ISO 45001 Sistemes de Gestió de la Seguretat i Salut en el Treball

1. Desenvolupament de la norma ISO 45001.

Actualment la norma està a la fase ISO / DIS 45001.

Als últims anys, han sorgit molts referencials que funcionen com a referent de sistemes de gestió de la seguretat i salut laboral, com ara:

ISO ha intentat unificar el referencial. Ha estat difícil per reticències de països, empresaris i sindicats degut a:

  • Diferències normatives entre països
  • Tenir Instituts i Organismes (com INSHT) que ajuden a implantar sistemes de gestió o mètodes d’avaluació de riscos.
  • La responsabilitat dels empresaris és diferent segons el país. La norma ISO 45001 va a millorar la seguretat i salut dels contractistes, sent una garantia que està involucrat en ella. Hi havia reticències sobre si la certificació ISO 45001 implicaria més responsabilitats que la legal
  • El Comitè de Salut, tindrà unes responsabilitats més, en assumir tasques del sistema de gestió. Hi havia reticències de doblar funcions.

Desenvolupa aquesta norma el Comitè ISO / PC 283, format per 74 països i 17 organitzacions relacionades amb la Seguretat i Salut en el treball (com ILO, IOSH o ITUC). +AENOR representa Espanya. Està treballant sobre la normativa, així com sobre una guia d’interpretació.

ISO 45001 – Sistemes de gestió de la Seguretat i Salut Laboral

Està disponible a la pàgina web d’AENOR el borrador ISO / DIS 45001.

2.1. Estructura d’alt nivell (HLS)

La norma ISO 45001 té l”estructura d’alt nivell (HLS) implica tenir el mateix index que altres normes. És una forma de dissenyar els sistemes de gestió compatible amb altres sistemes de gestió (com ISO 9001 i ISO 14001), permetent alinear-se amb totes les normes i la millora continua.

2.2. Termes comuns

Les definicions (com ara de treballador, salut, dany i deteriorament, incident, risc i parts interessades) es basen en les definicions de l’estructura d’alt nivell, afegint o concretant conceptes que normalment ja existeixen. S’han afegit les definicions que no s’havien tingut en compte.

2.3. Conceptes nous o reforçats a la norma ISO 45001

Son conceptes alinets amb les normes ISO 9001 i OSHAS 18001. En destaquem els següents conceptes:

  • Pensament basat en el risc. Tinc que començar pensant en els riscos.
  • Compromís de l’alta direcció que implique una cultura preventiva de la organització.
  • Context de l’estratègia empresarial, analitzant tot el que envolta l”organització.
  • Evidencia del compliment (dels requisits legals)
  • Necessitats i recursos (materials, humans, coneixement)
  • Indicadors per la millora continua
  • Participació dels treballadors en tots els nivells de l’organització, a través dels representants dels treballadors(sempre que sigui un requisit legal, en el cas que no ho sigui, es recomanen els representants dels treballadors).

2. Principals requisits de la norma ISO 45001

Els apartats de la norma ISO 45001 específics o que es diferencien més de les normes més habituals son: el 5.4.; 6.1.; 7.4.; 8.2.; 8.3.; 8.5.; 8.6.; 9.1 i 10.6. D’una forma més concreta, els principals requisits de la norma son:

  • Cicle PDCA o de millora continua ha d’estar liderat per la Direcció, però sempre amb la participació dels treballadors.
  • Context. A l’annex de la norma ISO 45001 s’especifiquen les parts interessades rellevants a més dels treballadors (directius – fora de conveni – i no directius). Cal tenir en compte que els directius, en no ser alts directius, no estiguin representats i estiguin fora de conveni. Els directius, per exemple tenen risc d’estrès.
  • Lideratge. El líder ha de ser capaç que sigui percebut com a tal (assumir la que el líder sigui percebut com a tal, assumint la seva responsabilitat i rendint comptes). El líder cal que recolzi a les persones a:
    • Promoure la participació activa
    • Millora continua
    • Recursos i procés
    • Persones i comunicació
    • Estratègia de negoci
  • Consulta i Participació:
    • Consulta: Implica buscar les opinions dels treballadors abans de prendre una decisió.
    • Participació. Implicació dels treballadors en la presa de decisions.
  • Planificació:
    • Identificació dels perills i oportunitats de millora
    • Avaluació dels riscos.
    • Cal considerar els requisits legals
  • Informació i comunicació: Necessitat d’informar. Informar és diferent que comunicar, implica que siguin conscients i que entenguin allò de què informem. En informar i comunicar hem de tenir en compte els objectius, requisits i diversitat. Tenir-ho en compte implica més compromís.
  • Recolzament, cal definir els recursos, presa de consciència i competència.
  • Operació. Cal tenir en compte la jerarquia dels controls. Tracta de la contractació, contractació externa (tot allò que està fora de l’organització però que està a l’abast de la certificació i de tot allò que no sigui activitat principal) i compres. També té en compte la gestió del canvi i la preparació i resposta davant d’emergències.
  • Avaluació del desempeny. Cal definir un mètode d’avaluació, inclòs el mètode per avaluar el compliment legal.
  • Millora continua. Apareix la paraula incident (diferenciat de no conformitat), no conformitats i accions correctives. Per exemple, si cau un llamp, no provoca una no conformitat. A la norma està més definida la sistemàtica de la millora continua que a altres normes com ara la ISO 9001, requerint un procés de millora continua i objectius de la millora continua.

3. Procés de migració d’altres referencials

Actualment, la norma més habitual amb que es certifica un sistema de gestió de la seguretat i salut laboral és la norma OSHAS 18001.

Com que la ISO 45001 és nova, no pot existir una transició. Probablement durant un temps conviurà tant la OSHAS 18001 com la ISO 45001. S’està treballant en un procés de migració per poder convertir fàcilment un certificat OSHAS 18001 en ISO 45001.

Des d’ +Emas Consultors – Consultoria ISO et podem ajudar amb la ISO 45001

ISO 45001 de Seguretat i Salut Laboral

1. Nova ISO 45001 de Seguretat i Salut Laboral.

Per la millora de la seguretat i salut laboral, ISO està desenvolupant la nova norma ISO 45001 Sistemes de gestió de seguretat i salut laboral, que ajudarà a millorar la seguretat dels treballadors, reduir els riscos del lloc de treball i crear millors condicions de treball més segures, per tothom.

Està desenvolupat la norma ISO 45001 un comitè d’experts en seguretat i salut laboral, i seguirà un altre sistema de gestió genèrica enfocaments com ara ISO 9001 i ISO 14001. Es tindrà en compte altres normes de salut i seguretat en el treball, com ara OHSAS 18001, i les Directrius de l’Organització Internacional del Treball – OIT.

Estructura de la ISO 45001:2016 de Seguretat i Salut Laboral

2. A qui va dirigida la ISO 45001 de Seguretat i Salut Laboral?

La norma ISO 45001 sobre seguretat i salut laboral, està pensada per qualsevol organització, independentment de la seva mida o sector d’activitat, i es pot integrar als requisits legals i altres normes com ara ISO 9001 o ISO 14001.

3. Procés d’elaboració de la norma ISO 45001.

Els projecte de norma ISO 45001 estarà disponible a través del seu membre d’ISO local (AENOR a l’Estat Espanyol). El Comitè Tècnic ISO/PC 283 aquest setembre ja ha presentat l’esborrany DIS de la nova norma ISO 45001, actual OHSAS 18001 de “Sistema de Gestió de  de Seguretat i Salut en el Treball”. Ara ja es pot revisar l’esborrany DIS per ser traduït i aportar-hi esmenes.

Un cop conclòs el període per fer aportacions a la norma i traduir-la, l’esborrany DIS serà sotmès a votació per part dels organismes nacionals de normalització. La publicació definitiva de la norma ISO 45001 està prevista per l’any 2016.

A través d’EmasConsultors oferim una àmplia varietat de serveis de consultoria ISO vinculats amb la nova norma ISO 45001:

  • Consultoria ISO per un certificat ISO que compleixi els requisits de la norma ISO 45001  de seguretat i salut laboral o adapti la certificació OSHAS 18001 a la nova norma.
  • Auditoria ISO interna, integrada amb altres certificats. El pot ajudar a complir els requisits de la norma ISO 45001 de seguretat i salut laboral.
  • Formació in-company o online a partir de l’anàlisi de carències amb l’objectiu d’ajudar a implantar la seguretat i salut laboral segons la norma ISO 45001 a la seva organització.

ISO 19600 – Programa de Corporate Compliance

1. Corporate Compliance – Prevenció i gestió dels riscos legals

Cada vegada és més complex i abundant l’entorn legislatiu d’una empresa. A més les autoritats i organismes legislatius vigilen intensament el compliment dels requisits.

Els recents escàndols societaris  i l’augment de l’ètica dels negocis han fet que cada vegada més organitzacions incorporin la Corporate Compliance o protocols de bon govern d’obligat compliment que incorporin els requisits ètics i legals, establint mecanismes interns de prevenció, gestió, formació, detecció, minimització i control dels mateixos.

La norma ISO 19600 per la gestió de la Corporate Compliance aporta els següents beneficis:

  • Transparència. Al nostre entorn econòmic és temptador buscar solucions ràpides als problemes de les empreses vulnerant la legalitat. En aquest marc, la corrupció – tant pública com entre particulars -, els acords o pràctiques no competitives i la vulneració dels drets dels treballadors tendeixen a augmentar. 
  • Millora la reputació gràcies a la transparència que implica la Corporate Compliance, reduint el risc de perdre negoci per contractes no executables o l’exclusió de licitacions o subvencions públiques.
  • Minimitzar el risc a multes i sancions en requerir una gestió penal que redueix el risc a sancions lligades amb incompliments legals. Diferents normes espanyoles recalquen la importància de la prevenció com eina eficaç per lluitar contra aquestes pràctiques. Gràcies a la ISO 19600 sobre Corporate Compliance l’empresa està preparada per una inspecció sorpresa
  • Aplicable a tot tipus d’organitzacions i compatible amb altres normes que estableixen sistemes de gestió com ara la ISO 9001, ISO 22301, ISO 14001 i OSHAS 18001.

Programa de gestió de la Corporate Compliance
Programa de Corporate Compliance

    2. Requisits de la norma ISO 19600 sobre Corporate Compliance.

    La creació i implantació d’un programa integral de Corporate Compliance seguint els requisits de la norma ISO 19600 aplica a múltiples àrees d’activitat, tenint en compte els següents elements clau:

    • Direcció i lideratge. D’acord amb la ISO 19600, un programa sòlid de Corporate Compliance sols pot existir en el context de l’adequada cultura corporativa, liderada i exemplificada per l’alta direcció. És necessari un esforç de comunicació permanent per que els treballadors entenguin o interioritzin el missatge d’una conducta ètica professional.
    • Estructura organitzativa. Per que un sistema de Corporate Compliance segons la norma ISO 19600 sigui sòlid, és fonamental que els responsables de la seva supervisió tinguin un accés directe als òrgans de gestió, tenint en compte que les qüestions relatives a la conducta ètica i professional. Establir a l’organigrama a un responsable de Corporate Compliance reforça el lideratge que un programa d’aquesta naturalesa necessita per ser eficaç.
    • Avaluacions de risc. La norma ISO 19600 requereix identificar i valorar de forma global els seus riscos i establir-ne procediments de seguiment i controls. Factors com el tipus de clients, les polítiques comercials i altres aspectes empresarials i jurídics del mercat en que s’opera, els controls financers i la subcontractació de tercers seran determinants en establir el nivell de risc.
    • Normes generals. Com a punt de partida de la Corporate Compliance seguint la norma ISO 19600 són necessaris els codis de conducta i de bon govern. Però també cal considerar altres aspectes com traslladar els valors ètics de l’empresa a totes les seves àrees d’actuació, establint normes i protocols d’actuació per adequar-los al dia a dia.
    • Controls interns o mecanismes d’aplicació pràctica per garantir el compliment de les polítiques de Compliance. En destaquem els controls interns que busquen identificar i prevenir conductes indesitjades.
    • Formació i comunicació. L’èxit del programa de Corporate Compliance es basa en establir accions de formació que siguin una garantia que els treballadors entenguin què s’espera d’ells. A la vegada, la comunicació adequada del missatge de conducta ètica professional i el seu compliment cal que sigui permanent, fins convertir-se en un tret diferenciador de la cultura empresarial.
    • Supervisió i auditoria. Aplicar un sistema integral de revisió del comportament professional és un altra dels aspectes clau d’un programa de Corporate Compliance segons la norma ISO 1600, així com la revisió dels acords i pràctiques dels diferents acords.
    • Investigacions i actuacions correctives. És molt més eficient prevenir els possibles problemes que puguin sorgir a través duna investigació interna i tractar de solucionar-los, abans que siguin públics implicant un dany reputacional.

    Es destacable que el fet de tenir un programa de Corporate Compliance pot ser una circumstància rellevant a una avaluació de la responsabilitat de l’empresa.

    3. Links sobre Corporate Compliance segons ISO 19600.

      OEA i la ISO 28000 per la Seguretat de la Cadena de Subministrament

      1. Beneficis de la Seguretat de la Cadena de Subministrament

      Entenem com a cadena de subministrament, al conjunt de recursos i processos que comença amb la provisió de matèries primeres i s’estén fins al lliurament de productes o serveis a l’usuari final, gràcies al comerç internacional a través dels diferents mitjans de transport.

      La gestió de la seguretat de la cadena de subministrament permet assegurar un bon nivell de seguretat en el comerç internacional. L’Operador Econòmic Autoritzat i el certificat segons la norma ISO 28000 en son eines per aconseguir-ho, aportant els següents beneficis:

      1. Augmentar la seguretat de la cadena de subministrament sense obstaculitzar el comerç internacional, d’acord amb les normes de l’Organització Mundial de Duanes (WCO) en el marc de les Normes SAFE.
      2. Reforça la imatge i credibilitat de l’empresa en assegurar el compliment de la legislació aixó com combatre les activitats de contraban, robatori i deteriorament dels bens.
      3. Millora l’eficàcia davant dels competidors, seguint amb eficàcia i eficiència el flux de mercaderies, Evitar malbaratar mitjans i recursos, focalitzant els esforços en aquelles àrees crítiques i que han estat definides gràcies a una anàlisi prèvia.
      4. La millora continua de la seguretat de la cadena de subministrament basat en el cicle de Deming (PDCA) a partir de conèixer els processos de l’organització així com les mesures correctores i opcions de millora de la seguretat de la cadena de subministrament a implantar. El certificat OEA o ISO 28000 permet donar una resposta més ràpida davant d’una situació d’emergència, prenent millors decisions, basades en una anàlisi de riscos de la seva seguretat de la cadena de subministrament.
      OEA - Operador Econòmic Autoritzat
      OEAOperador Econòmic Autoritzat i ISO 28000 per la seguretat de la cadena de subministrament

        2. Operador Econòmic Autoritzat (OEA) i la norma ISO 28000

        L’Operador Econòmic Autoritzat (OEA) i la norma ISO 28000 es dirigeixen a les empreses que intervenen en la cadena de subministrament dels productes i serveis, que vulguin demostrar conformitat i compromís amb la gestió de la seguretat de la cadena de subministrament i amb les disposicions duaneres.

        La norma ISO 28000 defineix els requisits per la gestió de seguretat de la cadena de subministrament. Per implantar-la, cal:

        • Definir una política i objectius de millora de la gestió de la seguretat de la cadena de subministrament.
        • Avaluar i planificar els riscos de seguretat. Requereix avaluar l’entorn de seguretat en què s’opera, determinant els “plans de reacció” amb les mesures de seguretat adequades a implantar, així com, si escau, assumint requisits de seguretat de la cadena de subministrament més estrictes que els reglamentaris.
        • Control operacional per assegurar la implantació de les mesures adoptades, fent-ne un seguiment adequat.
        • Millora continua aplicant les les accions correctives pertinents, analitzant els resultats en el marc de la “Revisió per la Direcció”.

         Un Operador Econòmic Autoritzat (OEA) implica complir requisits vinculats amb:

        • Conformitat demostrada amb les disposicions duaneres.
        • Sistema satisfactori per la gestió dels expedients comercials.
        • Viabilitat financera.
        • Consulta, cooperació i comunicació amb les Duanes.
        • Educació, formació i sensibilització.
        • Intercanvi, accés i confidencialitat de la informació.
        • Seguretat de les mercaderies.
        • Seguretat dels enviaments.
        • Seguretat de les instal·lacions.
        • Seguretat del personal.
        • Seguretat del soci negociador.
        • Gestió de crisis subsanació d’incidents.
        • Mesura, anàlisis i millora.

        Per tant, si ho mirem amb detall, veurem que el certificat OEA i ISO 28000 es complementen. Per això, tant la certificació ISO 28000 com el OEA (Operador Econòmic Autoritzat) es pot integrar amb les normes més habituals com ara la ISO 9001, ISO 14001, OSHAS 18001.

        3. Recursos vinculats amb la cadena de subministrament i OEA

        Seguretat de la Informació: Termes i definicions

        Termes i definicions d’un “Sistema de Seguretat de la Informació” – SGSI:

        • Actiu: Qualsevol be que té valor per l’organització (ISO 13335). La seva gestió es pot optimitzar amb un “Sistema de Gestió de la Seguretat de la Informació” o “SGSI” segons ISO 27001, implantat amb la nostra consultoria ISO.
        • Disponibilitat: Vinculat amb la seguretat de la informació es refereix a la propietat de ser accessible i utilitzable per una entitat autoritzada. (ISO 13335)
        • Confidencialitat: La propietat vinculada amb la seguretat de la informació per la que la informació no es posa a disposició o es revela a individus, entitats o processos no autoritzats. (ISO 13335)
        • Seguretat de la informació: La preservació de la confidencialitat, la integritat i la disponibilitat de la informació, podent, a més abastar altres propietats, com l’autenticitat, la responsabilitat, la fiabilitat i el no refús (ISO 17799).
        • Esdeveniment de seguretat de la informació: L’ocurrència detectada en un estat d’un sistema, servei o xarxa que indica una possible violació de la política de seguretat de la informació, una errada de les salvaguardes o una situació desconeguda fins el moment i que pot ser rellevant per la seguretat de la informació. [ISO/IEC TR 18044]
        • Incident de seguretat de la informació: Un únic esdeveniment o una sèrie d’esdeveniment de seguretat de la informació, inesperats o no desitjats, que tenen una probabilitat significativa de comprometre les operacions empresarials i d’amenaçar la seguretat de la informació. (ISO 18044)
        • Sistema de gestió de la seguretat de la informació (SGSI). La part del sistema de gestió, basada en un enfoc de risc empresarial, que s’estableix per crear, implementar, operar, supervisar, revisar, mantenir i millorar la seguretat de la informació.
          El sistema de gestió de la seguretat de la informació o SGSI inclou l’estructura organitzativa. les polítiques, les activitats de planificació, les responsabilitats, les pràctiques, els procediments, els processos i els recursos. Pot seguir els requisits de la norma ISO 27001.
        Termes i definicions vinculats amb la Seguretat de la informació
        SGSI Termes i definicions de la seguretat de la informació
        • Integritat: La propietat de salvaguardar l’exactitud i completesa dels actius. (ISO 13335)
        • Risc residual: Risc romanent que existeix després que s’hagin pres les mesures de seguretat. [ISO Guide 73]
        • Acceptació del risc: La decisió d’acceptar un risc a la seguretat de la informació. [ISO Guide 73].
        • Anàlisi de riscos: Utilització sistemàtica de la informació disponible per identificar perills i estimar els riscos a la seguretat de la informació. [ISO Guide 73]
        • Avaluació de riscos: El procés general de l’anàlisi i estimació dels riscos a l’anàlisi i estimació dels riscos a la seguretat de la informació. [ISO Guide 73]
        • Estimació de riscos: El procés de comparació del risc a la seguretat de la informació estimat amb els criteris de risc, per així determinar la importància del risc a la seguretat de la informació. [ISO Guide 73]
        • Gestió de riscos: Activitats coordinades per dirigir i controlar una organització respecte als riscos de la seguretat de la informació. [ISO Guide 73]
        • Tractament de riscos de seguretat de la informació: El procés de selecció i implementació de les mesures encaminades a modificar els riscos de la seguretat de la informació. [ISO Guide 73].
        • Declaració d’aplicabilitat: Declaració documentada que descriu els objectius de control i els controls que son rellevants pel “Sistema de Gestió de la Seguretat de la Informació” o SGSI de l’organització i aplicables al mateix.
          Els controls del “Sistema de Gestió de Seguretat de la Informació” o SGSI es basen en els resultats de l’avaluació de riscos de seguretat de la informació (requisits legals o reglamentaris, obligacions contractuals i les necessitats de l’organització en matèria de seguretat de la informació).

        Ciberseguretat per minimitzar les ciberamenaces

        Sistemes de gestió per minimitzar ciberamenaces.

        Encara hi ha moltes organitzacions que pensen erròniament que la informació que tenen i la que manipulen no és interessant per ningú. L’augment de l’externalització dels serveis, l’ús del cloud computing, la informàtica mòbil, el teletreball obliga a gestionar de forma adequada la ciberseguretat de la seva informació corporativa i de les seves infraestructures tecnològiques.

        Una breu definició de ciberseguretat seria el conjunt de polítiques, eines, tecnologies, proteccions, formació i bones pràctiques dirigides a protegir els actius de les empreses, organitzacions i els usuaris del ciberentorn.

        La ciberseguretat és multidisciplinari, amb un gran component tecnològic, extremadament complexa i d’un abast molt ampli ja que afecta a tot tipus d’organitzacions (des d’una multinacional a una pime), infraestructures i administracions. La ciberseguretat té en compte a tot tipus de hardware, tant industrial i professional com el destinat a l’oci i ús personal (equips informàtics en general, caixers automàtics, tauletes, telèfons mòbils, TPV, càmeres, firewalls, routers, PLC, smartphones, etc.); i a tot tipus de software i plataformes (sistemes operatius, software de control industrial, entreteniment, multimedia, comunicacions, control remot, xarxes socials, missatgeria instantània, etc.).

        La ciberseguretat afecta molt especialment, encara que no exclusivament, a tots aquells dispositius connectats o connectables a Internet.

        Actualitat i futur de les ciberamenaces i ciberseguretat

        Ningú dubte de la importància creixent de les ciberamenaces a través de la ciberdelinquència, ciberespionatge, ciberguerra, delictes vinculats amb les noves tecnologies com robatoris d’informació, suplentacions d’identitat, hacking, enginyeria social o casos de ciberacòs entre altres.

        Ciber Seguretat per evitar les ciberamenaces
        Ciberseguretat per evitar les ciberamenaces

        A pesar de l’augment i sofisticació dels cibertatacs, hi ha una escassa consciència general del risc, sense tenir que el futur de la ciberseguretat es pot resumir en dues paraules: moltes sorpreses. En aquesta línia, es pot apuntar com a molt probables les següents ciberamenaces:

        • Més ciberdelictes. Encara que s’esperen mesures normatives i legislatives per protegir la ciberseguretat, cal ser conscient que hi ha una sèrie de factors (com ara la facilitat de delinquir a distància i l’anonimat, l’absència de sensació de perill) que fan preveure un augment dels ciberdelictes. Alguns experts asseguren que és molt més econòmic robar un projecte industrial o empresarial que emprenderlo des de cero. I és molt més còmode  intentar-lo amb atacs informàtics que per medis físics.
        • Augment del malware. Cada vegada hi ha més dispositius mòbils amb apps. Moltes de les apps tenen noves funcionalitats i sofisticades utilitats que accedeixen, manipulen i controlen més informació sensible sobre els usuaris. Tota aquesta informació pot tenir un gran valor. Les diferents vies per les que s’interconnecten els nostres ordinadors i dispositius mòbils fan augmentar el risc d’exposició al malware. Tot això fa pensar en un augment del malware per dispositius mòbils, així com un augment del seu nivell de sofisticació.
        • Augment de les activitats de ciberespionatge i ciberguerra. L’augment imparable del ciberespionatge i ciberguerra està originat perquè és més econòmic el ciberespionatge que l’espionaje tradicional.
        • Augment del cibersabotatge. Són evidents els riscos que ha introduït la connexió a sistemes de control industrial a Internet. Aquesta interconnexió té grans beneficis però també té ciberamenaces vinculades amb el cibersabotaje i ciberterrorisme contra infraestructures crítiques, o ciberespionatge de sectors estratègics. 

        Sistemes de Gestió de la Seguretat per la Ciberseguretat

        És necessari tenir un sistema de gestió a l’àmbit d eles TIC en general i de la ciberseguretat en particular. Encara que en ciberseguretat no tot es pot planificar, cal tenir un sistema de gestió basat en el cicle de millora continua (PDCA). En poden ser útils les següents normes:

        • Norma ISO 9001 de qualitat on a més d’aplicar-se de forma global a l’organització dongui resposta a la necessitat de combinar servei i seguretat (inclosa la ciberseguretat), implantant una política de seguretat i tenint en compte requisits inclosos a altres normes com la ISO 27001 o la ISO 20000.
        • Norma ISO 27001 sobre la gestió de la seguretat de la informació (SGSI). La ISO 27001 proporciona un marc per identificar les possibles amenaces i a partir d’un “Pla de continuïtat de negoci” garantir el funcionament de les organitzacions  durant i després d’interrupcions incloses aquelles que estiguin provocades per les ciberamenaces
        • Norma ISO 20000 Requisits del Sistema de Gestió del Servei, considerant que cal saber adaptar la ciberseguretat a les ciberamenaces en matèria de seguretat com ara els petits casos de frau vinculats amb el comerç electrònic.
        • Norma UNE 166002 sobre els Requisits del Sistema de Gestió de la R+D+i, inclosa la innovació, ajuda a adaptar-se als canvis constants vinculats amb les ciberamenaces i ciberseguretat, prioritzant les inversions en R+D+i necessàries.
        • Normes ISO 22301 e ISO 22313 sobre Sistema de Gestió de la Continuïtat del Negoci, ajuden a reaccionar al ritme que arribin els canvis. 

        Recursos vinculats amb Ciberseguretat.

        Gestió del risc: Pla de continuïtat del negoci i Pla de contingència

        La gestió del risc com una part de la gestió per processos.

        La norma ISO 9001 reforça la gestió per processos, recollint entre altres, la necessitat d’identificar els elements d’entrada i els resultats esperats de cada procés així com la necessitat de fer servir indicadors que avaluïn el funcionament eficaç dels processos, justificant encara més la integració de la ISO 9001 amb el quadre de mando.

        Però el més nou de la norma ISO 9001 referent a l’enfocament a processos és que cal tenir en compte la gestió del risc. Suposa que l’organització identifiqui els possibles escenaris en els que podrien no complir-se els resultats esperats, i que estableixi les accions escaients per la gestió del risc identificat, anant més enllà del que suposava fins ara les accions preventives.

        L’enfoc basat en processos basat en la gestió del risc de la nova ISO 9001 cal que sigui flexible perquè pugui tenir en compte la diversitat de processos que poden definir-se, i les diferents conseqüències que una situació de risc pot tenir sobre els requisits dels productes i serveis, o sobre la satisfacció del client.

        Cada organització ha d’adoptar la gestió del risc en funció de la seva activitat i sistema de gestió que ha d’incloure la metodologia per avaluar els riscos.

        Gestió del risc amb un pla de continuïtat del negoci i pla de contingència
        ISO 9001 i Gestió del Risc

        Pla de continuïtat del negoci segons ISO 22301

        Un pla de continuïtat del negoci o Business Continuity Plan (BCP) és una eina per la gestió del risc en descriure com ha d’actuar l’organització després d’una interrupció no desitjada o desastre per recuperar i restaurar les funcions crítiques, parcial o totalment interrompudes dins d’un temps predeterminat. Per ajudar a la gestió del risc i minimitzar l’impacte dels incidents que provoquen una interrupció de l’activitat recomanem complir amb els requisits de la norma “ISO 22301: Gestió de la Continuïtat del  Negoci”

        Pla de contingències

        Un pla de contingències garanteix la continuïtat del funcionament ajudant a partir de la gestió del risc, a controlar i minimitzar qualsevol emergència o i a minimitzar les seves conseqüències. Un plan de contingència té quatre etapes: la identificació i avaluació de riscos, la planificació, les proves de viabilitat i la seva execució.

        El pla de contingències per la gestió del risc està vinculat amb la gestió d’emergències ambientals de la norma ISO 14001 o la gestió del risc informàtic d’acord amb la norma ISO 27001 o ITIL (Disaster recovery Plan) per que una empresa pugui recuperar-se d’un desastre informàtic i restablir les seves operacions amb rapidesa.

        BRC Food versió 7

        La versió 7 de la BRC Food (d’obligat compliment a partir de 1 de juliol del 2015) igual que el IFS, ISO 22000, SQF és un referencial alimentari, que està triomfant sobretot en el mercat anglès. Tots aquestes normes estan validades per GFSI.

        BRC Food versió 7
        BRC Food Versió 7

        Origen dels canvis a la norma BRC Food

        Els canvis de la norma BRC Food sovint estan fonamentats per les 10 no conformitats més habituals, trobades a l’aplicació de la BRC, segons les certificadores de BRC Food. Els principals canvis i aspectes importants estan motivats per:

        • Fraus com la Carn de cavall – Informe Elliot – Einforme EU 2013/2091. Ha implicat una definició més clara què vol dir frau i es tracta de posar en valor la relació entre el sector públic i privat. 
        • Presència d’elements químics com ara al·lèrgens (presencia de traces), que aplica a més de 17 milions de persones segons EAACI. o augment de la importància d’elements químics ja que a l’Informe RASFF cada vegada es dona més importància a la presencia d’elements químics que de patògens. També cada vegada tenen més importància la presencia de cossos estranys i els productes que estiguin en contacte amb els aliments (envasos). Segons RedSCIRI també cada vegada son més important la contaminació d’elements químics. 
        • Requisits per zones: La norma BRC Food distingeix zones d’alt risc / cures especials- Ambient – Hight Care 
        • Procés d’auditoria implicant un canvi en el compromís minorista o duplicitat d’auditories 

        Característiques BRC Food v 7

        A partir dels manuals per implantar la norma BRC i interpretació de la norma destaquem de la versió 7 de la norma BRC Food les següents característiques:

        • Hi ha 305 requisits, 21 requisits més que en el cas de la versió 6 
        • 12 requisits fonamentals (a la versió n’hi havia 10) 
        • Sistema de certificació per graus AA, A, B, C y D més rigorós 
        • Tipus de no conformitats: Crítiques, Majors i menors, igual que a la versió 6 
        • Programa de Mercats Globals BRC Food (amb tres nivells bàsic. Intermedi o certificat) 
        • Mòduls voluntaris (que abans no hi eren) i que estan per desenvolupar. 
        • Les exclusions cada vegada són més complicades i cal que constin al certificat.. 
        • Sistema que asseguri la informació de nous riscos per l’autenticitat de les matèries primeres. 
        • Requisits destacats de BRC versió 7

        De forma més concreta, destaquem els següents canvis de la norma BRC Food versió 7:

        • Auditories internes. Planificació durant tot l’any les auditories internes que tingui com abast la implantació del pla APPCC. Les auditories no anunciades, continua igual que a la versió 6. Un dels canvis més importants és que fàcilment passarem a auditories de seguiment semestral en comptes d’anuals. 
        • Avaluació i certificació de grups de matèries primeres i proveïdors. Cal avaluar i homologar proveïdors i grups de matèries primes, cal que estigui documentada com a mínim un cop l’any. L’aprovació i seguiment dels proveïdors es farà a través d’auditories GFSI o auditories exhaustives. A la nova norma els qüestionaris sols es permeten a proveïdors de baix risc. Especifica l’envasat com un més dels processos subcontractats. 
        • Compres a través de brokers. Les compres de matèries primeres a través de brokers requereix més informació que ara., tenint que conèixer la identitat de l’últim fabricant o envasador. 
        • Retirada de productes. La retirada de productes cal seguir-la i incloure a l’avaluació APPCC i es tingui en compte la seva gestió, incorporant la versió 7, requisits de com fer-ho, considerant-ho com a subproducte. 
        • Etiquetatge i marca del distribuïdor. La norma BRC Food versió 7 insisteix en els envasos obsolets i l’etiquetatge de la marca del distribuïdor. 
        • Traçabilitat, cal assegurar la traçabilitat eficaç de forma documentada, com a mínim un cop cada 3 anys. 
        • Enfocat al client, controlant el compliment de tots els requisits del contracte amb el client i no sols aquells requisits vinculats amb qualitat. 
        • Manteniment. La nova versió de BRC Food requereix a la zona de Hight Risk i Hight Care utensilis específics per aquelles zones. 
        • Gestió del frau, ara, la norma BRC Food li dóna molta més importància. Sovint requerirà fer anàlisis. 

        Podem estar al corrent de qualsevol canvi del protocol de BRC Food o de les seus requisits voluntaris a través de www.brcparticipate.com. També poden ajudar a estar informats altres webs com RASSF, AECOSAN o MARM.

        Consulta aquí la versió en castellà de la norma BRC.

        Sistema Integrat de Gestió: Integrar la ISO 9001, ISO 14001 i OSHAS 18001

        Sistema Integrat de Gestió per millorar l’eficàcia i eficiència dels seus certificats

        Qualsevol empresa amb un certificat ISO que integri més d’una norma (com ISO 9001 de qualitat, ISO 14001 de gestió ambiental i OSHAS 18001 de Seguretat i Salut Laboral ) cal que tinguin un sistema integrat de gestió.

        Integrant els processos en un únic sistema de gestió, permet agrupar de forma més eficient tant la documentació dels certificats ISO com de la pròpia activitat de la companyia. La paraula clau d’aquesta decisió és l’eficiència dels processos del sistema integrat de gestió segons les normes ISO 9001, ISO 14001 i OSHAS 18001, optimitzant els recursos, controlant millor els resultats i facilitant la millora continua.

        En un sistema integrat de gestió s’eviten redundàncies i accions contradictòries gràcies a l’anàlisi conjunt de tots els processos involucrats en el sistema ISO 9001, ISO 14001 i OSHAS 18001, els requisits exigits per les normes, els objectius de millora continua i els altres requisits de les normes.

        Norma ISO 9001 de qualitat
        Sistema Integrat de Gestió segons ISO 9001, ISO 14001 i OSHAS 18001

        A la vegada, en un Sistema Integrat de Gestió segons ISO 9001, ISO 14001 i OSHAS 18001 es potencien sinergies a punts com ara l’estratègia, accions de màrqueting i millores globals sobre el negoci.