo, el vértigo de las sensaciones nuevas, el capricho, el
prestigio o el poder.
«Por ello, en tanto en cuanto los deseos a los que se apele sean humanizantes y
humanizadores, tales como el afán de conocer, de vivir en familia, de servir a la
patria, de construir el bien común, de ayudar a quienes lo necesitan, de
desarrollar lazos de amistad, de fomento de la lealtad y a su vez se presenten
con creatividad, estética y humor y sean protagonizados por personas atractivas
que despierten el ansia de ser imitadas, la publicidad contribuirá de modo muy
activo al fomento de valores sociales fundamentales» (Vanney, s. f.).
Las organizaciones no solo muestran que sus negocios son rentables, sino que también
son entidades que entienden las necesidades sociales y medioambientales existentes,
contribuyendo con la mejora del entorno. Por tanto, el marketing responsable debe
respetar no solo los derechos fundamentales de los consumidores, sino que además debe
nutrirse de componentes éticos, transparentes y sostenibles.
»Somos sensibles al hecho de que los niños pueden estar viendo programas de
televisión con su familia, de modo que hacemos todo lo posible para asegurar
que nuestra publicidad es apropiada para una audiencia general.
La organización debe llevar a cabo acciones de sensibilización con los clientes en lo que
respecta al uso responsable de sus productos o servicios o cualquier otro aspecto
relacionado con la sostenibilidad del sector en el que opera. Se han de mantener
evidencias de las acciones llevadas a cabo, su alcance, objetivo e impactos logrados
(Forética, 2017, p. 18).
Dentro de los ámbitos de consumo es evidente que los consumidores necesitan cubrir
sus necesidades básicas y que tienen en cuenta la relación calidad-precio, pero además
deben incorporar responsabilidad al realizar el acto de consumo. En este sentido, el papel
de sensibilización e información de las organizaciones es fundamental, ofreciendo
a los consumidores diferentes opciones, prácticas y acciones que puedan hacer factible
este hecho.
En general, habrá consumidores que no estarán dispuestos a pagar más por un producto
o servicio responsable, aunque sí podrán comprar o contratar productos
responsables siempre y cuando no le afecte directamente a su economía. En este
sentido, la realización de prácticas que se pueden realizar en su hogar relacionadas, por
ejemplo, con la electricidad, el aire acondicionado, la electricidad, el agua, etc., la
utilización de productos como bombillas más respetuosas con el medioambiente, la
compra de electrodomésticos que consuman menos, pueden suponer ahorros
importantes a medio y largo plazo.
Por tanto, las organizaciones tienen que encaminarse a este nuevo modelo económico
que valora más el crecimiento sostenible basado en el consumo y la producción
responsable a través de:
Observatorio RSC (2013). Guía para un consumo responsable: El papel de los y las
consumidoras en la responsabilidad social de las empresas. Recuperado de
https://observatoriorsc.org/wp-
content/uploads/2013/07/obrsc_guia_para_un_consumo_responsable.pdf
Esto provoca ventajas o sinergias entre ambas partes que merece la pena señalar:
El proceso que supone gestionar los proveedores de la organización exige a esta una
evaluación continua de ellos tanto en sus fortalezas como sus debilidades. Esto supone
disminuir costes denominados «globales». Habrá que tener en cuenta factores como la
calidad de los productos y servicios ofrecidos y todo lo anteriormente contemplado sobre
su grado de cumplimiento acerca de la RSC.
Parte de la gestión de los proveedores supone elegir entre un solo proveedor o por el
contrario disponer de varios. Usualmente, las empresas analizan información tanto
económica como financiera. Si contamos con un solo proveedor, a la larga se dispone de
colaboraciones estables donde los servicios y suministros ganan en calidad, siempre que
también cumpla principios de la RSC.
Compras responsables
Tener en cuenta los impactos que se generan a lo largo de todo el ciclo de vida del
producto o servicio, tanto en términos de derechos humanos, impactos sociales y
medioambientales, así como gestionar los riegos y oportunidades derivados de estos,
serán factores clave para lograr el éxito sostenido en una organización.
Se deben tener en cuenta, por tanto, criterios que afecten a las distintas fases de la cadena
de valor:
» Inclusividad laboral.
» Calidad de condiciones laborales.
» Sostenibilidad ambiental.
» Solidaridad territorial.
» Gestión ética de las entidades.
Para evaluar y clasificar según los distintos niveles de riesgo a los proveedores, la
organización establecerá un sistema y una metodología propios, basados en criterios de
compra responsables previamente definidos y que cubran progresivamente a los
distintos grupos de riesgo detectados (apartado 6.4.2, norma SGE 21).
A partir de los ABC se clasifican por riesgo global y se da una cobertura progresiva
empezando por los A.
Desde Forética se han impulsado dos iniciativas para evaluar la RSE de los proveedores.
Se puede encontrar información relativa a las mismas en los siguientes enlaces.
La norma SGE 21, en su apartado 6.4.3, habla de documentar la sistemática a seguir para
la homologación de los proveedores que previamente la organización ha evaluado y
Se debe resaltar que no existe un único camino para la consecución del compromiso de
los proveedores en la responsabilidad social corporativa y, es por ello, que cada empresa
debe encontrar la metodología que mejor se ajuste a sus intereses y necesidades.
Según señala Forética, las principales herramientas utilizadas a lo largo de las distintas
etapas del proceso de compra son:
En las siguientes figuras se puede ver cómo se articula todo lo anterior indicando también
las buenas prácticas y amenazas en cada fase.
Para poder lograr una buena relación con sus proveedores en términos de confianza y
larga duración, como se indicó al inicio de este capítulo, es fundamental que la
organización traslade a los proveedores lo que espera de ellos en el sentido amplio de la
RSC.
Por todo lo comentado en los apartados anteriores, queda claro que los proveedores son
uno de los grupos de interés más importantes de las organizaciones y un pilar
fundamental de la responsabilidad social debido a la deslocalización de la producción y
la complejidad asociada de seguimiento y control de sus actividades, entre otros.
Las organizaciones pueden optar por dos estrategias diferentes a la hora de afrontar la
relación con sus proveedores, tal y como señala Forética:
Según Intermón Oxfam 19 (s. f.), los códigos de conducta (inicialmente pensados para
las cadenas de proveedores, pero extensibles a toda la cadena de producción, ya sea
externalizada o no) deben exigir, como mínimo, el cumplimiento de los principios de la
OIT:
Forética (2017). SGE 21. Sistema de gestión ética y socialmente responsable. Madrid:
Forética.
Oxfam Intermón (s. f.). Una organización íntegra en la que confiar [en línea].
Recuperado de https://www.oxfamintermon.org/es/transparencia/organizacion-
integra
119
Capítulo 5: Entorno social y ambiental y relaciones con inversores, competencia y
Administración
La organización debe tener en cuenta las repercusiones que tienen sus procesos de
negocio, proyectos y actividades, en las comunidades en las que opera. Para ello, ha de
identificar y evaluar sus impactos sociales, tanto positivos como negativos, actuales y
potenciales, desarrollando planes de acción y medidas concretas para cada uno de ellos.
Esta identificación y evaluación debe revisarse anualmente y siempre que se produzcan
cambios significativos en la organización (Forética, 2017, p. 20)
Los impactos de las empresas pueden verse desde diferentes ópticas, ya que pueden
suponer impactos negativos, pero también impactos positivos sobre el entorno social que
rodea su actividad.
Desde el punto de vista de los impactos negativos, las comunidades donde se ubican
las industrias sufren directamente los efectos de cualquier tipo de contaminación que
deteriora el entorno, pone en riesgo la salud del medio y de las personas. Esto también
está relacionado con los impactos medioambientales.
Pero cuando son impactos positivos dichas comunidades se benefician del desarrollo
económico que proporcionan las empresas, de mejora en comunicaciones, inversiones,
etc. Siempre y cuando las organizaciones también minimicen sus impactos ambientales,
De este modo, las empresas pueden desarrollar su RSC invirtiendo para compensar los
impactos negativos, invirtiendo en la producción limpia de las empresas, contratando
trabajadores locales, promoviendo centros sanitarios, etc. De esta manera, se fomentan
las sinergias entre empresas y el entorno local o social, identificándose una con otra
positivamente.
Existen una serie de etapas que pueden resultar útiles a la hora de evaluar el impacto
social.
Cuanto mayor sea la organización, más detallado deberá ser dicho análisis, tendiendo al
objetivo que se propone.
Forética (s. f.). Vinculando RSE y competitividad en América Latina. Dossier IV:
Medición del impacto socioeconómico de las empresas. Recuperado de
http://www.foretica.org/csr_innolabs_medicion_impacto_socioeconomico.pdf
Inversión en la comunidad
Estas acciones han de estar alineadas con su visión estratégica y los valores de la
organización y se debería procurar la participación de los empleados a través de, entre
otras, acciones de voluntariado.
Debemos señalar que la «acción social» no se debe identificar únicamente con la RSC, ya
que la acción social de una empresa viene a ser la colaboración con objetivos
sociales ajenos al objeto de esta, como pueden ser donaciones a ONG, mecenazgo, etc.
Luego puede ser parte de la RSC, pero no debe reemplazarla. Así, por ejemplo, una
empresa con discriminaciones laborales y de igualdad puede patrocinar determinada
acción social, pero hay que señalar que dicha empresa no cumple totalmente con los
requisitos de la RSC.
Una de las mejores formas de integrar la RSC interna con la externa es el voluntariado
corporativo. Después de que las organizaciones logran sensibilizar a su personal sobre
su responsabilidad ciudadana, pueden conseguir que su inversión social se vea
complementada por el trabajo voluntario y el compromiso de su plantilla para el
desarrollo de acciones solidarias, de tal forma que se evidencie la coherencia entre las
políticas de responsabilidad social y los valores organizacionales con el vivir ético de la
gestión organizacional, más allá del beneficio que puedan lograr en posicionamiento de
imagen, beneficios fiscales y reputación.
Los objetivos de desarrollo del Milenio (2015) pueden ayudar a orientar las necesidades
de la comunidad a atender (exceptuando el número 7 relativo al medioambiente que será
referido en el apartado correspondiente), contribuyendo al cumplimiento de las metas
locales y regionales.
La organización debe tener en cuenta el impacto que sus procesos, actividades, productos
y servicios causan o pueden causar sobre el medioambiente en el opera, considerando su
cadena de suministro.
Por todo ello, y para conseguir un nivel de RSC adecuado, es necesario que las
organizaciones identifiquen sus aspectos e impactos ambientales asociados a sus
actividades y que no solo se limiten a los que se producen en el punto de fabricación o
prestación del servicio, sino que deben tener en consideración los aspectos ambientales
producidos aguas arriba y aguas debajo de su estricta actividad, los producidos en toda
la cadena de valor. Esto quiere decir que deben tener en cuenta todos los aspectos
ambientales directos producidos por la propia organización y que por tanto pueden
controlar, así como aquellos aspectos que sin producirlos directamente, la organización
puede influir sobre ellos, como los que generan proveedores o contratistas.
Estos aspectos ambientales identificados, así como los impactos que generan, deben ser
revisados de manera anual o cuando se produzca algún cambio significativo en la
organización, con el fin de asegurarse de que se mantienen, reducen o eliminan sus
efectos en el medioambiente.
En la misma línea del apartado anterior, la norma SGE 21 requiere que la organización
implante un programa de gestión que contenga objetivos y metas mensurables y
coherentes con su compromiso ambiental para minimizar los impactos de sus
actividades. Dicho programa debe revisarse anualmente y cuando se den cambios que
afecten o puedan producir impactos.
Este programa ambiental, por tanto, deberá ser coherente con los aspectos ambientales
e impactos identificados, ya que uno de sus fines a través del establecimiento de los
Este programa ambiental, para que resulte ejecutable, deberá incluir una información
mínima que se puede concretar en los siguientes apartados para cada objetivo o meta
medible:
» Plazo de consecución.
» Acciones por realizar para conseguir el objetivo o meta.
» Medios, es decir, los recursos económicos que se van a destinar para poder realizar
las acciones diseñadas y, por tanto, cumplir con el objetivo propuesto. En su caso,
podrán ser también medios humanos.
» Responsable de la consecución del objetivo.
» Indicador que permitirá medir y hacer un seguimiento en cuanto a la consecución de
cada objetivo.
» Seguimiento, período de tiempo dentro del cual se verifica el cumplimiento del
objetivo de manera parcial.
Unos buenos ejemplos de cómo elaborar este programa se pueden encontrar en los
siguientes documentos.
Consejería de Salud y Familias, Junta de Andalucía (s. f.). Gestión ambiental [en línea].
Recuperado de http://www.juntadeandalucia.es/ep-
hospitalponientealmeriagestion_ambiental.php?accion=pga
AENOR (s. f.). EMAS. Más allá de ISO 14001 [en línea]. Recuperado de
https://www.aenor.com/certificacion/medio-ambiente/reglamento-emas
Se han de mantener registros de dichos eventos, las medidas puestas en marcha para su
corrección y prevención, así como para la reducción de sus impactos y efectos adversos
en el entorno (Forética, 2017, p. 22)
En este tipo de planes es fundamental comenzar identificando cuáles pueden ser esos
escenarios de riesgo o situaciones de emergencia que pueden acontecer. Para ellos, la
Área de Medio Ambiente y Desarrollo Sostenible del Puerto de Santa María (s. f.).
Diagnóstico ambiental municipal: Riesgos ambientales. Recuperado de
http://www.elpuertodesantamaria.es/pub/mambiente/sep06/riesgosambientales.pdf
El cambio climático se produce por un aumento excesivo de los llamados gases con
efecto invernadero (GEI) en la atmósfera. Estos gases, como el dióxido de carbono,
el óxido nitroso y el metano, en proporciones normales, ejercen un efecto invernadero
sobre la tierra que es necesario para la vida en nuestro planeta. Cuando la radiación del
sol llega a la tierra, parte es adsorbida por ella y otra parte se refleja a la atmósfera y se
disipa. Cuando la concentración de estos gases en la atmósfera, como consecuencia de la
actividad humana (industria, agricultura y combustión de combustibles fósiles) aumenta
de manera significativa, todas las radiaciones que refleja la tierra quedan retenidas en
esa capa de gases y la tierra se calienta más de lo que debería. Así, en el último siglo las
concentraciones de estos gases han aumentado en un 30 % como consecuencia de la
actividad humana.
Pero además, tal y como indica la norma SGE 21, se deberán conservar registros de los
resultados de las acciones llevadas a cabo para disminuir las emisiones de GEI adoptadas
por la organización. En el siguiente enlace es posible descargarse un documento en el
que Iberdrola pone de manifiesto el registro de los GEI en función de sus actividades.
Martín, L. (27 de abril de 2012). Consume con cabeza, por el planeta [en línea].
Recuperado de https://www.compromisoempresarial.com/rsc/medio-
ambiente/2012/04/consume-con-cabeza-por-el-planeta/
Desde Forética también existe un compromiso de lucha contra el cambio climático que
se manifiesta en el clúster de cambio climático, donde varias empresas, junto con
Forética, realizan diferentes iniciativas con el fin de contribuir a la mitigación de este. En
el siguiente enlace se puede consultar la información del clúster.
La relación de la organización con sus inversores debe seguir los principios rectores de
transparencia, lealtad y creación de valor de forma sostenible. Para ello, ha de formalizar
un protocolo de relaciones con inversores o código de buen gobierno, que pondrá a
disposición de estos. En dicho protocolo, la organización definirá al menos los siguientes
elementos:
a. Las relaciones entre propiedad y gestión de la organización.
b. El contenido de la información periódica que se pondrá a disposición de los
inversores.
c. La frecuencia de dicha información.
» Relación entre propiedad y gestión de la organización. Para esto también hay que
establecer vías de diálogo idóneas y analizar resultados de las respuestas que se
reciban. En este aspecto, una organización ha de ser clara y transparente con lo que
pretende y lo que recibe como resultado de dicho análisis.
» Indicar la información que periódicamente facilitarán a los inversores.
» Periodicidad con que se facilitará dicha información.
» Medios por los que el inversor podrá pedir y recibir información. De nuevo acudir a
vías de diálogo o comunicación más idóneos.
La organización deberá hacer públicas y accesibles sus cuentas anuales (Forética, 2017,
p. 23).
Médicos del Mundo es un ejemplo de organización que expone sus cuentas anuales
públicamente. En su página web ponen de manifiesto la importancia que tiene la
transparencia, característica clave de la RSC, en todas sus actuaciones, como elemento
básico de intercambio orientado a promover una mayor participación e implicación de
quienes forman parte de la organización. En el siguiente enlace se puede encontrar la
política de transparencia llevada a cabo por esta ONG.
Médicos del Mundo (s. f.). Auditorías y sellos de transparencia [en línea]. Recuperado de
https://www.medicosdelmundo.org/quienes-somos/auditorias
Competencia leal
Es por ello por lo que los estados crean organismos que vigilan la competencia de los
mercados, para evitar monopolios y oligopolios, es decir, intentan evitar el tráfico de
información privilegiada para el enriquecimiento de unos poco en detrimento del resto.
Así, en España como en Europa, existen mecanismos para la defensa de la
competencia.
En el mercado de valores tenemos al organismo que vigila para que este funcione
correctamente: la Comisión Nacional del Mercado de Valores o la Comisión
Nacional de la Competencia, que ya está integrada con la Comisión Nacional de los
Mercados y Competencia. Es el organismo público encargado de preservar, garantizar y
promover la existencia de una competencia efectiva en los mercados en el ámbito
nacional, así como de velar por la aplicación coherente de la Ley de Defensa de la
Competencia mediante el ejercicio de las funciones que se le atribuyen en esta y, en
particular, mediante la coordinación de las actuaciones de los reguladores sectoriales y
de los órganos competentes de las comunidades autónomas, así como la cooperación con
los órganos judiciales competentes.
En cuanto a la relación con sus competidores, la norma SGE 21 aboga por el respeto al
derecho de propiedad de estos. En el caso de surgir controversia, y para resolverla, remite
a acuerdos entre las partes o fórmulas de arbitraje.
Será preciso también mantener un registro actualizado que contenga las denuncias y
requerimientos realizados por los competidores. En el siguiente enlace se puede leer un
artículo del abogado José Massaguer en torno a las prácticas comerciales agresivas como
competencia desleal.
Para más información sobre las prácticas comerciales desleales también se puede visitar
el siguiente enlace.
EUR-Lex (s. f.). Prácticas comerciales desleales [en línea]. Recuperado de http://eur-
lex.europa.eu/legal-content/ES/TXT/?uri=URISERV%3Al32011
Cooperación y alianzas
Corresponsables (26 de junio de 2012). UNICEF busca acercarse a sus empresas aliadas
y colabora con Quiero para dicho reto [en línea]. Recuperado de
http://www.corresponsables.com/actualidad/unicef-busca-acercarse-sus-empresas-
aliadas-y-colabora-con-quiero-para-dicho-reto-0
Administraciones públicas
En este punto vemos que se dan coincidencias con otros sistemas de gestión como, por
ejemplo, el de calidad según normas ISO 9001, el de gestión medioambiental ISO 14001
o el de seguridad y salud en el trabajo en base al estándar OHSAS 18001.
Fiscalidad responsable
La relación que se deberá tener con las administraciones públicas debería ser la de un
colaborador de la organización, no la de una mera barrera administrativa y
legislativa para el desarrollo de la actividad correspondiente en cada caso.
Hay que señalar que las empresas deben cumplir con las obligaciones legales y
normativas que les son de aplicación en cada país donde desarrollen su actividad como
mínimo, aparte de los compromisos que quieran adoptar.
Por ello, las organizaciones deben establecer mecanismos que le permitan una
comunicación bidireccional y un diálogo permanente con los entes públicos que
tienen presencia en su territorio, de tal forma que logre informar y ser informada sobre
diferentes temas de interés común, para unificar esfuerzos en el desarrollo de proyectos
que contribuyan al bienestar social y la promoción de una cultura ética y responsable, a
través de la cooperación y el establecimiento de alianzas.
Forética (2017). SGE 21. Sistema de Gestión Ética y Socialmente Responsable. Madrid:
Forética. Recuperado de http://www.foretica.org/norma_SGE_21.pdf
144
Capítulo 6: Sistemas de gestión I+D+i
Muchas son las organizaciones que han caído por dejar de innovar (de pedalear) cuando
estaban en la cima. Por ejemplo, las líneas de transporte en Estados Unidos (las famosas
diligencias) no supieron ver el potencial de los ferrocarriles; el éxito de estos supuso el
finiquito de las diligencias y su posterior desaparición.
Un ejemplo mucho más reciente es la caída de Kodak, una de las empresas más
importantes de los Estados Unidos y claro ejemplo del mercado hostil, que no perdona
el «dejar de pedalear».
Por todo ello, se puede deducir que es necesario analizar los hábitos de vida, analizar
otros mercados cercanos, aprender de las «experiencias de otros», analizar las
Globalización
Competitividad
PROGRESO
Innovación
Figura 1. Progreso.
Como resumen, es preciso tener en cuenta que, para progresar en un mundo altamente
competitivo (complejo, diverso y hostil) y globalizado, es necesario innovar para
poder progresar.
a que se vayan a la competencia. Escuchar sus sugerencias, sus ideas, hacerles sentirse
partícipes de ese pulso de la empresa y alimentar su curiosidad (ganas de investigar) de
aprender (incluso de otras empresas de la competencia). Todo esto proporcionará un
equipo humano capacitado para enfrentarse a cualquier nuevo reto e identificado con el
proyecto de empresa.
Las normas UNE que hablan de la innovación en concreto son las siguientes:
Las políticas de ciencia y tecnología que las empresas españolas deben marcarse en el
período 2013/2020 se pueden resumir de la siguiente manera:
Objetivos
» El fomento de la investigación científica y técnica de excelencia.
Intuición: siempre se ha pensado que la estrategia nace de una comprensión del futuro,
en definitiva, un tablero de ajedrez ordenado, pero la realidad que rodea a una empresa
es compleja, diversa y hostil. Esto proporciona cambios rápidos en un futuro
incognoscible, en el que la intuición es básica para dirigir el rumbo. Hasta ahora se han
reconocido tres tipos de intuiciones: la ordinaria, la experta y la estratégica.
» Intuición ordinaria: es cuando algo se hace sin pensar, no se sabe la razón por lo que
se ha hecho así.
» Intuición experta: sucede algo y hace que se pueda reconocer algo familiar. Un
ejemplo es la persona que entrena artes marciales (por ejemplo, Aikido), le atacan con
un puñetazo a la cara, analiza la velocidad, potencia, etc. y reacciona parando el
ataque. Esto es válido para situaciones concretas, pero no para la gestión de la
innovación. En ocasiones la experiencia acumulada como gestores hace crear unos
pares acción-reacción que no dejan lugar para la innovación; es más, eliminan
cualquier posibilidad de innovación.
» Conocer lo que motiva a la empresa: conocer a la propia empresa, saber por qué
se es diferente al resto, los puntos fuentes, débiles, las metas, etc.
» Asumir riesgos: hay que perder el miedo a confundirse, sin riesgo no hay
innovación, se repetirá lo ya conocido en entornos controlados. El riesgo es mucho
menor, pero la innovación es nula.
Si se representa gráficamente:
El mercado está lleno de ideas inútiles que no sirven para nada, que en el mejor de los
casos supone un despilfarro de imaginación, de medios y recursos.
Evidentemente resulta mucho más sencillo y barato encender un cigarro con un mechero
y más aún si hay que llevar la lupa en el bolsillo. Por tanto, si la idea está en esta etapa se
debe replantear el proyecto, tal como se define en la figura anterior.
Para valorar la utilidad de un producto de forma numérica y que sea algo subjetivo se
puede hacer con una matriz de valoración:
Necesidad 2 3 2 1
Simplicidad 4 3 2 1
Comodidad 4 3 3 1
35
Diversión 2 3 1 1
Imagen social 4 4 2 1
V. Total 47
Hay que tener en cuenta que los valores serían: 1=poco, 2=algo, 3=bastante y 4=mucho.
Dicha matriz se compone de 20 casillas para valorar, con un valor máximo de 4, luego la
puntuación máxima a obtener es de 80 puntos.
Así se podrán recoger todas las ideas de todo el equipo y ser independientes a la hora de
valorar las ideas entre todos. Las razones de éxito pueden variar para distintos
productos, mercados, etc.; lo único que no se pueden hacer es «trampas al solitario,
deben ser consensuadas con el grupo.
Desde hace siglos, no pocos inventores trabajan en la construcción de una máquina que
no necesite energía y no pare nunca. Tal vez si alguien lee estas líneas dentro de mucho
tiempo piense que soy un iluso, pero la realidad del siglo XXI es que esto no es posible.
Queda claro que hay que comprobar que la innovación es posible de fabricar con
los medios técnicos, materiales y tecnología disponible en estos momentos; perseguir
quimeras no entra dentro del campo de la innovación.
Si no pasa el filtro de la fase dos, el proyecto volverá a la fase uno para su modificación,
hasta que supere la fase.
Esta fase es muy importante. Basta citar como ejemplo a todas las empresas de low cost
que venden productos a precio asequible con una calidad aceptable y en más de una
ocasión innovación y diseño.
También se pueden citar como ejemplo de innovación todas las agencias de viajes online,
que han surgido de la noche a la mañana, donde el cliente puede configurar su viaje y
escoger la mejor opción. Esto hace peligrar a medio plazo el negocio de las agencias de
viajes, pero sin duda el precio de mercado que ofrecen las agencias online se acomoda
más a los gustos de los clientes.
Se debe analizar el mercado, por si existiera algún producto similar o que pueda ser
competidor y tomar como referencia su precio en el mercado para estudiar las ventajas
sobre el mismo. Ejemplo: Fijación de precios a un teléfono móvil
Habrá que pensar al sector del mercado al que va dirigido, persona joven, adulto,
empresario, estudiantes etc., dado que los requisitos serán distintos.
Mirar marcas similares en el mercado: analizar la competencia y ver los precios que
tienen para productos similares.
En el precio puede ser decisivo que el producto sea único en el mercado, que esté
protegido por temas legales (patentes, etc.), en caso contrario de no tener protección, de
ser un producto ya explotado por otras marcas, el precio se verá muy influenciado por la
competencia.
Una vez sabido el precio que está dispuesto a pagar el mercado por el producto se debe
analizar claramente si se puede hacer. Para ello hay que:
Escandallo detallado de costes: los costes de todas las partes que participan en el
proyecto:
e. Etc.
5. Beneficio industrial.
6. Costes de la comercialización.
Comprar con el precio de coste objetivo definido en el inicio del proyecto con el real
de mercado. Pensando en el proyecto inicial de fabricación de teléfonos móviles, se
supone que su precio de mercado es de 150 € (Samsung Galaxy mini de 160 €, modelo
Nokia similar 175 €) y el coste de fabricación es de 50 €. En este caso se puede decir que
el producto lo estamos fabricando a un coste razonable, ya que permite soportar el
beneficio industrial, el margen del minorista y el del vendedor a detalle. El único
problema en ese caso será la definición de las barreras de precios para cada uno de los
actores en la cadena de valor y los beneficios que le corresponden a cada una de las
partes.
Lo primero que se debe hacer antes de salir al mercado es analizar si el producto es viable,
ya no sobre el papel, sino en la realizada. Para ello, se fabricarán unos prototipos y se
seguirán las siguientes fases:
Realización del producto/servicio: hay que fabricar los primeros prototipos lo más
parecidos a los que se vayan a comercializar (componentes, cableados, carcasas, etc.),
aunque sean montados de forma artesanal; deben simular la misma calidad de producto.
En este apartado se deben tener en cuenta las diferencias que se encontrarán si
fabricamos un producto o se está diseñando un servicio.
Productos Servicios
Son elementos tangibles, por lo que al diseñar Los servicios son intangibles con lo que siempre
podemos definir con facilidad las características tendremos dificultades para definir sus
de los materiales. Por ejemplo: Un teléfono características. Por ejemplo: la atención
ciudadana en la administración.
No se consume a la vez que se produce. Esto nos El consumo del servicio por el cliente coincide
permite tener retroinformación para corregir en el tiempo con la generación del servicio,
posibles fallos. Ejemplo: un teléfono con la estamos en directo. En el caso de la atención
carcasa defectuosa, la podemos cambiar antes ciudadana, si cometemos un fallo y hay un mal
de entregárselo al cliente. entendido no tenemos una red para
solucionarlo, ya ha pasado
Preparar los chequeos del producto en planta: hay que simular las condiciones
de uso para las que han sido diseñados los productos y en las que trabajarán a lo largo de
su vida, de la forma más fiel que se pueda ser capaz. Se someterán a ensayos de vida,
estrés, envejecimiento (simulando condiciones extremas como nieblas salinas, etc.), se
tomarán nota de todas las anomalías que puedan surgir. Estas anomalías deben de ser
analizadas y solucionadas antes de comercializar el producto en el mercado.
Las preguntas de validez del producto irán alineadas y serán coherentes con el tipo de
producto que se tenga, es absurdo preguntarse si mejora su imagen social si lo que se
quiere evaluar es un modelo nuevo de tiritas, no así si se habla de un modelo nuevo de
coche.
Una vez detectados los posibles problemas, antes de comenzar a fabricar en serie el
producto, habrá que analizar los problemas que hay. Para ello existe una gran variedad
de métodos en el mercado, AMFE (análisis modal de fallos y efectos), Ishikawa, etc.
El método AMFE: se aplica entre otros campos a la mejora (tanto de procesos como
de productos) y se basa en analizar el futuro producto y estudiar los fallos que se podrían
producir y las causas y los efectos derivados del modo de fallo previsto. Esto sin duda
ayudará en la fase de desarrollo del producto, no solo en la reducción de costes, sino en
la fiabilidad del desarrollo del proceso o producto innovado. El AMFE tiene un carácter
preventivo, es un método sistematizado, que permite una priorización de las acciones y
facilita la participación de todos.
Es importante llegar a las causas-raíz, para que la acción correctiva propuesta se muestre
eficaz y que no aparezcan los fallos en el cliente.
Para calcular el NPR (número de prioridad del riesgo) que definirá las prioridades en la
actuación, habrá que tener en cuenta los siguientes índices:
» Gravedad.
» Ocurrencia.
» Detección.
NPR = G x O x D
Los valores más altos indicarán la dirección en la que se deben priorizar los esfuerzos.
Para cada uno de los aspectos (gravedad, ocurrencia y detección) se valora del 1 al 10 en
base a su importancia. Para hacerlo de forma sistematizada, se recomienda emplear las
tablas editadas para este fin.
La dotación de medios:
» RRHH.
» Infraestructuras.
» Económicos.
» Etc.
En definitiva, se debe hacer una fabricación que satisfaga las expectativas que el cliente
tiene del producto, aplicando para ello la mejora continua basada en el ciclo de Deming.
No conformidad
Análisis
Determinación de causa
Cumplimiento
Seguimiento
Eficacia
Tras analizar el cuadro, se deben mejorar los puntos débiles para intentar convertirlos
en fortalezas o, en el peor de los casos, «disimularlos» ante la competencia.
Las fortalezas hay que mantenerlas, publicitarlas incluso, puede ser un argumento de
venta del producto en más de una ocasión.
Las oportunidades son para aprovecharlas y se tienen que ver en todo momento, incluso
en los momentos adversos o en las crisis.
Hay que recordar que se está hablando de un proceso basado en la mejora continua y «lo
que no se mide nunca se mejora», por ello se deben establecer unos objetivos que sean
de la siguiente manera:
Como es lógico, habrá que definir una estructura de la organización que esté
implicada en el proceso de innovación. Al igual que sucede con cualquier otro sistema de
gestión (ISO 9001, 14001, 20000-1, 27001, etc.), es muy importante que la dirección esté
implicada, es quien tiene que liderar el proceso, debe transmitir a la organización la
importancia de la innovación, así como la implicación que se espera de cada uno de los
participantes.
Probablemente, el factor más influyente para llevar a cabo la innovación con éxito en la
empresa es el recurso humano que define el equipo de trabajo. Durante el proceso de
innovación se necesitan diferentes competencias y habilidades, por lo que es muy
importante asegurar que se cuentan con ellas para poder dar el enfoque adecuado en
cada momento.
Los problemas son idénticos en ambos casos, lo único que ha variado es el tamaño, ya no
los sufre una persona, sino que ahora es un departamento. A pesar de todo, actualmente
en la empresa es muy frecuente encontrarse estas figuras.
Al igual que sucede con la calidad, la figura de los comités de trabajo, en el caso de la
innovación, constituye una forma muy eficaz de abordar la innovación, ya que se
consigue involucrar a personas de distintas áreas, con distintas visiones de la
organización (sus procesos, sus productos, etc.).
El funcionamiento de estos comités debe ser muy similar a los de calidad (con más
experiencia en la industria) y tiene unos pasos clave:
El comité debe estar formado por personal de todas las áreas de influencia de la empresa,
aportando conocimientos y enfoque desde las distintas áreas. Se pueden citar como
ejemplo las siguientes:
» Área comercial. Trata la visión del cliente o destinatario del producto o servicio.
Esta área aporta una visión interesante del exterior de la organización y es muy
importante su visión sobre todo en la detección de nuevas necesidades de clientes o
de oportunidades de mercado.
Es importante que en el comité haya personas con capacidad de decisión, sobre todo que
sean cercanos a la dirección o incluso que pertenezcan a la misma. Esto permitirá tomar
decisiones ágiles y rápidas, sobre todo en la dotación de recursos para el desarrollo de
los proyectos.
Algunas de las funciones que puede desarrollar un comité de I+D+i son las siguientes:
La norma UNE 166002 hace referencia a dos grupos de trabajo dentro del sistema de
gestión de I+D+i:
sea destruido por el trabajo diario. También hará reflexionar sobre la importancia de la
innovación, frente a la urgencia de las actividades diarias en la organización.
En primer lugar, se deben separar los proyectos por grupo (proyectos de innovación de
producto, de procesos, de servicios, etc.), para posteriormente evaluarlos por el riesgo
que estos tienen.
Otro concepto a tener en cuenta es el riesgo que tiene asociada toda innovación. Esta
puede variar si es un pequeño restyling o un cambio radical del producto anterior. La
decisión puede variar mucho dependiendo del tipo de empresa, no es lo mismo una
empresa conservadora con sus productos o servicios o una empresa muy agresiva que
basa todo su éxito en la innovación del producto, sin reparar en otros conceptos.
Dependiendo del tipo de empresa, se puede hacer su análisis con una gráfica donde se
una inversión y riesgo.
Proyecto 1: inversión
5
50 000 €, riesgo 1
Proyecto 2: inversión
4
100 000 €, riesgo 3
Proyecto 3: inversión
3
150 000 €, riesgo 5
Proyecto 4: inversión
2
200 000 €, riesgo 4
Proyecto 5: inversión
1
200 000 €, riesgo 1
Tal y como se ve en el ejemplo de la matriz anterior, el orden de trabajo para una empresa
conservadora, respecto al riesgo, será el siguiente:
Si por el contrario lo que prima es asumir riesgos, en base a su innovación, sin importar
el importe de la inversión necesaria y primando el riesgo, la clasificación sería:
Una vez seleccionado el proyecto, se tendrá que pasar por una serie de fases para
proceder a su desarrollo. A modo de ejemplo, las diferentes etapas se podrían secuenciar
en el siguiente diagrama.
Realidad
Planificación,
Desarrollo y Medición y
Idea Provisión de
Oportunidades
ejecución análisis
recursos
Mercado
OK
NO OK
Fabricación y
distribución
La serie de normas UNE 166000 se ha desarrollado para mejorar los procesos de I+D+i.
Las normas que componen esta serie son las siguientes:
» UNE 166000, que establece la terminología que se utiliza en las diferentes normas de
esta familia.
» UNE 166001, que establece los requisitos de los proyectos de I+D+i.
» UNE 166002, la más relevante de este conjunto, que establece los requisitos de un
sistema de gestión de la I+D+i.
» UNE 166004, que establece los criterios de competencia y evaluación de los auditores
de sistemas de I+D+i.
» UNE 166005, una guía de aplicación de la norma UNE 166002 a los bienes de equipo.
» UNE 166006, que establece las características y requisitos de un sistema de vigilancia
tecnológica.
» UNE 166007, una guía de aplicación de la norma UNE 166002.
» UNE 166008, que permite realizar de forma estructurada la transferencia de la
tecnología en las organizaciones.
» Se debe delimitar, designando un grupo que estudie los documentos y los analice
antes de implantarlos. De esta forma, se evitará la aparición de formularios «no
oficiales» y que están fuera del sistema.
» Ser compresible y de fácil manejo. Se persigue que se entienda con facilidad, se
recuerde mejor, se lea con rapidez y se utilicen unos formularios sencillos de rellenar
que ayuden a registrar, medir y mejorar el sistema.
» Algunas sugerencias en la redacción:
o Codificar los documentos (ejemplo: situar en su parte superior derecha, número,
asunto, fecha, etc.).
Los registros son la evidencia de lo que se ha hecho, que se encuentra definido en los
procedimientos del sistema de gestión.
Política de I+D+i
Al igual que en otros sistemas de gestión (ISO 9001, ISO 27001, etc.), la norma UNE
166002 recoge los requisitos a cumplir por la política de I+D+i:
diferentes políticas en una sola. La finalidad es tener una política común que unifique los
requisitos de todas las normas que tenga implantadas.
Ejemplo de política
Política I+D+ i
Ibertroc, empresa líder en el sector energético que se dedica a prestar servicio con fuentes
energéticas limpias a nivel mundial, considera la innovación como un factor clave para
llegar a ser un referente en el mercado, consolidar nuestro posicionamiento y desarrollar
la tecnología o mejorar la actual, de forma que nos permita aportar valores añadidos a
nuestros productos actuales y futuros.
Por todo ello, la dirección tiene interés en incorporar la I+D+i en su estrategia de gestión
y para ello establece la presente política de I+D+i, se aprueban objetivos concretos y
coherentes con esta política y se compromete a comunicarla a todos los niveles de la
empresa, a ponerla a disposición de cualquier grupo de interés, a revisarla de forma
periódica para su continua adecuación y a proporcionar los recursos necesarios para
cumplir con todos los requisitos de aplicación.
Objetivos de I+D+i
Los objetivos I+D+i deben ser coherentes con la política de la empresa y, además, ser
medibles, consensuados y alcanzables.
Los objetivos deben estar documentados. La norma UNE 166002 establece que se han
de tener en cuenta los requisitos aplicables en su definición, y es importante que su
definición vaya orientada a satisfacer las necesidades de las diferentes partes interesadas
(trabajadores, clientes, accionistas, proveedores, entorno social, etc.).
A continuación, se recogen algunas áreas de interés sobre las que la organización podría
establecer sus objetivos, así como algunos aspectos que podrían ser medidos para
realizar el seguimiento:
» Satisfacción de los clientes: encuestas (físicas o enviadas por correo) sobre las
innovaciones y los productos y/o servicios.
» Satisfacción de la empresa:
o Incremento del porcentaje de éxito de los nuevos proyectos, basados en la
metodología de trabajo, desarrollada y apoyada en la norma UNE 166001.
o Incremento en la aparición de nuevos proyectos de I+D+i, lo que da:
• Incremento de facturación.
• Más estabilidad en el mercado, basada en la innovación de los productos/
servicios.
Provisión de recursos
La organización debe dotar de recursos tanto para la gestión del proceso de I+D+i, como
para fomentar la innovación. Estos recursos pueden ser de varios tipos:
» Otras herramientas de I+D+i: que permitan una vigilancia tecnológica adecuada del
entorno e identificar las necesidades de la unidad de I+D+i.
La organización aportará unos recursos para que sean gestionados y como resultado se
desarrollarán nuevos proyectos de I+D+i. Estos recursos son necesarios para lo
siguiente:
Los comités de I+D+I o departamentos deben establecer una metodología para poder
documentar todos los pasos que han dado en el desarrollo del proyecto. Como puntos
interesantes se pueden definir los siguientes:
Una vez medidos los resultados, se analizarán y se actuará sobre las desviaciones
detectadas:
Auditorías internas
Hay que garantizar la idoneidad de los procesos para alcanzar aquellos resultados
esperados y planificados en:
Estos indicadores, serán analizados y seguidos por el comité de I+D+i, a fin de analizar
la idoneidad del sistema de gestión de la organización, su correcta implantación y
gestión.
Al igual que en el caso de los indicadores, se valorará que los resultados obtenidos
satisfacen a los grupos de interés:
» Accionistas.
» Clientes.
» Empresa.
» Trabajadores.
Con la revisión por la dirección se obtendrá una mejora en la eficacia del sistema de
gestión de I+D+i, mediante la mejora del uso de los recursos y la detección de
necesidades presentes y futuras.
La mejora continua del sistema de gestión I+D+i debe ser un objetivo permanente en la
organización.
Para ello, tras la medición de los resultados y procesos se analizarán las desviaciones y
sus causas raíz para adoptar las medidas más adecuadas y, finalmente, se evaluará su
eficacia.
183
Capítulo 7: Sistemas de gestión de seguridad de la información
7.1. Antecedentes
INFORMACIÓN
ADQUISICIÓN
ALMACENAJE TECNOLOGÍA
TRANSMISIÓN
TECNOLOGÍAS DE LA INFORMACIÓN
Los fuertes avances tecnológicos vividos en las últimas dos décadas han ayudado
significativamente a que todo este proceso se lleve a cabo. La información de todo tipo
fluye a velocidades difícilmente controlables, lo que ha originado que la cultura
financiera del cliente actual sea muy superior a la de años atrás.
» Calidad de los productos y los servicios que dispone tanto para su venta externa
como para su uso interno. No hay que olvidar que la empresa no solo dispone de
clientes finales o externos (el consumidor), sino también de partes interesadas
internas (los trabajadores).
De este modo las empresas se ven presionadas a tomar diversas medidas para minimizar
los impactos sobre sus grupos de interés ante las nuevas amenazas asociadas a su nuevo
entorno. Asociados a los mismos y relativas a los modos de operación ante las nuevas
amenazas aparecen los sistemas de gestión de seguridad de la información.
La información de una organización, junto con los procesos y sistemas que hacen uso de
ella, son activos muy importantes porque pueden llegar a ser esenciales para lograr unos
niveles elevados de rentabilidad, de competitividad y de imagen, necesarios para lograr
los objetivos marcados por la organización.
Dentro del ámbito de los sistemas de gestión de seguridad de la información se tiene que
realizar la siguiente matización. La información no es solo aquello que se ve contenido
en CD, DVD, vídeo, audio, documentos, etc. En este caso, se entiende la información de
un modo más general.
La norma ISO/IEC 27000 define la información como un activo que, del mismo modo
que otros importantes activos empresariales, tiene valor para la organización y, por
tanto, ha de ser protegido adecuadamente.
Al considerar este nuevo matiz dentro de la definición inicial dotada para la información,
la gestión adquiere un nuevo tono. Para poder gestionar la información, lo primero que
se debe hacer es organizarla. La información puede clasificarse conforme a su naturaleza,
repercusión, etc. Dentro del ámbito de los sistemas de gestión, interesa clasificarla
conforme a la confidencialidad, integridad y disponibilidad de esta.
INFORMACIÓN
CONFIDENCIALIDAD
INTEGRIDAD AMENAZAS
DISPONIBILIDAD
El sistema de gestión de seguridad debe formar parte y estar integrado en los procesos
de gestión de la organización. De la misma manera, la seguridad de la información debe
tenerse en cuenta durante el diseño de los procesos, los sistemas de información y sus
controles.
La norma ISO 27001 es un ejemplo de herramienta que proporciona los requisitos para
establecer un SGSI dentro de una organización. Por ello, aporta toda la información que
una empresa pueda necesitar para implementarlo.
En el caso de este sistema de gestión, no contempla como clientes a nada que no sea la
información. No tiene en consideración a los clientes internos, ni a ningún grupo de
interés de forma objetiva como diana en el sistema de gestión.
Los clientes, proveedores, términos legales, etc. son considerados únicamente inputs del
proceso de gestión. El objetivo del sistema de gestión es la información para su gestión,
a través de las siguientes acciones basadas en el ciclo de mejora continua o ciclo PDCA:
Cumplimiento
Información de
Cliente interno legislación Legislación
contacto
vigente
Hay que recordar que, al igual que en todos los sistemas de gestión, las responsabilidades
de las personas encargadas de su gestión no se pueden delegar.
Según la naturaleza de la actividad variarán los activos de la empresa, así como el tipo de
información contenida en ellos, las amenazas asociadas, la probabilidad de estas, etc.
Un mismo activo puede ser empleado en diversos procesos. Al analizar los procesos de
la empresa, desde el punto de vista de seguridad de la información, se debe tener cuidado
de tomar todas las consideraciones no solo referentes a cada activo relativo a cada
proceso particular, sino su implicación en el resto de los procesos transversales a los que
pertenece.
Criticidad
información. A veces se pueden poner barreras en el entorno para evitar un mal uso de
esta.
Información Información
Información alta
básica media
AMENAZAS
¿Problema
Actuaciones
potencial?
específicas según
el tipo de
información y
soporte Sí No
Hay que recordar que la gestión de la información contenida en los activos de seguridad
de la información para activos fijos resulta sencilla. El problema resulta con todos
La educación de los usuarios para el uso y empleo de dispositivos móviles, así como la
implementación de políticas orientadas para sus buenos usos puede redundar en el éxito
de una sana gestión de la información, minimizando los impactos asociados a dichos
activos.
Los elementos tecnológicos de naturaleza móvil deberían, para su buen uso, verse sujetos
a una política de gestión de recursos, así como verse amparados por medidas de
seguridad tales como las que se describen a continuación.
Dispositivos de almacenamiento portátil, tales como discos duros externos, USB, etc.,
deberían disponer de un sistema de encriptación de datos. El objetivo de dicho
sistema es mantener los datos bajo una barrera lógica que dificulte el acceso a los
mismos.
Adicionalmente, el empleo de puertos USB para los equipos fijos, debido a la masividad
de uso de dispositivos móviles, debería verse condicionado, estando por defecto el uso
de estos limitado. Esto presenta un problema con el desarrollo tecnológico actual, dado
que no solo los dispositivos de almacenamiento de datos necesitan de un acceso a puerto
USB; es el caso de periféricos como ratones, teclados, impresoras, etc.
Las contraseñas tendrán una caducidad semanal para evitar su mal uso y afianzar una
mayor seguridad. Un ejemplo de contraseña segura, bajo dichos estándares, sería la
siguiente: Un1v∑rS1d4dR10j4
Para la inclusión de caracteres, tales como ∑, en una contraseña habrá que pulsar
alternativa gráfica Alt Gr dentro del teclado del ordenador, seguido de la secuencia ASCII
del símbolo. Se puede encontrar una tabla ASCII en el siguiente enlace:
http://www.asciitable.com/
Hay que recordar que los métodos de validación de contraseñas, típicamente, no admiten
espacios pudiendo sustituirse estos, en ciertos casos, por barras bajas «_». Se
recomienda como buena práctica para el uso de políticas de contraseñas evitar nombres
identificables seguidos de números, por ejemplo: «PeDr01».
Cuanta más información visible disponga dichas tarjetas, mayor vulnerabilidad se genera
tanto sobre la persona física como sobre la ubicación específica de la organización.
Cabe realizar una mención especial a un caso particular: el acceso remoto a recursos
de red. Si bien es cierto que, estrictamente hablando, un servidor o un recurso de red no
es un elemento móvil, el acceso a remoto a dichos recursos sí que resulta un problema.
Tal es el caso de redes VPN, acceso a servidores de archivos tanto propietarios como en
la nube, acceso remoto a herramientas web. Se debe considerar para ello lo siguiente:
Hay que tener cuidado con dónde se encuentra el servidor y el tipo de datos en él alojado.
El problema lo aporta la nube de datos. Debido a la LOPD no es posible alojar datos
de carácter personal en la nube dado que, por definición, la nube imposibilita ubicar el
emplazamiento físico del servidor donde se tienen dichos datos.
Esto provoca que diversos técnicos informáticos necesiten configurar equipos ajenos a la
organización para su uso contra los recursos externos por ella facilitada.
Métodos de validación
Los métodos de validación más empleados hoy en día son la firma digital, a través de
certificados digitales, así como el clásico loggin.
Para una eficiente gestión de contraseñas, diversas compañías implementan todos los
certificados en una tarjeta inteligente unipersonal para los usuarios que permite hacer
un loggin general en las aplicaciones y firmar con el certificado la documentación que
generen. Así, a través de la tarjeta, buscan un elemento físico que apoye al sistema lógico
que gestiona las aplicaciones.
Los métodos de validación afectan también a las comunicaciones dado que las VPN,
según su configuración, se basan en el envío de un paquete de validación para la
identificación del usuario dentro de la red.
Seguridad en la comunicación
Hay que tener cuidado con la segregación de las redes. En la medida de lo posible las
redes de «cortesía», entre las que se pueden ubicar, por ejemplo, wifis de acceso para
personal ajeno a la empresa, deberán estar separadas de las redes de comunicación
interna de la organización para evitar una intrusión no deseada.
A día de hoy basta con un acceso a Internet, descargarse una herramienta gratuita de
análisis de red y acceso a videotutoriales para romper una parte importante de las redes
wifi existentes. Si bien existen contramedidas, la mejor de todas, sin duda es la del no
uso de redes wifi por parte de la organización.
Seguridad en la comunicación
Antecedentes
La última versión del estándar ISO 27001 ha sido el resultado de la evolución de varios
estándares a lo largo de los años. La cronología que manifiesta el origen y evolución de
dicha norma es la siguiente:
La versión del 2017 de la norma ISO no se ha visto afectada y los cambios no suponen
nuevos requisitos. Estos cambios se han introducido para enfatizar la aprobación del
CEN/CENELEC a través de la designación EN (europea). Es decir, esto no supone un
cambio en la ISO/IEC 27001:2013, es simplemente una actualización que refleja la
aceptación del CEN/CENELEC. Es decir, en la versión del 2017 no hay requisitos nuevos
especificados ni requisitos modificados con respecto a la versión del 2013. Esto significa
que el sistema certificado bajo ISO/IEC 27001:2013 sigue cumpliendo bajo ISO/IEC
27001:2017. Las correcciones solo agregan claridad y especificidad al estándar existente.
En 2001 los trágicos hechos sucedidos en EE. UU. en las Torres Gemelas dejó en
relevancia una situación vital para las empresas en cuanto a la gestión de la seguridad de
la información.
La norma ISO 27001 constituye la referencia de los requisitos bajo los que ha de operar
un SGSI. Es una norma certificable, por lo cual, constituye una de las normas a emplear
durante la auditoría de certificación. Especifica los requisitos tanto para establecer como
para implementar, operar, monitorizar, revisar, mantener y mejorar un SGSI.
La norma ISO 27001 es aplicable a cualquier organización sin importar el tipo, tamaño y
actividad. Es integrable con otros sistemas de gestión tales como calidad (ISO 9001),
medioambiente (ISO 14001), servicios (ISO 20000-1), etc.
La norma ISO 27001 no es la única forma bajo la que puede operar e implementar un
SGSI si bien constituye el estándar más extendido para esta función.
La ISO 27002 define una serie de objetivos de control y gestión que deberían ser
perseguidos por las empresas. Esta norma desarrolla un proceso equilibrado entre la
seguridad física, técnica, así como entre procedimientos y seguridad del personal. Su
cumplimiento no garantiza el cumplimiento de la norma ISO 27001.
Las normas ISO 27001 e ISO 27002 pertenecen a la misma familia de normas de la serie
ISO 27000, por lo que disponen de ciertos nexos de unión.
Mientras que la ISO 27001 incluye los requisitos del sistema de gestión de seguridad de
la información, la ISO 27002 propone una serie de recomendaciones orientadas a
entablar un marco eficaz para la gestión de la seguridad de la información.
Por tanto, existe una paridad entre los apartados de la norma ISO 27001 en su anexo A y
el desarrollo de la norma ISO 27002 pero, pese a ello, ISO 27002 solo es un conjunto
de buenas prácticas. Es decir, para implantar un sistema de gestión de la seguridad
de la información acorde a los requisitos establecidos en la norma ISO 27001, es
fundamental seleccionar qué controles son aplicables, justificando tanto su exclusión
como el modo de aplicación o cumplimiento.
La familia ISO 27000 está constituida por una agrupación de normas para la operación,
implementación y gestión de los sistemas de seguridad de la información. Entre las
normas que conforman esta familia se encuentran:
La norma ISO 27001 sigue una estructura común al resto de normas de sistemas de
gestión, la denominada estructura de alto nivel. Los primeros capítulos recogen
consideraciones generales sobre el sistema de gestión y es a partir del capítulo 4 cuando
se comienzan a definir los diferentes requisitos a cumplir por un SGSI.
» Capítulo 0. Introducción.
» Capítulo 1. Objeto y campo de aplicación.
» Capítulo 2. Normas para la consulta.
» Capítulo 3. Términos y definiciones.
» Capítulo 4. Contexto de la organización.
» Capítulo 5. Liderazgo.
» Capítulo 6. Planificación.
» Capítulo 7. Soporte.
» Capítulo 8. Operación.
» Capítulo 9. Evaluación de desempeño.
» Capítulo 10. Mejora.
A través del capítulo 5 se establece lo que, a día de hoy, constituye una constante en las
normas orientadas a la implementación de sistemas de gestión independientemente del
ámbito de aplicación: la responsabilidad en la que incurren los directivos de máximo
nivel por el hecho de aplicar esta norma, de voluntario cumplimiento, en su organización.
» Auditoría interna.
» Revisión por la dirección.
» Acciones correctivas (resaltar que en su última versión la norma ya no hace referencia
a las acciones preventivas).
Por último, la norma presenta un anexo de carácter normativo y que, por tanto, se
debe cumplir. Este anexo normativo es el anexo A, del que nace la aplicación de la
arquitectura orientada a servicios (SOA).
Contexto de la organización
El capítulo 4 de la norma ISO 27001 engloba los requisitos relacionados con el contexto
de la organización. Para ello, se deben determinar los factores que pueden afectar
de manera positiva o negativa a la gestión de la seguridad de la información en la
empresa.
La norma no especifica ninguna metodología para realizar el análisis del contexto. Entre
las herramientas más utilizadas se encuentra el análisis DAFO (debilidades, amenazas,
fortalezas y oportunidades).
Por otra parte, se debe definir y documentar el alcance del SGSI (apartado 4.3 de
la norma ISO 27001). Para determinarlo, la organización debe tener en cuenta los
resultados del análisis del contexto y las expectativas de los diferentes grupos de interés.
Liderazgo
La alta dirección debe demostrar su compromiso y liderazgo con respecto al SGSI. Para
ello, la norma ISO 27001 establece una serie de responsabilidades definidas en el
apartado 5 de la norma ISO 27001. De manera breve se pueden esquematizar de la
siguiente manera:
7.13. SOA
El anexo A de la norma ISO 27001 establece los controles para aspectos tan generales
como puede ser la política para la seguridad de la información, hasta temas tan concretos
como seguridad en el cableado.
Los controles están pensados para organizaciones de todo tipo, por lo que, por ejemplo,
se pueden encontrar controles de especial relevancia para empresas de desarrollo de
software, pero de dudosa o nula aplicabilidad en otro tipo de organizaciones.
Adicionalmente, cabe mencionar el hecho que la norma permite implementar, por parte
de la organización, cuantos controles adicionales considere oportunos más allá de los
estrictamente normativos. Es importante tener en cuenta que es necesario tener la
debida documentación de los controles, así como de su aplicación. Recaba vital
importancia debido a que, al ser una norma con aplicación de ciertos controles a
elementos de soporte técnico (TI), los controles referentes a dicha disciplina, registros
informáticos, deberán considerarse en diversos apartados de la norma e incluso dentro
del propio anexo A.
Un plan de acción debería tener idealmente los plazos, recursos, controles, así como
sus responsables para una correcta implementación, desarrollo y control.
Plan de acción
Objeto de control: Implementación de escritorios limpios
Fase Fecha fin Responsable Recursos
Desarrollo política de Responsable de
10/07/2018 2h Responsable de seguridad
escritorios limpios seguridad
Tres jornadas de media hora
Formación del Responsable de
17/07/2018 cada una para reunir y explicar
personal en plantilla seguridad
por grupos la política
El responsable de seguridad
Auditoría de puesto Responsable de
31/07/2018 hará una auditoría mensual a
de trabajo seguridad
un puesto de trabajo al azar.
Seguimiento
Desarrollo política de
09/07/2018
escritorios limpios
Auditoría de puesto de
- En seguimiento
trabajo
Tabla 5. Seguimiento.
Hay que tener en cuenta que los registros son documentos vivos, por lo que, según avanza
su estado, se actualizarán. Se ha expuesto un ejemplo de registro (plan de acción) que no
tiene por qué ser una solución única, pero a modo de ejemplo es significativa.
Contrataciones
Los candidatos a un puesto de trabajo, así como las contratas de tercera parte, deben ser
seleccionados correctamente mostrando especial interés si van a desempeñar trabajos
sensibles para la seguridad de la información. Para ello sería conveniente lo siguiente:
Los emplazamientos físicos que contengan información, tales como ubicaciones donde
se encuentren archivos, informes, planes directores, etc. deberán:
» Establecer un compromiso firmado por parte del usuario para mantener en secreto
las contraseñas.
» Proporcionar, inicialmente, una contraseña temporal segura que, forzosamente,
deberá cambiar el usuario con su primer inicio de sesión.
» Establecer una vía de comunicación segura para otorgar dichas contraseñas
temporales a los usuarios.
» Demostrar, bajo acuse de recibo, la recepción por parte del usuario de las contraseñas
que le han sido enviadas.
» Almacenar siempre las contraseñas en los equipos informáticos que las requieran, de
forma que estas se encuentren siempre protegidas.
» Evidenciar que las contraseñas nunca han sido prestadas a los compañeros, ni
pegadas en pósits o dispuestas junto a la pantalla del PC o bajo el teclado, etc.
Más allá de los requisitos establecidos en la norma existen los requisitos propios de la
organización y, de forma adicional, los legales. Para ello se debe considerar lo siguiente:
Como se puede ver, los requisitos, así como las buenas prácticas asociadas a cada uno de
ellos, adquieren un carácter vertical llegando a solaparse en alguno de los elementos. El
avance conceptual de estos permite, en este caso, completar los requisitos según el
ámbito de aplicación.
» En caso de ausentarse del equipo de sobremesa, bloquear el equipo (para equipos con
sistema operativo Windows el comando del teclado es Windows+L), de modo que
obligue a reintroducir la contraseña.
» No dejar ningún dispositivo externo; CD, USB, etc. a la vista o sobre el escritorio físico.
» Mantener el escritorio, tanto el físico como el virtual, limpio de carpetas y
documentos.
» Recoger y guardar, bajo los medios que sean oportunos, la información sensible. Suele
ser habitual disponer de armarios con llave para tal efecto.
Las organizaciones tendrán, en primer lugar, que definir y desarrollar lo que la norma
denomina un proceso de apreciación de riesgos de seguridad de la
información, donde se recojan los criterios de aceptación de riesgo y los criterios que
sean necesarios para llevar a cabo la identificación de los riesgos de seguridad de la
información.
Portal de Administración Electrónica (s. f.). Magerit v3: Metodología de análisis y gestión
de riegos de los sistemas de información [en línea]. Recuperado de
https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Meto
dolog/pae_Magerit.html
Hay que ser cuidadosos con los métodos estándares para su aplicación pues, en
numerosas ocasiones, requieren de gran conocimiento tanto del método como de la
norma por parte de la estructura de la organización.
» Los activos empleados dentro del alcance del SGSI (identificando los propietarios de
dichos activos).
» Las amenazas a las que se ven expuestas dichos activos.
» Los impactos sobre los activos de la pérdida de confidencialidad, integridad y
disponibilidad.
» Los efectos en la actividad de la organización motivados por las pérdidas de
confidencialidad, integridad o disponibilidad de sus activos.
» Probabilidad realista de la aparición de dichas amenazas, así como los impactos
asociados y los controles desarrollados.
Una vez definidos aquellos riesgos que requieran un tratamiento, se evaluarán las
actuaciones conforme a las siguientes opciones:
Se debe ser muy minuciosos con las condiciones contractuales y las cláusulas en ellas
mostradas. Se recalca esto último dado que, si se deriva un riesgo a un tercero se puede
incurrir, si no se define adecuadamente la relación entre ambas partes, en un riesgo
mayor.
En este apartado se abordarán los dos últimos capítulos de la norma ISO 27001, los
capítulos 9 y 10, que corresponden a los requisitos relacionados con la evaluación del
desempeño y la mejora, respectivamente.
Evaluación del desempeño
Todo sistema de gestión debe ser evaluado para conocer si la implantación realizada es
efectiva. Para ello, la organización debe llevar a cabo un seguimiento y un análisis de
mismo, determinando por lo siguiente:
Dos de las herramientas definidas en la norma ISO 27001, y en el resto de las normas
de sistemas de gestión, para llevar a cabo dicha evaluación del desempeño son las
auditorías internas y la revisión por la dirección.
Mejora
Para definir dichas acciones deberá tener en cuenta todos los resultados que se han
obtenido a través de la gestión de los riesgos, las auditorías internas y la revisión por la
dirección.
Dado que la norma ISO 27001 es una norma certificable, se puede auditar. Las
auditorías de un SGSI no difieren, en su estructura, de otras auditorías de certificación
de otras normas de sistema de gestión. Por lo tanto, para llevar a cabo este tipo de
auditorías se siguen los criterios establecidos en la ISO 19011 que especifica las
directrices para auditar los sistemas de gestión.
Es preciso tener en cuenta que las auditorías tienen un carácter muestral, es decir, se
auditan diversos requisitos y no la totalidad. La justificación de este hecho reside en la
limitación temporal, pues muchas veces auditar todo el sistema de gestión de una
organización resultaría inviable dentro del ciclo de vida de los certificados.
Tras ello se realiza una auditoría del SOA en la cual se determinan los puntos que no han
sido revisados durante la auditoría de actividad, es decir, que quedan pendientes de
revisar. Durante una auditoría no es común que se revise el SOA en su totalidad. Lo
normal es que a lo largo del ciclo de vida del certificado se revise el SOA completo.
El ciclo de vida de un certificado ISO 27001 es de tres años. El primer año se hace una
auditoría total del sistema. El segundo año se realiza una auditoría parcial (la mitad) del
sistema y el tercer año se desarrolla otra auditoría parcial del sistema de la mitad faltante.
Las oportunidades de mejora son ideas que da el auditor a la organización para su mejora
en el desempeño del SGSI. En ningún momento hay que dar respuesta a las mismas.
221
Capítulo 8: Implantación del sistema de seguridad de la información
Hay que reconocer que la norma dispone de una carga tecnológica. Esto se debe,
esencialmente, al hecho de que gran parte de la gestión de la información en el momento
de su publicación recae en las tecnologías de la información. Es normal, por tanto,
encontrar referencias al mundo TIC.
Hay que recordar siempre que las máquinas son herramientas reactivas, es decir,
responden tal como se hayan programado para responder. No existe, todavía, una
inteligencia artificial suficiente para permitir que las herramientas TIC realicen una
gestión activa de la seguridad de la información. Esto significa que, por mucha tecnología
que haya, la gestión recaerá siempre en las personas.
Si solo se solventan los efectos, nunca se analizarán las causas y, por tanto, no se mejora.
El exceso de correcciones frente al número de acciones correctivas suele ser un síntoma
de esta situación.
Las organizaciones que emplean gestión, sea del tipo que sea, deben tender a la
proactividad y no a la reactividad.
La organización debe medir los resultados esperados al operar el SGSI, lo cual, de forma
inequívoca, desemboca en errores.
Son los usuarios quienes, por ejemplo, divulgan secretos de la organización a quien no
deben o dejan un pósit con sus contraseñas en la pantalla de su equipo a la vista de
cualquiera.
Hay que recordar que el único sistema seguro es aquel que está apagado y los usuarios
no tienen acceso a él, pero esto no resulta muy útil.
El tiempo y el dinero invertidos en asegurar un sistema tiene que ser comparado siempre
con el riesgo de perderlo.
Cuando una empresa se plantea los riesgos que le pueden afectar, debe considerar que la
inversión no irá encaminada a sobreprotegerla, sino a minimizar la posibilidad de
fallos críticos en pérdida de organización.
Existen muchos riesgos asociados a las diversas organizaciones de todo tipo como los que
veremos en las páginas que siguen.
El personal constituirá siempre un gran activo dentro de la organización que deberá ser
medido en consecuencia en la evaluación de riesgos, así como las amenazas que lo
afectan.
Se pueden reducir los impactos derivados de la mala operatividad del personal interno
de la organización a través de cláusulas de confidencialidad dentro de los contratos
o cláusulas de responsabilidad, tanto para su trabajo como para sus responsabilidades
tras el cese de este.
Cuando el personal es externo se debe tener cuidado dado que los contratos muchas
veces son entre empresas y, de algún modo, sería conveniente vincular a los
trabajadores que, de forma específica, van a realizar tareas en el entorno del SGSI.
No hay que olvidarse de que las faltas las cometen específicamente las personas y no las
organizaciones, si bien es cierto que en la búsqueda de la culpabilidad se podría llegar
hasta estas.
El alcance del SGSI vendrá condicionado por los requisitos de la organización. No hay
duda de que el certificado de una norma como ISO 27001, más allá de los beneficios que
entraña su buena gestión, incluye una mejora cuantitativa de la imagen de la
organización.
La correcta definición del alcance suele ser algo laborioso. Por un lado, entra en conflicto
el alcance publicitario del certificado, «la organización quiere que ponga (…)»; por
otro lado, el operativo, «es conveniente certificar la actividad (…)», y finalmente el
económico, «si se hace todo va a costar certificarlo (…) euros».
Para una eficaz definición, implementación y operación del SGSI desde su alcance hasta
su gestión, la organización debería constituir un grupo con potestad de decisión dentro
de la organización para definir temas importantes como el alcance.
8.4. SOA
Por ello, la propia norma ISO 27001 establece en su anexo que los controles definidos se
corresponden directamente con los que figuran en la norma ISO/IEC 27002, que es
una guía de implementación de controles.
» Comercio electrónico.
» Gestión de la seguridad de las redes.
Comercio electrónico
Hace unos años resultaba raro que una organización realizase pagos mediante el uso de
Internet. Hoy en día, por contra, es cada vez más habitual el empleo de las nuevas
tecnologías para realizar pagos.
Esto se debe a que, pese a la desconfianza inicial suscitada por el uso tecnológico al
sistema de pagos, los organismos, en este caso los bancos, han aplicados métodos de
autenticación, encriptación y cifrado para garantizar los pagos de sus clientes lo
que ha revertido en una confianza positiva por parte de los usuarios.
La exclusión del comercio electrónico se suele basar en que no todas las empresas
realizan una televenta. No obstante, dado que, muchos de los organismos que implantan
esta norma realizan pagos online, estos constituyen la base para la no exclusión de dicho
apartado. Típicamente es un control que suele acabar relegado parcialmente en los
controles aplicados por el banco para los telepagos. No obstante, se deben controlar, de
puertas hacia adentro, todos aquellos elementos cuya gestión depende de la organización
y puedan afectar a un fallo en esta actividad.
Se puede actuar de forma activa sobre las internas de la organización, pero difícilmente
se podrá actuar sobre las redes exteriores a la misma.
De hecho, salvo que la propia organización sea el proveedor del servicio, será una
actividad complicada de gestionar. Es realmente complicado que la organización pueda
acordar con la empresa que ofrezca el servicio el tipo de canalización a emplear, la fibra,
etc.
» Control de cambios.
» Gestión de incidentes.
» Plan de continuidad de negocio.
Todas las normas de gestión presentan una serie de elementos comunes como gestión de
la documentación, gestión de los recursos, revisión por la dirección y mejora (auditorías
internas, acciones correctivas).
Pero de forma específica, la norma ISO 27001 desarrolla los apartados anteriormente
mencionados con interacción clara con la norma ISO 20000-1.
Debe existir un riesgo residual aprobado por la organización, que tendrá que decidir
sobre qué elementos actuará para mitigar los valores de riesgo no aceptados. Esto se
traduce de la siguiente manera:
Tras identificar los elementos sobre los que se va a actuar, se debe realizar un tratamiento
del riesgo. Es decir, se debe concretar qué se va a hacer con los riesgos que se han
Podría ser el comité de seguridad el encargado de definir las medidas a emplear para
reducir el riesgo obtenido. Los planes para la implementación de controles deberían
describir lo siguiente:
» Confidencialidad.
» Integridad.
» Disponibilidad.
» Probabilidad de la amenaza.
Hay que recordar que recargar en barreras externas, ya sean físicas o tecnológicas, así
como la inversión excesiva en tecnología resultan unas de las causas habituales de
fracaso en la implementación de un SGSI.
Una vez identificadas las actuaciones por realizar, se volverá a someter a una evaluación
de riesgos a los elementos sobre los que se ha actuado, considerando que se han
implementado satisfactoriamente las medidas.
Figura 2. Funcionamiento del SGSI una vez implementadas las medidas de gestión de riesgos.
La gestión del riesgo debe estar presente en todas las actividades de la organización dado
que resulta una actividad transversal a todas ellas. Los riesgos se deben tener en cuenta
a lo largo de cualquier proyecto.
Los controles deben ser acordes a las características tanto de los riesgos como de la
organización. Hay que registrar siempre evidencias del buen funcionamiento de los
controles para evidenciar un riesgo controlado.
Estructura
» Los desastres:
o Impacto adverso sobre el negocio, interrupción información crítica.
o Tipos de desastres e interrupciones.
o Causas de interrupción del servicio.
» Estrategias de la recuperación:
o Combinación de medidas:
• Preventivas.
• Detectivas.
• Correctivas.
o Todas estas medidas estarán encaminadas a:
• Eliminar la amenaza completamente.
• Minimizar la probabilidad de que ocurra.
• Minimizar el efecto.
o Identificar las estrategias de recuperación:
• Criticidad de los procesos de negocio y aplicaciones que soportan los procesos.
• Coste.
• Tiempo requerido para la recuperación
• Seguridad.
En resumen:
Alternativas de recuperación
Las interrupciones más prolongadas y más costosas suelen ser los desastres que afectan
a las instalaciones. En el caso de la compañía, se tendrán las instalaciones del hardware,
así como la información que contienen los ordenadores, los acuerdos preferenciales, etc.
Como alternativas a todo esto se pueden aportar como soluciones copias de seguridad de
la información principal para los negocios o acuerdos de colaboración con entidades
similares.
El resto de las recuperaciones pueden ser solucionadas con una buena póliza de seguros
y poco más, ya que comprar una mesa o alquilar unas instalaciones provisionales es
relativamente sencillo.
Está basado en el BIA. Gerencia y equipo de trabajo desarrollan un plan que debe abarcar
todos los campos involucrados en la recuperación del desastre. Debería resolver todos
los problemas involucrados en la interrupción de negocio. Esto no siempre es posible,
hay limitaciones económicas, físicas.
» Respuesta a incidentes.
» Atención de emergencias.
» Equipos de almacenamiento externo.
» Equipo de seguridad.
» Equipos de preparación de datos y registros.
» Equipos de soporte administrativo.
» Equipos de reubicación.
» Equipos de coordinación.
» Equipos de asuntos legales.
» Equipos de prueba de la recuperación.
» Equipos de entrenamiento.
Otros aspectos
El plan debe de ser evaluado a intervalos planificados, se deben de revisar como mínimo
los siguientes ítems:
» Tiempo de recuperación.
» Cantidad.
» Exactitud.
El plan debe de ser mantenido en el tiempo, siendo los factores que más impactan:
» Cambios en la organización.
» Nuevos recursos/ aplicaciones.
» Cambios en la estrategia de negocio.
» Cambios en software o hardware.
¡Desastre!
No se activa el
¿Daño crítico a su No plan, pero se
negocio? evalúan las causas
Sí del desastre
Notificación a gerencia
Recuperación de
equipos Compra/alquiler de equipos informáticos
informáticos
Acceso a copias de seguridad y
restauración en los nuevos equipos
Recuperación de
Alquiler/compra de nuevas instalaciones
instalaciones
240
Capítulo 9: ISO 20000-1
9.1. Introducción
Las diferentes partes de la familia 20000 fueron desarrolladas por los comités y
subcomités técnicos de dos organismos de normalización internacionales ISO
(International Organization for Standardization) e IEC (International Electrotechnical
Commission).
Aunque a lo largo del tema se utilice ISO 20000-1 con objeto de simplificar, es necesario
tener en cuenta que la denominación correcta de la norma es ISO/EIC 20000-1.
Los principales cambios con respecto a la versión anterior son los siguientes:
» Estructura de alto nivel, en consonancia con las últimas versiones de las diferentes
normas ISO publicadas.
» Se han tenido en cuenta los avances tecnológicos, han dado lugar a nuevos tipos de
productos que se intercambian en el mercado y son considerados commodities, como
los minutos de telefonía celular y la banda ancha de Internet.
» Se han incluido nuevos requisitos del conocimiento y planificación del servicio.
» Separación de procesos de gestión de incidencias, de peticiones de servicio, de niveles
de servicio, de catálogos de servicio, de la capacidad y de la demanda.
» Cambio de «gobierno de los procesos operados por terceros» a «control de partes
involucradas en el ciclo de vida de los servicios».
» Minimización de los requisitos de información documentada.
La norma ISO 20000 nace en 2005 tomando como base la norma BS 15000, que fue
desarrollada por el organismo de normalización British Standards Institute (BSI), de
Reino Unido. BS 15000 nació a partir de ITIL (Information Technology Infrastructure
Library) como una respuesta a la necesidad por parte de las organizaciones de
tecnologías de la información (TI) de establecer un grado de conformidad con las buenas
prácticas. Dichas normas pertenecen al grupo normativo pertenecientes al mundo de
gestión de servicios TI.
La norma ISO 20000-1 está basada en los principios fundamentales de ITIL y es una
norma que se puede certificar. Mientras la norma ISO 20000-1 indica los requisitos que
necesita hacer una organización para gestionar los servicios de las tecnologías de la
información, las prácticas ITIL definen cómo hacerlo.
La familia de normas ISO 20000 está formada actualmente por las siguientes:
» ISO/IEC 20000-1: norma que define los requisitos que debe cumplir un SGS.
» ISO/IEC 20000-2: recomendaciones y buenas prácticas para facilitar el
cumplimiento de los requisitos establecidos en la norma ISO 20000-1.
» ISO/IEC 20000-3: guía que sirve para ayudar a las organizaciones a definir el alcance
de la aplicación de la norma ISO 20000-1.
Como en todas las normas de gestión, ISO 20000 no sustituye ningún cumplimiento
legal, por lo que la organización deberá estar al tanto de cuanta legislación le sea de
aplicación conforme a su naturaleza o actividades.
También, como muchos otros sistemas de gestión, ISO 20000-1 se basa en la aplicación
del ciclo PDCA (planificar, hacer, verificar y actuar) a la gestión del servicio de la
organización.
Mediante el desarrollo, se implementará tanto la política como los controles, los procesos
y los procedimientos que dan soporte a las actividades de gestión del servicio.
Por tanto, la aplicación del sistema PDCA al SGS deriva en una gestión global de la
organización para su orientación a la mejora y no solo de las actividades específicas que
constituyen los servicios.
Al operar bajo un SGS se ofrece una garantía a los clientes de los servicios ofertados.
Esto genera confianza en el servicio y proporciona aumento de su consumo o fidelización
por parte del cliente con la organización.
Una vez implementado el sistema, la organización puede solicitar a una empresa externa
acreditada que lo certifique. Dicha certificación acredita que la empresa tiene un SGS
que cumple con los requisitos establecidos en la norma ISO 20000-1.
La norma ISO 20000-1 adopta un enfoque por procesos, tomando como base el ciclo
PDCA. Estas características le permiten ser fácilmente integrables con otros sistemas de
gestión, como la norma ISO 9001, norma ISO 27001, etc.
La norma ISO 20000-1 se puede aplicar a todo tipo de organizaciones, sin tener en
cuenta el sector, el tipo, el tamaño o la naturaleza de los servicios que presta.
La organización debe determinar cualquier factor interno o externo que pueda tener
impacto positivo o negativo a la hora de entregar los servicios a las partes
interesadas, en función de sus necesidades y expectativas.
También dentro de este apartado, la norma define la necesidad de determinar los límites
de aplicabilidad del SGS. De hecho, es de vital importancia establecer un alcance eficaz
para la implementación de la norma. Este alcance debe estar disponible y mantenerse
como información documentada.
Con dichos elementos, la organización será capaz de formular un alcance suficiente para
la buena operación del SGS. Es importante tener en cuenta que el alcance es el ámbito
en el cual se aplica la gestión, por lo tanto, si no se define de manera clara y minuciosa,
puede haber deficiencias en dicha gestión.
Como ejemplos de procesos dentro del ámbito de gestión de servicios se puede indicar lo
siguiente: gestión de configuraciones, gestión de capacidad, gestión de seguridad de la
información, gestión de entregas, gestión de cambios, gestión de incidencias, gestión de
relaciones, gestión de problemas, gestión de disponibilidad, etc.
9.4. Liderazgo
Dentro del apartado «Liderazgo», la norma ISO 2000-1 realza el papel fundamental
que ha de jugar la alta dirección a la hora de establecer, implementar y mantener el
SGS. La norma estipula los elementos necesarios a llevar a cabo por la dirección para
demostrar su compromiso, definiendo cuáles son sus responsabilidades respecto al
sistema de gestión. Entre ellas se indican las siguientes:
» Establecer y aprobar una política y unos objetivos de SGS coherentes con las
actividades de la organización.
» Desarrollar, implementar y mantener un plan de gestión de servicios.
» Asignar y comunicar los niveles de autoridad y de responsabilidad necesarios
conformes a la gestión del SGS y a los servicios.
» Aportar los recursos necesarios para el buen funcionamiento del SGS.
» Integrar los procesos del SGS con los procesos de negocio de la organización.
» Asegurar que se obtiene el desempeño previsto en el SGS.
» Dirigir y apoyar a los diferentes roles de gestión y a todos los miembros de la
organización para que participen en la gestión efectiva del SGS.
» Comunicar la importancia de gestionar los servicios para que toda la organización
entienda el propósito del SGS y haya menos resistencia al cambio.
Además, la dirección, debe asegurarse, por una parte, de que se definan y se asignen las
autorizaciones y responsabilidades del SGS y, por la otra, de que se comunican dentro de
la organización.
La dirección tiene la responsabilidad de definir una política del sistema de gestión que
sea apropiada para el propósito del proveedor del servicio e incluya un compromiso de
satisfacción de los requisitos del servicio y de mejora continua de eficacia del SGS.
La política de SGS no debe ser una declaración genérica, sino que debe ser específica para
las circunstancias del proveedor del servicio.
La alta dirección debe establecer una política de gestión de servicios que cumpla los
siguientes requisitos dispuestos en la norma ISO 20000-1:
Los requisitos anteriores son comunes al resto de normas de sistemas de gestión ISO,
centrándose en este caso, lógicamente, en ámbito de la gestión de servicios.
9.5. Planificación
La planificación del SGS corre a través de los elementos comunes al resto de sistemas de
gestión, como es la determinación de los riesgos y oportunidades y las acciones para
tratarlos, pero también otros específicos como los requisitos del servicio, la tecnología
utilizada para soportar el SGS, etc. Todos los elementos considerados de la planificación
deben recogerse en un plan de gestión de servicio.
» Qué es lo va a hacer.
» Recursos.
» Responsable.
» Plazo.
» Evaluación (indicadores).
La planificación del SGS se realiza a través del plan de gestión de servicios que tiene en
cuenta la política, los objetivos, los riesgos y oportunidades de gestión de servicios y los
requisitos del servicio y requisitos establecidos en la norma ISO 20000-1.
Cualquier otra actividad de planificación debe estar en línea con el plan de gestión de
servicios, que debe incluir o hacer referencia a lo siguiente:
» La lista de servicios.
» Las limitaciones conocidas que pueden afectar al SGS y los servicios.
» Las obligaciones tales como políticas relevantes, normas o estándares, requisitos
legales, reglamentarios y contractuales, y cómo estas obligaciones se aplican al SGS y
los servicios.
» Autoridades y responsabilidades para el SGS y los servicios.
» Recursos humanos, técnicos, de información y financieros necesarios para operar el
SGS y los servicios.
» El enfoque que debe tomarse para trabajar con otras partes involucradas en el ciclo
de vida de los servicios.
» La tecnología utilizada para apoyar el SGS.
» Cómo se medirá, auditará, informará y mejorará la eficacia del SGS y los servicios.
9.6. Apoyo
En su apartado 7, la norma ISO 20000-1 se centra en los procesos de apoyo que dan
soporte al SGS. Estos procesos son muy importantes porque podrán garantizar la
efectividad del SGS. En concreto se refiere a lo siguiente:
Información documentada
» Alcance.
» Política y objetivos de gestión de servicios.
» Plan de gestión de servicios.
» Políticas y planes creados para procesos específicos acorde a la norma ISO 20000-1:
política de gestión de cambios, política de seguridad de la información, plan o planes
de continuidad de los servicios.
» Procesos del SGS de la organización.
» Requisitos del servicio.
» Catálogo de servicios. Es un documento vital para la compañía, debido a que se trata
de la carta de presentación a los clientes donde se plasman los elementos que pueden
satisfacer sus necesidades.
» Acuerdo de nivel de servicio (SLA, service level agreement), es decir, un acuerdo
documentado entre el proveedor del servicio y el cliente que identifica el servicio y sus
objetivos.
» Contratos con proveedores externos y acuerdos con proveedores internos.
» Procedimientos y registros que requiere la norma ISO 20000-1.
9.7. Operaciones
La norma ISO 20000-1 establece las directrices para los procesos o partes de estos en los
que actúan terceras partes. Estas terceras partes pueden ser proveedores externos,
grupos internos y clientes cuando actúan como proveedores externos.
Es preciso aclarar que, aunque tanto los proveedores como los clientes son terceras
partes, no afectan por igual a la organización:
Lo que se pretende es que la organización asegure el control del proceso incluso dentro
de la incursión de terceras partes. Para ello, la organización tiene que determinar y
documentar lo siguiente:
El catálogo de servicios es una información documentada que está disponible para los
usuarios, clientes y otras partes interesadas. Se trata de un documento donde se incluye
la información sobre la descripción de los servicios, sus resultados y las dependencias
entre los servicios.
La norma ISO 20000-2 establece una orientación sobre el contenido que debe tener:
La organización debe gestionar, por una parte, los activos utilizados para prestar los
servicios de forma que cumplan con los requisitos y, por otra parte, la configuración.
Cada elemento de configuración (CI) tiene que estar controlado y debe tener una
información de configuración que debe registrarse en función del tipo y de la criticidad
del servicio. Dicha información para otras actividades de gestión de servicios en caso de
ser necesario será revisada a intervalos planificados. En el caso de que se observen
deficiencias en las revisiones, se propondrán las acciones necesarias.
» Identificación única.
» Tipo.
» Descripción.
» Relación con otros CI.
» Estado.
Relación y acuerdo
El proveedor del servicio debe identificar a los clientes, usuarios y partes interesadas de
los servicios. Para ello, debe establecer un mecanismo de comunicación, con la finalidad
de poder dar respuesta a cualquiera de los requisitos requeridos.
También el proveedor del servicio debe acordar con cada suministrador un contrato
documentado, en el que se incluirá entre otros aspectos: el alcance de los servicios
prestados por el suministrador, los objetivos del servicio, las autoridades y
responsabilidades de ambos, la información y la comunicación que debe ser
proporcionada al suministrador, las bases para los cobros, etc.
Figura 2. Relaciones y acuerdos entre las partes involucradas en el ciclo de vida de los servicios.
Fuente: UNE-ISO/IEC 20000-1.
La organización tiene que acordar con los clientes los servicios que van a ser prestados.
Para ello tiene que definir uno o más acuerdos de nivel de servicio (SLA).
La norma ISO 20001-1:2018 define acuerdo de nivel de servicio (SLA) como el acuerdo
documentado entre la organización y el cliente que identifica los servicios y su
rendimiento acordado.
Los SLA constituyen el núcleo de gestión de la norma y deben incluir los objetivos de
nivel de servicio, los límites de volumen de trabajo y las excepciones. Estos acuerdos
desarrollan una «dependencia de gestión» en cascada: la organización acuerda un SLA
con sus clientes y, a su vez, posteriormente, se acuerdan los SLA que van a aplicar a los
proveedores.
Obviamente, los niveles de servicio acordados con los proveedores resultarán más
rigurosos que los propios de la organización, y así asegurarse de que esta no incumple
los niveles de servicio acordados con sus clientes.
Los SLA no tienen por qué resultar únicos para cada servicio. Pueden navegar de modo
transversal a través de varios servicios, bien porque compartan recursos bien por su
naturaleza, etc. Para la provisión del servicio resulta imprescindible que el cliente haya
Los cambios aprobados deben ser comunicados a las partes interesadas. También debe
revisar los mismos para verificar la eficacia y en caso de que sean fallidos proponer las
acciones necesarias.
Por otra parte, los servicios nuevos o modificados deben diseñarse y documentarse
teniendo en cuenta una serie de requisitos:
La diferencia entre los cambios del cliente y los cambios formales solicitados por el
cliente radica en la diferencia entra la actitud proactiva o reactiva del mismo.
El cliente puede modificar el entorno de entrega modificando así las condiciones del
servicio de la organización, obligando por tanto a esta a valorar la gestión. Otra opción
es que el cliente, de modo formal, atendiendo a los interlocutores adecuados, solicite una
revisión o modificación formal.
En caso de verse modificados los SLA de los servicios, se establecerán reuniones con
dichas partes para valorar y aprobar dichos cambios en los niveles de servicio acordado,
argumentando y justificando los cambios.
» Usuario final.
» Proveedores.
» Clientes finales.
» Clientes internos.
Para aquellos servicios en los que operen terceros se puede llegar a necesitar su
colaboración en los simulacros que se realicen. Si la documentación de la empresa es
suficiente, las interfaces claras y se dispone de un diálogo fluido con ellos, los simulacros
serán algo trivial. Pero en caso de haber problemas durante las pruebas se deben
documentar y analizar a posteriori los puntos de fallo detectados.
Si durante las pruebas se detectan fallos potenciales que puedan afectar al cliente,
habrá que notificárselos para desarrollar cuantas medidas se estimen oportunas o bien
proceder a las revisiones de los SLA establecidos.
Habrá que supervisar los costes periódicamente, en especial, para aquellos servicios que
no dispongan de entrega única y sean servicios mantenidos. Se deberán realizar
revisiones de costes para analizar si, durante alguno de los contactos con el cliente, hay
que modificar los precios contratados.
Uno de los temas a valorar con el cliente es el coste de los cambios: número de horas,
personal que intervenga, especificidad, franja horaria, etc.
Por otra parte, dado que el interés redunda en la provisión del servicio conforme a los
requisitos establecidos a través de los SLA acordados por las partes, se deben remarcar
las condiciones de aceptación del servicio, para así asegurarse del modo en que
este servicio operará:
Hay que entender el ciclo de vida del servicio para comprender cada punto analizado:
Clientes
Diseño y transición de
servicios nuevos o
modificados
Proveedores
Resolución
El fallo o el éxito de estas entregas se debe monitorizar y analizar. Los resultados de dicho
análisis se deben registrar y revisar para identificar oportunidades de mejora.
Resolución y ejecución
Suele ser común gestionar la base de datos a través de aplicaciones informáticas con texto
predictivo para la consulta de incidencias o problemas previa a la apertura de un registro
de estos.
Debe existir un procedimiento documentado para gestionar todas las incidencias, los
problemas y las peticiones de servicio, priorizando aquellas que tengan un mayor
impacto y urgencia.
Los registros de las incidencias, de las peticiones de servicio y de los problemas se deben
actualizar teniendo en cuentas las acciones llevadas a cabo para subsanarlas.
Priorizar
Incidencias
Peticiones de servicios Escaladas/os (si es necesario)
Problemas
Resueltas/os - satisfechas
Aseguramiento de servicios
Con el fin de determinar el grado de efectividad de la implantación del SGS, este se debe
monitorizar, medir, analizar y evaluar. Para ello, es necesario que la organización
determine qué es necesario medir, qué metodologías emplear, cuándo se van a realizar y
analizar las mediciones y monitorizaciones.
Para cada servicio existen una serie de métricas a realizar, por ejemplo, en cuanto a
capacidad, lo cual da a la dirección un monitoreo de la evolución y tendencia tanto de los
recursos empleados en cada servicio como de las tendencias desarrolladas por estos tales
como el estado de los niveles de servicio.
Las herramientas que se utilizan para evaluar el desempeño del SGS son las siguientes:
» Auditorías internas.
» Revisión por la dirección.
» Informes de servicio.
Por otra parte, la revisión por la dirección se tiene que realizar a intervalos planificados
y debe incluir la evaluación de oportunidades de mejora y la necesidad de cambios del
SGS, incluida la política y los objetivos.
Por último, la norma ISO 20000-1 establece que se tienen que generar unos informes
sobre el rendimiento y la eficacia del SGS. Estos informes de seguimiento deben
incluir tendencias y, en base a sus conclusiones, se deben llevar a cabo acciones
consensuadas previamente con las partes interesadas.
9.9. Mejora
» Política de mejoras.
» Acciones correctivas para eliminar la causa de las no conformidades identificadas.
Todas aquellas mejoras que se decidan implantar deberán ser planificadas. Dentro de
su planificación habrá que determinar lo siguiente:
No hay que olvidar que la mejora es un elemento no solo de gestión, sino de apoyo a la
imagen de la organización pues, en numerosas ocasiones, de un defecto se puede ser
capaz de identificar nuevas líneas de negocio, nuevos servicios, generando así nuevos
mercados para la compañía.