En este blog he hablado muchas veces de los requisitos comunes a cualquier sistema de gestión "tipo ISO", y de las ventajas que puede tener la integración de todos ellos. Sin embargo, últimamente me he encontrado con algunos casos que, usando la integración como slogan, lo único que pretendían era aprovechar la existencia de un sistema de gestión (normalmente de calidad, ISO 9001) para reutilizar algunos de sus elementos en el nuevo sistema de gestión que estaban montando, ya sea de gestión medioambiental (ISO 14001), de seguridad de la información (ISO 27001) o cualquier otro. No es que me parezca mal (de hecho, me parece algo lógico y recomendable, dado que sirve para optimizar recursos), pero con lo que no estoy en absoluto de acuerdo es con que a éso se le llame Sistema de Gestión Integrado. Y como no me ha gustado que en un blog me hayan eliminado un comentario esbozando este planteamiento (aunque lo entiendo, ya que es un blog corporativo, y puede ser comprensible que la organización no quiera que aparezcan posturas críticas en una herramienta de marketing), he decidido presentarlo aquí.
Como decía, existen ciertas prácticas que pueden ser recomendables a la hora de solapar o superponer (creo que cualquiera de estos dos términos sería más apropiado) sistemas de gestión. Es conveniente reutilizar las prácticas de gestión desarrolladas, lo que a nivel tangible se convierte en reutilizar la documentación, usando, por ejemplo, los mismos procedimientos de gestión documental y/o de registros o los mismos procedimientos de auditoría. No obstante, no hay que olvidar la especificidad de cada sistema de gestión, y por tanto habrá que ampliar el ámbito de actuación de dichas prácticas a los diversos entornos, de la forma que corresponda en cada caso. Eso nos puede llevar, entre otras cosas, a fusionar en un único documento textos equivalentes en distintos sistemas de gestión, consiguiendo, por poner un ejemplo, un documento único que recoja la política de calidad y seguridad de la información. Del mismo modo podremos acabar teniendo documentos únicos para ambos sistemas de gestión en los que se hable de responsabilidades de la dirección, mejora continua, gestión de no conformidades, ... Si pensamos en el apartado de roles y responsabilidades, algo que también suele ser habitual a la hora de solapar sistemas de gestión es intentar aprovechar las estructuras de gestión existentes (Responsable, Comité, etc.) para el nuevo sistema de gestión. Aunque claro, aquí puede no ser tan sencilla la reutilización, dado que en cada caso se requieren una capacitación y conocimientos específicos y diferenciados, y saber gestionar, por ejemplo, la calidad, no implica saber hacerlo con el medioambiente o la seguridad de la información.
Llegados a este punto es cuando hay que ver qué hemos conseguido al solapar distintos sistemas de gestión: tener una manera común de gestionar cosas distintas. Y ese creo que es precisamente el problema. Si buscamos el término integrar en el diccionario, vemos que hace referencia a la constitución de un todo, de algo global que sintetice las partes. Por lo tanto, creo que no basta con "integrar" la sistemática de gestión (que en realidad ya era la misma), sino que la clave para conseguir un sistema de gestión integrado es ser capaz de integrar aquello que se gestiona, es decir, poder gestionar de manera integrada la calidad, la seguridad o lo que corresponda en cada caso.
Para mí el primer requisito (necesario, pero no suficiente) de un Sistema de Gestión Integrado es, sin duda, que el alcance de ambos sea coincidente. Es más, no creo que se pueda hablar de que cosas distintas puedan estar integradas si su ámbito de aplicación no coincide. A partir de ahí, creo que para hablar de integración de verdad (permitidme que me centre en calidad y seguridad de la información, que es lo que mejor domino) tenemos que ser capaces de considerar de forma simultánea la calidad y la seguridad, y poder entender la una como parte de la otra (y viceversa). No creo que se pueda hablar de integración entre ambos sistemas de gestión si no consideramos la seguridad de la información en en nuestros procesos productivos, si la seguridad no es un factor intrínseco en la selección de proveedores, o si en nuestros análisis de riesgos no consideramos factores de riesgo relacionados con la calidad. En definitiva, creo que para hablar de un Sistema de Gestión Integrado tenemos que centarnos fundamentalmente en integrar aquello que se gestiona (que es lo difícil, obviamente). Y creo que esto es mucho más importante que tratar de que el responsable de calidad y el de seguridad sean la misma persona, ya que incluso se podría hablar de sistemas de gestión integrados en el caso de que sean distintos responsables.
En definitiva, creo que a veces las organizaciones pierden un poco el norte con tanto sistema de gestión normalizado, y se olvidan de que las empresas lo que deberían tener es un único sistema de gestión, el de la organización, independientemente de que el sistema cumpla o no los requisitos de más o menos sistemas de gestión normalizados, o de que ese cumplimiento esté o no certificado por alguien. La preocupación de cualquier organización debe ser el negocio, y negocio no sólo es calidad, o seguridad, sino la suma de todo ello y de mucho más. Así que estaría bien pensar un poco más en tener un sistema de gestión del negocio, que integre la gestión de todos los elementos que lo componen, y no preocuparnos tanto por modas o certificaciones que, si hacemos las cosas bien, se acaban integrando "solas"...
Suscribirse a:
Enviar comentarios (Atom)
4 comentarios:
Comparto completamente tu opinión. Personalmente siempre al arrancar un proyecto 27001 en una organización que cuenta con 9001 hablamos de la integración de operativas, pero tenemos claro que las actividades de gestión, aun siendo similares, no pueden siempre caer en los mismos responsables.
Es obvio que conocer como funciona el ciclo PDCA ayuda, pero no es suficiente para hacer bien cada proceso. No se requieren los mismos conocimientos para hacer la revisión por la dirección de un SGSI que de un SGC, por ejemplo.
Tengo intenciones de implementar un SGSI y mi Jefe también tiene la idea de implementar COBIT, las dudas son varias:
- Se pueden implementar a la par?, o
- Al implementar COBIT ya cubre lo relacionado con SGSI.
- Se debe implemetar primero uno y después el otro?, cual?
Saludos!
Excelente Blog!
Se me olvido mencionar que tenemos implementado ya un SGC para uno de los procesos de negocios desde hace varios años y se esta iniciando la implementación del SGC en toda la organización en estos momentos.
Saludos!
Buenas,
Teniendo un SGC como referencia, yo empezaría por un SGSI. Tienes que tener en cuenta que CobiT actualmente es un modelo muy anbicioso, cuya implementación algunos consideran poco menos que utópica (algo así como implementar ITIL). No obstante, ambos modelos son perfectamente compatibles, y CobiT es muy útil para reforzar un SGSI, sobre todo en relación a objetivos y métricas. Pero claro, hay que tener en cuenta que no se puede pasar de 0 a 100 de manera instantánea, el proceso debe ser progresivo...
¿Y el resto de los lectores del blog? ¿Estáis de acuerdo con la recomendación? ¿Qué diríais vosotros?
Publicar un comentario