Estructura Documental. Manual y Procedimientos

Estructura Documental
Manual y Procedimientos
EALDE Business School

Índice
1. Estructura documental. Manual y procedimientos. .......................................... 1
Objetivos de la Clase .......................................................................................... 1
Conocimientos Previos ....................................................................................... 1
Abstract............................................................................................................... 2
2. Introducción..................................................................................................... 3
3. Procedimentar la Gestión del Riesgo .............................................................. 6
4. El Riesgo en Sistemas de Gestión Certificables ............................................. 7
4.1 La Estructura de Alto Nivel de ISO. El Anexo SL ...................................... 7
4.2 Considerando las Directrices de ISO 31000:2018 ........................................ 9
4.3 Una Propuesta de Integración .................................................................... 10
4.3.1 Los Principios ....................................................................................... 10
4.3.2 El Marco de Referencia ........................................................................ 12
4.3.3 El Proceso ............................................................................................ 16
4.4. Algunas consideraciones sobre ISO 14001:2015 e ISO 45001:2018 ........ 18
5. Conceptos Básicos y Conclusiones .............................................................. 20
6. Bibliografía .................................................................................................... 21
Estructura Documental.
1. Estructura documental. Manual y procedimientos.
Objetivos de la Clase
Esta clase tiene por objetivo presentar la forma en la que puede documentarse la
gestión de riesgo según sea la perspectiva que estemos considerando.
La idea principal es que se sepa dónde y qué consultar para poder tener un efectivo
sistema documental de la gestión del riesgo, de la forma en la que se considera el
pensamiento basado en riesgo en los sistemas de gestión.
Se trata por tanto de una clase que pretende dotar de conocimientos al alumno para
que sepa diseñar e implementar la forma en la que documentar cómo se gestiona
el riesgo en cualquier tipo de organización.
Conocimientos Previos
Para la realización de esta clase es imprescindible tener muy claros todos los
conceptos relacionados con la gestión del riesgo y especialmente con la estructura
considerada por ISO 31000:2018.
Por otro lado, sería interesante que se tuviera una mínima idea de qué son los
sistemas de gestión certificables. Sabiendo qué es ISO 9001:2015 y en qué
consiste la documentación de un sistema de gestión de estas características es
más que suficiente. No obstante, si no se tuviera dicho conocimiento, en el apartado
de bibliografía se refieren algunos documentos y publicaciones de interés que
rápidamente situarán al alumno en la materia.
EALDE Business School Página 1

Abstract
Procedimentar implica documentar, de forma clara y objetiva, instrucciones
operativas, de funcionamiento u organizativas de forma que nos permita trabajar lo
más homogéneamente posible, y con el fin de evitar en primera instancia el efecto
de la incertidumbre asociado a la variabilidad con la que se pueden acometer
diferentes acciones.
Si trabajamos con COSO ERM o con PMBOK, la documentación asociada queda

perfectamente definida y condicionada por la estructura de dichos marcos o
modelos.
No obstante, si lo que queremos es considerar la gestión del riesgo como una

“forma de pensar” (como parte de la cultura de la empresa) deberemos considerar
el riesgo integrándolo en los modelos de gestión “generales” de la empresa. En
estas situaciones, lo recomendable es incorporar los principios y directrices de ISO
31000:2018 en la estructura documental del sistema o sistemas de gestión
existentes.
En esta clase vamos a abordar precisamente incorporar dichos principios y

directrices combinando los contenidos establecidos en el Anexo SL (estructura de
alto nivel de ISO) y los incluidos en la propia ISO 31000:2018.

2. Introducción
Procedimentar implica documentar, de forma clara y objetiva, instrucciones
operativas, de funcionamiento u organizativas de forma que nos permita trabajar de
lo más homogéneamente posible, y con el fin de evitar en primera instancia el efecto
de la incertidumbre asociado a la variabilidad con la que se pueden acometer
diferentes acciones.
El nombre “procedimiento” ha formado parte inseparable de los sistemas de gestión

certificables, y en estos se desarrolla por escrito todo el sistema.
Una forma muy clara de verlo es mediante lo que considera el Anexo SL que es la
información documentada, indicando en su punto 7.5.:
“Como 7.5 Información documentada
7.5.1 Generalidades
El sistema de gestión de la organización incluirá:
a) la información documentada que se requiere en el presente documento;
b) la información documentada que la organización determine como necesaria para la eficacia del
sistema de gestión.
NOTA El alcance de la información documentada para un sistema de gestión puede diferir de una
organización a otra debido a:
- el tamaño de la organización y su tipo de actividades, procesos, productos y servicios;
- la complejidad de los procesos y sus interacciones;
- la competencia de las personas.
7.5.2 Creación y actualización

Al crear y actualizar la información documentada, la organización se asegurará de que sea
apropiada:
- identificación y descripción (por ejemplo, un título, fecha, autor o número de referencia);
- formato (por ejemplo, idioma, versión de software, gráficos) y medios (por ejemplo, papel,
electrónico);
- examen y aprobación de la idoneidad y la adecuación.
7.5.3 Control de la información documentada

La información documentada requerida por el sistema de gestión y por el presente documento será
controlado para asegurar:
a) que esté disponible y sea apta para su uso, donde y cuando se necesite;
b) esté adecuadamente protegido (por ejemplo, de la pérdida de confidencialidad, el uso indebido o
la pérdida de integridad).

Para el control de la información documentada, la organización se ocupará de las siguientes

actividades:
- distribución, acceso, recuperación y utilización;
- almacenamiento y conservación, incluida la preservación de la legibilidad;
- control de los cambios (por ejemplo, control de versiones);
- retención y disposición.
La información documentada de origen externo que la organización determine como necesaria para
la planificación y el funcionamiento del sistema de gestión se identificarán, según proceda, y
controlarán.
NOTA El acceso puede implicar una decisión sobre el permiso para ver la información documentada
solamente, o el permiso y la autoridad para ver y modificar la información documentada.”
En términos generales, la estructura documental en sistemas de gestión consta de

un manual, procedimientos y registros:
1. Un manual es una guía general de la estructura documental del sistema que

recoge las principales características de este, y la estructura del resto de la
documentación del sistema. Suele incluir igualmente referencia expresa a la
política como compromiso de intenciones.
2. Los procedimientos, que como hemos indicado recogen instrucciones o

descripciones, pueden estar estructurados en diferentes niveles para
distinguir entre algunas de sus características, tomando diferentes nombres
según el sistema de gestión concreto. Algunos nombres utilizados son:
procedimientos generales, procedimientos específicos, instrucciones
técnicas, instrucciones operacionales…
3. Los registros son necesarios para listar acciones, documentos, procesos y

responsabilidades con el fin de mantenerlos como fuente de prueba o
evidencia. La principal característica asociada a los registros es su
actualización.

Es importante matizar la diferencia entre registro y formatos de registro. La

diferencia radica en que un formato de registro se convierte en registro en el
momento en que es debidamente cumplimentado.
El manual y los procedimientos de los sistemas de gestión pueden incluir tanto

registros como formatos de registro. Un registro, por ejemplo, podría ser un
documento con la política, o una tabla en la que se indican las versiones y
fechas de todas las políticas que se han ido aprobando. Un formato de registro
sería una plantilla para redactar la política o la tabla en blanco donde incluir las
diferentes revisiones de esta.

3. Procedimentar la Gestión del Riesgo

Como hemos comentado, procedimentar es “poner por escrito” de forma clara lo
que hacemos y cómo lo hacemos, incluyendo el quién, el dónde y el cuándo.
Pero hemos visto también que la gestión de riesgo es una actividad transversal e
integrada que solo en ocasiones puede ser vista como una labor independiente con
entidad propia para disponer de su propio marco o sistema.
Si trabajamos con COSO ERM o con PMBOK, la documentación asociada queda

perfectamente definida y condicionada por la estructura de dichos marcos o
modelos.
No obstante, si lo que queremos es considerar la gestión del riesgo como una

“forma de pensar” (como parte de la cultura de la empresa) deberemos considerar
el riesgo integrándolo en los modelos de gestión “generales” de la empresa. En
estas situaciones, lo recomendable es incorporar los principios y directrices de ISO
31000:2018 en la estructura documental del sistema o sistema de gestión
existentes.
Como quiera que COSO y PMBOK son sistemas de uso más limitado o concreto
que ISO 31000:2018, en esta nota técnica abordaremos cómo las directrices de
esta norma pueden ser integrados en la documentación de gestión de las
organizaciones.
Con esto no queremos decir que en COSO y PMBOK no se deba documentar la

gestión del riesgo, simplemente es que al ser modelos pensados ya desde un inicio
para considerar el riesgo, con su mera lectura se hace evidente la forma en la que
esta documentación debe abordarse o considerarse.
De todas formas, todo lo indicado en esta nota técnica es igualmente útil para
responsables de sistemas basados en COSO o gestores de proyectos que trabajen
con PMBOK como guía.

4. El Riesgo en Sistemas de Gestión Certificables
4.1 La Estructura de Alto Nivel de ISO. El Anexo SL

Como hemos comentado, la estructura planteada por el Anexo SL es una estructura
común a los sistemas de gestión certificables. En este sentido, además, es la
estructura que suele utilizarse en la elaboración de los manuales de dichos
sistemas.
A continuación, veamos cuál es dicha estructura o índice de contenidos.
0 PRESENTACIÓN DE LA EMPRESA
1 OBJETO Y CAMPO DE APLICACIÓN
2 REFERENCIAS NORMATIVAS
3 TÉRMINOS Y DEFINICIONES
4 CONTEXTO DE LA ORGANIZACIÓN
4.1 Comprensión de la organización y de su contexto
4.2 Comprensión de las necesidades y expectativas de las partes interesadas
4.3 Determinación del alcance del sistema de gestión de la calidad
4.4 Sistema de gestión
5 LIDERAZGO
5.1 Liderazgo y compromiso
5.2 Política
5.3 Roles, responsabilidades y autoridades en la organización
6 PLANIFICACIÓN
6.1 Acciones para abordar riesgos y oportunidades
6.2 Objetivos de la calidad y planificación para lograrlos
6.3 Planificación de los cambios
7 APOYO
7.1 Recursos
7.2 Competencia
7.3 Toma de conciencia
7.4 Comunicación
7.5 Información documentada
7.5.1 Generalidades
7.5.2 Creación y actualización
7.5.3 Control de la información documentada
8 OPERACIÓN
8.1 Planificación y control operacional

9 EVALUACIÓN DEL DESEMPEÑO

9.1 Seguimiento, medición, análisis y evaluación
9.2 Auditoría interna
9.3 Revisión por la dirección
10 MEJORA
10.1 Generalidades
10.2 No conformidad y acción correctiva
10.3 Mejora continua
En la documentación anexa a esta nota técnica se adjunta el texto de dicho anexo,

en el que podemos ver el contenido de este índice en su apéndice 2 (normative)
“High level structure, identical core text, common terms and core definitions”.
En concreto, si nos centramos en el punto 6.1 en relación con la consideración de

riesgos y oportunidades, el documento indica textualmente:
“6.1 Medidas para hacer frente a los riesgos y oportunidades

Al planificar el sistema de gestión de la XXX, la organización examinará las cuestiones mencionadas
en 4.1 y los requisitos mencionados en 4.2 para determinar los riesgos y oportunidades dirigidos a:
- dar garantías de que el sistema de gestión XXX puede lograr los resultados previstos;
- prevenir o reducir los efectos no deseados;
- lograr una mejora continua.
La organización deberá planificar:

a) acciones para abordar estos riesgos y oportunidades;
b) cómo hacerlo:
- integrar y aplicar las medidas en los procesos de su XXX sistema de gestión;
- evaluar la eficacia de esas medidas.”
En muchas ocasiones esto se interpreta como la necesidad de añadir un apartado

al manual en el que se diga que se va a tener en cuenta todo lo indicado en este
punto 6.1, pensando que con eso ya queda todo cubierto. Y es un gran error.
Considerar todo lo que indica este punto 6.1 implica necesariamente incidir en
muchas otras partes del sistema

4.2 Considerando las Directrices de ISO 31000:2018

Si partimos de que los sistemas de gestión certificables siguen la estructura básica
documental indicada en el apartado anterior, el trabajo que se debe abordar es
cómo considerar todos y cada uno de los puntos de ISO 31000:2018 en dicha
documentación.
Recordemos entonces brevemente, el índice de ISO 31000:2018:
1 OBJETO Y CAMPO DE APLICACIÓN
2 REFERENCIAS NORMATIVAS
3 TÉRMINOS Y DEFINICIONES
4 PRINCIPIOS
5 MARCO DE REFERENCIA
5.1 Generalidades
5.2 Liderazgo y compromiso
5.3 Integración
5.4 Diseño
5.5 Implementación
5.6 Valoración
5.7 Mejora
6 PROCESO
6.1 Generalidades
6.2 Comunicación y consulta
6.3 Alcance, contexto y criterios
6.4 Evaluación del riesgo
6.5 Tratamiento del riesgo
6.6 Seguimiento y revisión
6.7 Registro e informe
En la documentación anexa a esta nota técnica se adjunta el texto completo de la

norma ISO 31000:2018. También está disponible en el siguiente enlace:
https://www.iso.org/obp/ui#iso:std:iso:31000:ed-2:v1:es

4.3 Una Propuesta de Integración

Como puede observarse, hay cierta semejanza entre la estructura de alto nivel e
ISO 31000:2018. Esto puede llegar a plantear confusión en el momento de decidir
si debemos considerar procedimientos específicos o si debemos integrar el
contenido en los ya existentes.
Ciertamente, como veremos, la opción óptima es una mezcla de ambas

alternativas: redactar nueva documentación y/o adecuar la ya existente.
Lo importante es hacerlo con criterio para cumplir un doble objetivo:

- Tener la certeza de que no nos dejamos nada
- No desarrollar el mismo concepto en diferentes sitios para no correr el riesgo
de contradecirnos o de duplicar acciones innecesarias.
La forma en la que vamos a abordarlo será indicando cómo considerar todos y cada
uno de los puntos de ISO 31000:2018 en la documentación de un sistema de
gestión certificable. Lo consideraremos a nivel de cualquier sistema, pero haremos
también una mención especial a los sistemas de medio ambiente (ISO 14001:2015)
y a los de prevención de riesgos laborales (ISO 45001:2018).
Trataremos entonces los diferentes capítulos de ISO 31000:2018 indicando cómo

documentar sus directrices en el ámbito de un sistema de gestión certificable.
4.3.1 Los Principios

ISO 31000:2018, en su punto 4, establece los principios que deben regir una
correcta y completa gestión del riesgo en orden a crear y proteger valor como fin
último.
Los 8 principios se muestran en la figura siguiente:

Figura 1: Características de una gestión del riesgo eficaz y eficiente,

comunicando su valor y explicando su intención y propósito
Como podemos ver, todos y cada uno de los principios o características de la figura
anterior ya son considerados de alguna forma en cualquier sistema de gestión
certificable.
No obstante, no estaría de más hacer una mención explícita en la Política del

sistema de gestión. Un posible texto podría ser:
“La consideración de la gestión del riesgo en la organización, y en concreto a todo

lo relativo a este Sistema de Gestión de XXX, se hace siguiendo estrictamente los
principios establecidos en el punto 4 de la norma ISO 31000:2018”
La política del sistema XXX es un documento que puede estar o no integrado en el

Manual y que en general debe seguir las especificaciones del punto 5.2 del Anexo
SL.

4.3.2 El Marco de Referencia

Como se indica en el capítulo 5.1 de ISO 31000: 2018, el propósito del marco de
referencia es asistir a la organización en integrar la gestión del riesgo en todas sus
actividades y funciones significativas.
Y esto es precisamente lo que estamos considerando en esta nota técnica. A nivel

práctico, lo recomendable sería que el manual del sistema contara con un capítulo
titulado “Marco de referencia de la gestión del riesgo”, en el que se explicara
precisamente:
1. Cómo se va a considerar el riesgo en el sistema de gestión
2. Cómo se va a verificar que esta forma de considerarlo es eficiente
3. Cómo se va a plantear su revisión para garantizar una mejora continua
Es muy importante que entendamos la diferencia entre considerar el riesgo en un

sistema de gestión y gestionar el riesgo siguiendo el mismo “guión” de los sistemas,
es decir, planificar, hacer, verificar y revisar/actuar (PDCA).
Una cosa es considerar el pensamiento basado en riesgo, y otra muy diferente,

gestionar la forma en la que se considera dicho pensamiento basado en riesgo para
hacerlo cada vez mejor.
En relación con el liderazgo y el compromiso, el capítulo 5.2 de ISO 31000:2018

establece que la alta dirección y los órganos de supervisión, cuando sea aplicable,
deberían asegurar que la gestión del riesgo esté integrada en todas las actividades
de la organización y deberían demostrar el liderazgo y compromiso.
El punto 5.1 del Anexo SL y en consecuencia el manual del Sistema, ya se refiere

precisamente al compromiso y liderazgo. En este sentido, la idea es que se amplíe
este apartado del sistema considerando que:

“Dentro de todos los compromisos adquiridos para llevar a cabo la eficiente gestión
del XXX, se incluyen las políticas y dotaciones de recursos necesarias para
garantizar que el pensamiento basado en riesgo está integrado en la eficiencia de
dicha gestión.”
El capítulo 5.3 de ISO 31000:2018 relativo a la integración ya se está considerando

en toda esta nota técnica, siendo de hecho su principal cometido explicar cómo
podría abordarse dicha integración.
Respecto al capítulo 5.4 de ISO 31000:2018, en cuanto al diseño, recoge los

siguientes elementos:
5.4.1 Comprensión de la organización y de su contexto
5.4.2 Articulación del compromiso con la gestión del riesgo
5.4.3 Asignación de roles, autoridades, responsabilidades y obligación de rendir cuentas
en la organización
5.4.4 Asignación de recursos
5.4.5 Establecimiento de la comunicación y la consulta
La comprensión de la organización y su contexto lo analizaremos en el apartado

del proceso.
La articulación del compromiso con la gestión del riesgo ya lo hemos abordado de

alguna manera en el apartado de liderazgo y compromiso, pero se complementa
con el siguiente punto relacionado con el concepto de funciones y
responsabilidades.
La definición de funciones y responsabilidades es uno de los aspectos críticos a los

que no siempre se le da la importancia suficiente. En términos generales podríamos
decir que:

• El compromiso y el liderazgo es una función y responsabilidad de la alta

dirección pero que debe permear hacia los mandos intermedios y otras
figuras que puedan gestionar equipos de personas.
• La toma de decisiones basadas en la información obtenida de la operativa

de la empresa, así como del proceso de evaluación del riesgo, corresponde
igualmente a la alta dirección que, como vimos en la clase anterior, en
determinadas organizaciones toman forma de órgano específico llamado
comité de riesgos.
• La responsabilidad de llevar a cabo, de forma sistemática, la evaluación del

riesgo debería recaer en departamentos o áreas con conocimientos y
recursos suficientes. Lo óptimo sería contar con un departamento o área de
evaluación de riesgos. Igualmente es perfectamente viable que el
departamento o área responsable de los sistemas de gestión certificables
asuman esta función siempre y cuando, insistimos, cuenten con el
conocimiento y recursos necesarios.
• La responsabilidad de llevar a cabo el tratamiento del riesgo recae en el

comité de riesgos o responsable análogo. En este punto es importante
distinguir entre el que toma la decisión de qué hacer con el riesgo, más
propio de la fase de valoración y el que ejecuta dicha acción, el que trata el
riesgo propiamente dicho.
En muchas organizaciones, especialmente las más grandes, todos aquellos

riesgos que el comité o la dirección deciden que deben tratarse mediante
transferencia serán objeto del trabajo de las áreas de contratación de
seguros.

Sobre el siguiente punto, la asignación de recursos, debemos distinguir tres

grandes ámbitos:
• Los relacionados con profesionales del análisis y la gestión del riesgo

• Los relacionados con la información necesaria para realizar una correcta
evaluación del riesgo
• Los relacionados con todo lo necesario para adoptar las medidas de
tratamiento que puedan llegar a considerarse necesarias
En el punto 7.1 del Anexo SL se hace referencia a los recursos necesarios para
garantizar la correcta gestión del sistema. Será en este capítulo del manual, por
tanto, que podrá considerarse un apartado titulado: “Recursos específicos para la
correcta consideración de la gestión del riesgo”. En dicho apartado se dará
contenido a los tres ámbitos de recursos considerados (personas, herramientas y
medidas).
Finalmente, por lo que respecta al marco, se considera el establecimiento de las

políticas de comunicación y consulta. El contenido relativo a este aspecto tendrá en
cuenta lo que ya considere el sistema en base a lo especificado en el punto 7.4 del
Anexo SL, pero además deberá contar con una descripción específica de los
cambios previstos o previsibles en dicho contexto. Es decir, los sistemas de gestión
certificables describen el contexto en el que operan las actividades, pero la
consideración del riesgo obliga a pensar en cómo puede cambiar ese contexto.
Es importante que se incluya en este apartado una descripción pormenorizada de

los mecanismos de comunicación y consulta de la empresa que podrán ser
posteriormente utilizados como canales de obtención de información para la gestión
del riesgo.

4.3.3 El Proceso
El proceso de gestión del riesgo, tal y como lo define en el capítulo 6 de la ISO
31000:2018, consta de tres grandes grupos de tareas o acciones:
• Las previas a la evaluación: Definición del contexto, comunicación y consulta
• Las propias de la evaluación: Identificación, análisis y valoración
• Las posteriores a la evaluación: Tratamiento, seguimiento, revisión, registro
e informe
Lo recomendable en este punto es la redacción de tres procedimientos

independientes que describan de forma pormenorizada cómo abordar los trabajos
previos, la evaluación y los trabajos posteriores.
En cuanto al primero de estos procedimientos, que podríamos titular “Trabajos

previos a la evaluación de riesgos”, la idea es partir del análisis del contexto
realizado en base a lo indicado en los apartados 4.1 y 4.2 del sistema pero
añadiendo, como hemos comentado, todo un análisis prospectivo que nos permita
conocer el potencial de cambio de dicho contexto y la forma en la que podrían
cambiar las condiciones de trabajo en caso de que se materialice dicho potencial.
Cabe destacar que, a pesar de que en el punto 6.3 de la ISO 31000:2018 se incluye
el alcance, el contexto y los criterios, es preferible que la parte de los criterios se
considere en el procedimiento de evaluación de riesgos que veremos a
continuación.
De esta manera, respecto al segundo de los procedimientos, que podemos titular

“Evaluación del riesgo”, deberemos tener en cuenta la forma en la que se
evaluarán los riesgos, entendidos éstos como el efecto de la incertidumbre sobre
los objetivos del sistema y teniendo en cuenta que la evaluación comprende
identificación, análisis y valoración.

Una propuesta de estructura para el desarrollo de dicho procedimiento sería:
1. Definir los criterios de riesgo entendiendo que deben estar alineados con el
marco de referencia de la gestión (es decir, con todo lo indicado en el punto
3.3.2 de esta nota técnica) y en concreto teniendo en cuenta todo lo que
especifica el punto 6.3.4 de la ISO 31000:2018.
2. Identificación de riesgos como eventos que pueden hacer desviar los

resultados respecto de nuestras expectativas. Este apartado del
procedimiento debe ser una explicación pormenorizada de cómo se
identifican y caracterizan los riesgos y debe tener en cuenta todo lo
especificado en el punto 6.4.2 de la ISO 31000:2018.
3. Análisis de riesgos. Este apartado del procedimiento debe indicar qué es el

análisis de riesgos, que técnicas pueden utilizarse en la organización según
el riesgo a analizar y los recursos disponibles, así como la forma en la que
serán registrados los resultados de dicho análisis. En concreto, deberá
recoger las especificaciones del punto 6.4.3 de la ISO 31000:2018. Lo más
habitual es considerar el análisis de riesgos como combinación de
probabilidad por consecuencias.
4. Valoración del riesgo, como ejercicio de comparación entre los niveles de

riesgo obtenidos en el análisis y los criterios de riesgo definidos previamente.
La valoración debe permitir que el órgano decisor, según se indica en el

punto 6.4.4 de la ISO 31000:2018, tome alguna de las siguientes
alternativas:
• no hacer nada más;
• considerar opciones para el tratamiento del riesgo;
• realizar un análisis adicional para comprender mejor el riesgo;
• mantener los controles existentes;
• reconsiderar los objetivos.

La forma en la que se realizará dicha comparación, habitualmente mediante

mapas de calor, debe ser descrita en este apartado del procedimiento.
Finalmente, como tercer procedimiento que hará referencia a las acciones

posteriores a la evaluación (tratamiento, seguimiento, revisión, registro e informe),
se deberán considerar todos los aspectos relacionados con la forma en la que se
aborda el riesgo evaluado según lo especificado en los puntos 6.5, 6.6 y 6.7 de la
ISO 31000:2018.
En la siguiente clase se trata y desarrolla con detalle todo lo relacionado con este
último punto.
4.4. Algunas consideraciones sobre ISO 14001:2015 e ISO

45001:2018
En las normas ISO 14001:2015 e ISO 45001:2018 hay elementos que pueden ser
confundidos de forma que se entienda que con su abordaje ya tenemos
considerado el pensamiento basado en riesgos.
Por ejemplo, en ISO 14001:2015 uno de los puntos más relevantes es la evaluación
de aspectos ambientales, entendidos estos como elementos que derivan de la
actividad empresarial de la organización (sea producto o servicio) y que tienen
contacto o pueden interactuar con el medio ambiente.
La evaluación de aspectos ambientales requiere, al igual que la evaluación de

riesgos, que se aborde su identificación, análisis y valoración. Igualmente se pide
que haya un trabajo posterior de tratamiento.

Podríamos decir entonces que la evaluación de aspectos ambientales es en sí una

evaluación de riesgos, pero no es exactamente así.
De aspectos ambientales podemos considerar dos tipos, los derivados del normal
funcionamiento de la actividad (consumo de recursos y corrientes residuales como
vertidos y emisiones) y los que se derivan de hechos accidentales.
Los primeros, aunque igualmente se sometan a un proceso de evaluación, difieren

de los segundos (y del concepto de evaluación del riesgo en general) en que no
llevan incertidumbre asociada. Su identificación, análisis y valoración se realiza
sobre evidencias objetivas. No pueden ser valorados en términos de probabilidad
por consecuencia. Son un análisis de impactos y consecuencias reales.
Los aspectos ambientales en situación de emergencia o derivados de hechos

accidentales si llevan asociado un análisis en términos de probabilidad y
consecuencias, y en este sentido su consideración si se asemeja a una evaluación
de riesgos propiamente dicha.
Dicho esto, sería interesante que, en el procedimiento en el que tratamos la

evaluación del riesgo y que hemos visto en el punto anterior, se haga referencia a
su uso en la evaluación de aspectos ambientales en situaciones de emergencia o
anormal funcionamiento.
Por su parte, ISO 45001:2018 requiere una evaluación de riesgos laborales que no
debe confundirse con la evaluación de riesgos del sistema. Es decir, el sistema de
gestión según ISO 45001:2018 no tiene como único objetivo evitar la
accidentalidad.
Una cosa es realizar una identificación, análisis y valoración de todo lo que pueda
influir en la seguridad y salud de los trabajadores, y otra muy diferente considerar
el pensamiento basado en riesgo en el sistema de gestión. Es algo muy parecido a
lo que sucede con los aspectos ambientales y debe ser considerado en los mismos
términos.

5. Conceptos Básicos y Conclusiones

Las principales conclusiones que podemos extraer de esta nota técnica son las
siguientes:
1. Documentar la gestión del riesgo es utilizar las herramientas básicas de
documentación de sistemas: manuales, procedimientos y registros.
2. Hay una relación entre la estructura de alto nivel de ISO (Anexo SL) y la
estructura de la norma ISO 31000:2018 sobre directrices de gestión del
riesgo.
3. Para considerar el pensamiento basado en riesgo es interesante partir del
análisis de la documentación de los sistemas de gestión de la calidad
basados en ISO 90001:2015.
4. No debemos confundir “considerar el pensamiento basado en riesgo” con
“realizar un análisis de riesgos”. El análisis de riesgos es solo una de las
fases de la evaluación del riesgo, que a su vez es solo uno de los
componentes del proceso de gestión del riesgo.
5. Algunos sistemas de gestión requieren de la consideración de determinados
riesgos que deben ser considerados de forma expresa. Es el caso de la
evaluación de aspectos ambientales en situaciones de emergencia o
anormal funcionamiento de ISO 14001:2015, o la evaluación de riesgos
laborales de ISO 45001:2018.
Considerados todos estos puntos, la forma de ser un verdadero experto en la

materia pasa por leer manuales y procedimientos de muchas empresas,
centrándose en aquellos tamaños y sectores que nos sean de más interés. En este
sentido, en internet se puede acceder a gran cantidad de documentación pública
relacionada con sistemas de gestión documentados.

6. Bibliografía
Como hemos indicado en el apartado anterior, la mayoría de bibliografía o recursos
que se pueden recomendar en relación con esta nota técnica, son manuales y
procedimientos a los que se puede acceder de forma pública y gratuita en internet.
No obstante, para tener un mayor conocimiento de la documentación que compone

un sistema de gestión, y tomando como referencia el de calidad, podemos
recomendar:
• Cómo documentar un sistema de gestión de calidad según ISO 9001:2015

López Lemos, Paloma. 2015
• Gestión de la calidad (ISO 9001/2015)

Sergio Sánchez Azor – 2017
• Sistemas de Gestión de Calidad (ISO 9001:2015)

José Manuel Cortés Sánchez - 2017

Idioma

Estructura Documental. Manual y Procedimientos

Cargado por

Información del documento

Título original

Derechos de autor

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Estructura Documental. Manual y Procedimientos

Cargado por

Copyright:

Estructura Documental

EALDE Business School

1. Estructura documental. Manual y procedimientos. .......................................... 1

Objetivos de la Clase .......................................................................................... 1

Conocimientos Previos ....................................................................................... 1

3. Procedimentar la Gestión del Riesgo .............................................................. 6

4. El Riesgo en Sistemas de Gestión Certificables ............................................. 7

4.1 La Estructura de Alto Nivel de ISO. El Anexo SL ...................................... 7

4.2 Considerando las Directrices de ISO 31000:2018 ........................................ 9

4.3 Una Propuesta de Integración .................................................................... 10

4.3.1 Los Principios ....................................................................................... 10

4.3.2 El Marco de Referencia ........................................................................ 12

4.3.3 El Proceso ............................................................................................ 16

4.4. Algunas consideraciones sobre ISO 14001:2015 e ISO 45001:2018 ........ 18

5. Conceptos Básicos y Conclusiones .............................................................. 20

1. Estructura documental. Manual y procedimientos.

EALDE Business School Página 1

Si trabajamos con COSO ERM o con PMBOK, la documentación asociada queda

No obstante, si lo que queremos es considerar la gestión del riesgo como una

En esta clase vamos a abordar precisamente incorporar dichos principios y

EALDE Business School Página 2

El nombre “procedimiento” ha formado parte inseparable de los sistemas de gestión

“Como 7.5 Información documentada

7.5.2 Creación y actualización

7.5.3 Control de la información documentada

EALDE Business School Página 3

Para el control de la información documentada, la organización se ocupará de las siguientes

En términos generales, la estructura documental en sistemas de gestión consta de

1. Un manual es una guía general de la estructura documental del sistema que

2. Los procedimientos, que como hemos indicado recogen instrucciones o

3. Los registros son necesarios para listar acciones, documentos, procesos y

EALDE Business School Página 4

Es importante matizar la diferencia entre registro y formatos de registro. La

El manual y los procedimientos de los sistemas de gestión pueden incluir tanto

EALDE Business School Página 5

3. Procedimentar la Gestión del Riesgo

Si trabajamos con COSO ERM o con PMBOK, la documentación asociada queda

No obstante, si lo que queremos es considerar la gestión del riesgo como una

Con esto no queremos decir que en COSO y PMBOK no se deba documentar la

EALDE Business School Página 6

4. El Riesgo en Sistemas de Gestión Certificables

4.1 La Estructura de Alto Nivel de ISO. El Anexo SL

A continuación, veamos cuál es dicha estructura o índice de contenidos.

1 OBJETO Y CAMPO DE APLICACIÓN

EALDE Business School Página 7

9 EVALUACIÓN DEL DESEMPEÑO

En la documentación anexa a esta nota técnica se adjunta el texto de dicho anexo,

En concreto, si nos centramos en el punto 6.1 en relación con la consideración de

“6.1 Medidas para hacer frente a los riesgos y oportunidades

La organización deberá planificar:

En muchas ocasiones esto se interpreta como la necesidad de añadir un apartado

EALDE Business School Página 8

4.2 Considerando las Directrices de ISO 31000:2018

Recordemos entonces brevemente, el índice de ISO 31000:2018:

1 OBJETO Y CAMPO DE APLICACIÓN

En la documentación anexa a esta nota técnica se adjunta el texto completo de la

EALDE Business School Página 9

4.3 Una Propuesta de Integración

Ciertamente, como veremos, la opción óptima es una mezcla de ambas

Lo importante es hacerlo con criterio para cumplir un doble objetivo:

Trataremos entonces los diferentes capítulos de ISO 31000:2018 indicando cómo

4.3.1 Los Principios

Los 8 principios se muestran en la figura siguiente:

EALDE Business School Página 10

Figura 1: Características de una gestión del riesgo eficaz y eficiente,