martes, 19 de junio de 2018

Control de la Información documentada (sistema integrado ISO 9001:2015, ISO 14001:2015 e ISO 45001:2015)

Uno de los aspectos más importantes de un sistema de gestión, es cómo elaborar y gestionar la documentación que se genera para que nuestro sistema sea lo más claro, eficiente y sencillo posible; por ese motivo en cada una de las normas de referencia encontramos un apartado específico donde se definen los criterios que se deben tener en cuenta. Es ente artículo os daré respuesta a: ¿Qué aspectos generales debemos considerar para cada una de las tres normas? ¿Qué aspectos tenemos en común y cuáles son específicos a cada sistema de gestión? ¿Cómo lo hacemos? 

¿Qué aspectos generales debemos considerar para cada una de las tres normas?

Una vez que hemos creado, identificado, dado formato, revisado y aprobado toda la información documentada generada por los tres sistemas de gestión; hemos de proceder a su gestión y control. Toda la documentación debe estar estructurada y ordenada, de tal manera que se sepa en cada momento donde se encuentra la información actualizada y aprobada. para ello deberemos cumplir con los siguientes aspectos de control:

ISO 9001.2015

7.5 Información documentada
7.5.3 Control de la información documentada

7.5.3.1 La información documentada requerida por el sistema de gestión de la calidad y por esta Norma Internacional se debe controlar para asegurarse de que:

a) esté disponible y sea idónea para su uso, donde y cuando se necesite;
b) esté protegida adecuadamente (por ejemplo, contra pérdida de la confidencialidad, uso inadecuado o pérdida de integridad).

7.5.3.2 Para el control de la información documentada, la organización debe abordar las siguientes actividades, según corresponda:

a) distribución, acceso, recuperación y uso;
b) almacenamiento y preservación, incluida la preservación de la legibilidad;
c) control de cambios (por ejemplo, control de versión);
d) conservación y disposición.

La información documentada de origen externo, que la organización determina como necesaria para la planificación y operación del sistema de gestión de la calidad, se debe identificar, según sea apropiado, y controlar.

La información documentada conservada como evidencia de la conformidad debe protegerse contra modificaciones no intencionadas.

NOTA El acceso puede implicar una decisión en relación al permiso, solamente para consultar la información documentada, o al permiso y a la autoridad para consultar y modificar la información documentada.

ISO 14001:2015

7.5 Información documentada
7.5.3 Control de la información documentada

La información documentada requerida por el sistema de gestión ambiental y por esta Norma Internacional se debe controlar para asegurarse de que:

a) esté disponible y sea idónea para su uso, dónde y cuándo se necesite;
b) esté protegida adecuadamente (por ejemplo, contra pérdida de la confidencialidad, uso inadecuado o pérdida de integridad).

Para el control de la información documentada, la organización debe abordar las siguientes actividades, según corresponda:

a) distribución, acceso, recuperación y uso;
b) almacenamiento y preservación, incluida la preservación de la legibilidad;
c) control de cambios (por ejemplo, control de versión);
d) conservación y disposición.

La información documentada de origen externo, que la organización determina como necesaria para la planificación y operación del sistema de gestión ambiental, se debe identificar, según sea apropiado, y controlar.

NOTA 1: El acceso puede implicar una decisión en relación al permiso, solamente para consultar la información documentada, o al permiso y a la autoridad para consultar y modificar la información documentada.

ISO 45001:2018

7.5 Información documentada
7.5.3 Control de la información documentada

La información documentada requerida por el sistema de gestión de la SST y por este documento se debe controlar para asegurarse de que:

a) esté disponible y sea idónea para su uso, dónde y cuándo se necesite;
b) esté protegida adecuadamente (por ejemplo, contra pérdida de la confidencialidad, uso inadecuado o pérdida de integridad).

Para el control de la información documentada, la organización debe abordar las siguientes actividades, según corresponda:

a) distribución, acceso, recuperación y uso;
b) almacenamiento y preservación, incluida la preservación de la legibilidad;
c) control de cambios (por ejemplo, control de versión);
d) conservación y disposición.

La información documentada de origen externo, que la organización determina como necesaria para la planificación y operación del sistema de gestión de la SST, se debe identificar, según sea apropiado, y controlar.

NOTA 1: El acceso puede implicar una decisión en relación al permiso, solamente para consultar la información documentada, o al permiso y a la autoridad para consultar y modificar la información documentada.

NOTA 2: El acceso a la información documentada pertinente incluye el acceso por parte de los trabajadores, y cuando existan, de los representantes de los trabajadores.

¿Qué aspectos tenemos en común y cuáles son específicos a cada sistema de gestión?

Todos los aspectos a tener en cuenta son comunes a los tres sistemas de gestión. Por lo tanto, podemos establecer la misma metodología para el control de la información documentada de la empresa.


¿Cómo lo hacemos?

Primero de todo deberemos crear un procedimiento común a los tres sistemas de gestión, donde podremos explicar al detalle cada uno de los aspectos a tener en cuenta, así como los documentos que van a colgar de dicho procedimiento que nos servirán para el control y la gestión de la misma.

En el procedimiento tenemos que explicar en detalle los siguientes aspectos:

Responsabilidades:
Definir quien es el responsable de:
- Elaborar la documentación de cada sistema de gestión ( o parte de la misma)
- Quien identifica, codifica, le da formato y archiva la información documentada.
- Quien revisa y aprueba la información documentada
- Quien realiza el control de la información documentada (control de la edición, actualización...)
- Quien es el responsable de dar acceso y a modificar la información documentada.
- Quien es el responsable de apartar la información obsoleta y cambiar por la actualizada

Como siempre os comento, el cuadro de responsabilidades debe ser coherente con las funciones del personal descritas en su correspondiente apartado.


Según la definición de la norma ISO 9001:2015 la información documentada (ID) es la constancia documental del resultado de la aplicación de los procedimientos operativos o técnicos específicos. En estos documentos se identifican según las necesidades, los responsables de preparar, redactar, aprobar, actualizar, archivar, distribuir, anular y modificar la diferente información documentada de la empresa (registros y documentos), con la finalidad que estén debidamente controlados.

La información documentada tiene una importancia vital porque supone una herramienta de seguimiento, trazabilidad y demostración de las diferentes fases o actuaciones, por ese motivo será necesario realizar las operaciones descritas a continuación de forma general.

Para poder cumplir con los requisitos de la norma sobre el control y seguimiento de deberá: 

- Identificar y codificar: todos los documentos del sistema deberán estar identificados y codificados. Además en ellos deberá constar la fecha y edición tanto del formato como del documento. Se deberá establecer una metodología (se puede explicar en este procedimiento o en uno a parte dependiendo de la complejidad del mismo), así como quien se encarga del control de este parte. Los documentos que se generarán que cuelgan de este apartado son:
* Control de las ediciones de los formatos de la información documentada.
* Control de las ediciones de los procedimientos e instrucciones
* Control de las ediciones de los documentos del sistema
* Control de las ediciones del Manual y sus anejos.

- Almacenar y proteger: se deberá establecer una metodología (se puede explicar en este procedimiento o en uno a parte dependiendo de la complejidad del mismo). Se debe establecer donde, cómo, qué y quien es el responsable. 

- Definir el periodo de conservación: se debe establecer el periodo de conservación de la documentación. Se deberá tener en cuenta si aplica un requisito legal o normativa que fije el periodo de conservación de ciertos documentos. por ese motivo se deberá analizar documento por documento. De este apartado se generará un documento en el que se hará constar el periodo de conservación del mismo.

- Definir la disponibilidad y el acceso: se debe establecer un criterio de accesibilidad a cada uno de los documentos del sistema. Se debe establecer quien puede consultar, quien puede actualizar, quien puede modificar, quien es el responsable último... A veces también se pueden poner mecanismos de control y conocer, en el caso que algo suceda, quien ha accedido o modificado un determinado documento. En este caso, como prácticamente todos los documentos que se generan están en soporte informático, es muy sencillo, si no se protegen que cualquiera lo modifique y éste pierda su funcionalidad o bien que sea una fuente de errores. Para evitar cualquier tipo de alteración sobre un formato aprobado, se debe proteger y limitar su accesibilidad aquellas personas que realmente lo tengan que utilizar. por lo tanto, quedará definido y recogido el acceso del diferente personal a la información documentada de la empresa en los diferentes procedimientos, así como la responsabilidad, uso y escritura de los mismos.

Se deberá informar al personal, mediante comunicados y/o formación a qué información del sistema tiene acceso.

Una vez realizada y aprobada la documentación del sistema deberéis crear los pdf de los procedimientos, así de la documentación que no pueda ser modificada por los trabajadores y colgarla en el servidor de la empresa. deberéis establecer también los criterios de acceso a las diferentes carpetas, teniendo en cuenta a lo que estás obligados a comunicar a vuestros trabajadores, como es la política de calidad entre otros (ver aquí).

- Control de cambios. Cada vez que se realiza un cambio en un documento, como puede ser un procedimiento, cambiamos de edición y se debe controlar. Es decir, en cada procedimiento / instrucción, disponemos de un apartado en el mismo, donde se anotan las diferentes ediciones con sus respectivas fechas, así como una descripción de las modificaciones que se han realizado. Muchas veces, eso no es suficiente para saber qué ha variado, con lo que nos decantamos por tachar el texto que hemos eliminado, y colorear aquél que hemos añadido en la nueva versión (es la manera que os recomiendo para no tener no conformidades). Para otros documentos que cuelgan de los diferentes procedimientos o instrucciones se puede añadir también en el apartado de cambios o modificaciones del mismo procedimiento, además de actualizar el documento "Control de los documentos del sistema".

Documento importante: "Control de las ediciones de los documentos del sistema".
En este documento, podéis fusionar gran parte de la información requerida respecto a la información documentada como puede ser:
Identificación, descripción, responsable del documento, personas con acceso, periodo de conservación, fecha/edición, modificaciones.

8 comentarios:

  1. Le sugiero evaluar lo sig. La codificación no es obligatoria, si pueden quitarla y facilitar cuando hay documentos que provienen de programas automatizados. Saludos

    ResponderEliminar
    Respuestas
    1. Buenos días, gracias por tu aportación y abrir el debate. Todos los documentos deben estar debidamente identificados y controlados con la finalidad de garantizar la trazabilidad de la documentación. Si que es verdad que la codificación puede o no ser obligatoria para identificar dichos documentos de una forma inequívoca, pero también debo comentar que me he encontrado en varias ocasiones (más de 10) que algunos auditores (de certificadoras acreditadas de renombre) que el hecho de no tener codificados los documentos lo han considerado una no conformidad menor, y las empresas se han visto obligadas a codificar todos los documentos para solucionar la no conformidad, por esa razón siempre recomiendo la codificación de los mismos, aunque siempre sugiero que se utilice el sistema más sencillo. Un saludo.

      Eliminar
    2. Buenas tardes, considero que la codificación puede ayudar al control de dichos documentos, por ello considero que en el procedimiento hay que especificar como esta compuesta la codificación, de hecho si esta por procesos o departamentos es más fácil ubicar un documento en un momento determinado...por ello en el procedimiento de control de la documentación donde se establecen las reglas de elaboración de la documentación se debe avalar como esta compuesta dicha codificación y la sensibilización del personal debe partir de este procedimiento para que entienda toda la documentación del sistema y porque el documento tiene cierta presentación.

      Eliminar
    3. Muchas gracias por tu aportación Maria Elisa Colmenares.

      Eliminar
  2. Respuestas
    1. Me alegra que sea de interés Manuel Vigo. Un saludo y que tengas un buen día.

      Eliminar
  3. En relación a la codificación de la información documentada la cláusula 7.5.2 de ISO 9001:2015 establece que al crear y actualizar la información documentada, la organización debe asegurarse de que lo siguiente sea APROPIADO:

    a) la identificación y descripción (por ejemplo, titulo, fecha, autor o número de referencia);

    Primero que nada debemos conocer el significado de término APROPIADO que de acuerdo a ISO 14001:2015 Anexo A.3 Aclaración de conceptos significa adecuado pero implica algún grado de libertad.

    En segunda instancia 7.5.2.a establece "o número de referencia", lo cual significa opcional, motivo por el cual, no entiendo porque un auditor genera un hallazgo de no conformidad por la falta de codificación en la información documentada, lo cual, demuestra que en muchas auditorías prevalece el criterio del auditor y no el criterio de la auditoria.

    En mis consultorias, le recomiendo a mis clientes analizar los riesgos y oportunidades que puede tener no utilizar codificación, ya que se debe tener en cuenta que usar la misma requiere generar un procedimiento, instructivo o guía para explicar como se crea y estructura la codificación.

    Finalmente, si la organización decide usar codificación, se debe capacitar a las personas para que codifiquen bien la información documentada, ya que es frecuente, ver la política de la calidad, objetivos de la calidad, mapa de procesos entre otros codificados con la letra F de formulario, lo cual demuestra que no se tiene claro la diferencia entre lo que significa un procedimiento y los formularios.

    Saludos desde Venezuela.
    Angel Ramirez

    ResponderEliminar
    Respuestas
    1. Buenos días Angel Ramirez, como las auditorías habitualmente se desarrollan siguiendo el criterio del auditor, los auditados tienen que prepararse o bien para pelear cualquier no conformidad interpretable o bien disponer de la documentación lo más ligada posible para evitar cualquier duda o interpretación de la norma. Normalmente cuando auditamos una empresa, nos encontramos que el interlocutor tiene una idea /conocimientos limitada del sistema, muy pocos tienen la habilidad para discutir con el auditor en relación a un concepto o requisito. Por ese motivo, considero oportuno elaborar un procedimiento relacionado con la gestión-control de la información documentada donde se explique y detalle la codificación e identificación de los documentos, de igual modo recomiendo que se utilice el sistema más sencillo y coherente para los trabajadores (contra más sencillo, más entendible y menos errores). Un saludo.

      Eliminar