INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN ECOPETROL SEGUNDO ARQUETIPO Objetivo: Factibilidad de integración de los sistemas de gestión contenidos en el Arquetipo 2 de la empresa ECOPETROL, SA. Introducción: Un sistema de gestión consiste en un conjunto de elementos y actividades relacionados y coordinados que interactúan, y que, estableciendo Políticas y Objetivos, dirigen y controlan la organización con el fin de lograr dichas metas. Para esto existen las normas ISO (International Organization for Standardization) que son documentos que especifican requerimientos para realizar actividades en diversas áreas de las organizaciones como calidad de productos y servicios, salud y seguridad de las personas, seguridad de la información, responsabilidad con el medioambiente entre otras. Las normas son un método comprobado de trabajar de un modo más eficiente y eficaz, ayudando a las organizaciones a mejorar su desempeño, reducir sus riesgos, ser más sostenibles y competitivas en el mercado global. Muchas empresas que optan por la implantación de varios Sistemas de Gestión deciden integrarlos con el objetivo de eliminar la duplicidad de las tareas y actividades requeridas en cada norma. Cuantos más sistemas de gestión se tengan implementados, mayor será el beneficio de la integración para la empresa porque reduce el volumen de documentación necesaria para gestionar los sistemas, se reduce el número de registros que demuestran la correcta implementación y simplifica el proceso de auditoría externa. Para la integración, las normas ISO en las versiones actuales cuentan con una estructura que permite la integración entre las distintas normas conocida como Estructura de Alto Nivel (HLS). Se trata de directrices publicadas por ISO para facilitar la alineación de los sistemas de gestión. Por ello, ahora las normas de sistemas de gestión tienen una estructura, términos y textos comunes. Adicionalmente, cada referencial, puede incorporar de manera específica requisitos particulares aplicables al área de actividad de la norma. Basado en esta particularidad, se evaluó a la factibilidad de integración de las normas ISO agrupadas en el arquetipo 2 en un solo sistema de gestión incluyendo adicionalmente los modelos COSO-ERM 2017, COBIT-5 y la Ley SOX con la finalidad de optimizar los recursos y la eficiencia de la gestión. Normas internacionales, modelos y leyes consideradas en el estudio: Las normas consideradas en este estudio son las agrupadas en el arquetipo 2 y se mencionan a continuación: ISO 9001:2015 Sistemas de Gestión de Calidad. Está orientada a la satisfacción orientada a la satisfacción del cliente controlando de forma continuada la calidad en todos sus procesos. Está sujeta a la certificación por organismo de tercera parte. ISO 14001:2015 Sistemas de Gestión de Medio Ambiente. Controla las actividades, productos y servicios que pueden ocasionar un impacto negativo sobre el medio ambiente. Está sujeta a la certificación por organismo de tercera parte. ISO 4500:2018 Sistema de gestión de la Seguridad y salud laboral. Proporciona un marco para la seguridad de los empleados, reduce los riesgos en el lugar de trabajo y proporciona entornos de trabajo más seguros. Está sujeta a la certificación por organismo de tercera parte. ISO 27001:2013 Sistemas de Gestión de la Seguridad de la Información. Asegura las buenas prácticas y gestiones de la información protegiendo la confidencialidad, disponibilidad e integridad de los datos. Está sujeta a la certificación por organismo de tercera parte. ISO 37001: 2016 Sistemas de gestión antisoborno. Proporciona orientación para prevenir, detectar y responder a malas prácticas del soborno y corrupción. Está sujeta a la certificación por organismo de tercera parte. ISO 37301: 2021 Sistema de Gestión de Compliance. Establece las directrices para la gestión del cumplimiento basado en los principios de buen gobierno, proporcionalidad, transparencia y sostenibilidad. Está sujeta a la certificación por organismo de tercera parte. Esta norma sustituye a la norma ISO 19600:2014 que ha sido derogada por la organización internacional de estandarización (ISO). Para más información consulte aquí. ISO 10012:2003 Sistemas de gestión de la medición. Orienta la gestión de los procesos de medición y la confirmación metrológica de los equipos de medición. Está sujeta a la certificación por organismo de tercera parte. ISO/IEC 17025:2017. Requisitos generales para la competencia de los laboratorios de ensayo y calibración. Proporciona requisitos de gestión y técnicos para garantizar la competencia técnica y la fiabilidad de los resultados analíticos de los laboratorios de ensayo y calibración. Los laboratorios de ensayo engloban diversos sectores como el de energía y minas, medioambiente, agricultura y ganadería, automoción, construcción, etc. y los laboratorios de calibración se centran en las áreas de mecánica, óptica, cámaras termométricas, entre otros. La norma ISO/IEC 1 17025:2017 esta sujeta a procesos de acreditación realizado por un organismo acreditador independiente de verificación de tercera parte. COSO-ERM 2017. Enterprise Risk Management-Integrated Framework. Es un modelo común de orientación para la gestión ejecutiva y de gobierno, ética empresarial, control interno, gestión del riesgo empresarial, control del fraude, y presentación de informes financieros. El modelo permite evaluar los riesgos relevantes para la compañía (financieros, estratégicos y operativos), priorizar esos riesgos y tomar decisiones informadas sobre cómo manejarlos. No está sujeta a la certificación por organismo de tercera parte. COBIT. Control Objectives for Information and Related Technologies. Es un modelo que permite el control de las Tecnologías de Información orientado a todos los sectores de una organización, incluyendo administradores IT, usuarios y los auditores involucrados en el proceso. Este modelo de evaluación y monitoreo hace énfasis en el control de negocios y la seguridad TI y que abarca controles específicos de IT desde una perspectiva de negocios. No está sujeta a la certificación por organismo de tercera parte. Ley SOX. Ley Sarbanes-Oxley. Es la ley que regula las funciones financieras contables y de auditoría y penaliza el crimen corporativo a todas las entidades que coticen en la bolsa de valores de Estados Unidos. La Ley se aplica a todas las empresa públicas, norteamericanas o extranjeras, incluyendo a los emisores American Depositary Receipts (ADR). Las leyes de un país son de obligatorio cumplimiento y por lo tanto no están sujetas a la certificación por organismo de tercera parte. Criterios para la integración de los sistemas de gestión ISO: El criterio utilizado para la integración de las diferentes Normas ISO sobre sistemas de gestión es la Estructura de Alto nivel o HLS (High Level Structure) creada por la ISO con el Anexo SL, que introduce una estructura dividida en 10 capítulos, un texto base idéntico y unos términos y definiciones comunes que tiene como objetivo principal facilitar la integración de las normas de gestión de la familia ISO. El Anexo SL contempla los siguientes diez capítulos en los que se divide cada norma, incorporando en cada referencial de manera específica requisitos particulares aplicables al área de actividad: 1. 2. 3. 4. 5. 6. Alcance. Referencias Normativas. Términos y definiciones. Contexto de la organización. Liderazgo. Planificación. 2 7. Apoyo. 8. Operación. 9. Evaluación del desempeño. 10. Mejoras Los tres primeros capítulos son introductorios, y desde el punto “Contexto de la Organización”, encontramos los requisitos que la organización debe implementar. Adicionalmente, las normas sujetas a integración deben ser aplicables a cualquier organización, independientemente de su tipo o tamaño, o de los productos y servicios que brinda. Integración de los sistemas de gestión del Arquetipo 2: Las normas ISO 9001:2015, ISO 14001:2015, ISO 45001:2018, ISO 27001:2013, ISO 37001: 2016 e ISO 37301:2021 cumplen con el criterio de integración tiene la estructura de alto nivel del anexo SL y aplican a todo tipo de organización cumpliendo así con los criterios de integración. La tabla 1 muestra (VER ANEXO) la integración de los seis sistemas de gestión, donde se señalan las siguientes categorías de requisitos: a) los requisitos comunes: son aquellos similares idénticos para las 6 normas, lo que los hace plenamente integrables b) los requisitos específicos: son aquellos que responden a las exigencias de una norma en particular. En este caso se dará cumplimiento al requisito de la misma forma en que se aborda en el sistema de gestión no integrado. Estos requisitos no son integrables c) los requisitos homólogos: están presente solo en algunas normas o si están presentes de manera parcial faltando algunas especificaciones. Estos requisitos pueden integrarse fácilmente. Actualmente, es una práctica común en las empresas la integración de los sistemas de gestión como señalan varios autores especializados en tema (Field, A.2019). 3 Ilustración 1 Normas que pueden ser incorporadas en un SIG. Fuente: Field A. (2019). Implementing an Integrated Management System (IMS): The strategic approach En este sentido, se recomienda la implementación de un sistema integrado de gestión (SIG) que aglutine en un solo sistema el cumplimiento de los requisitos de las Normas ISO 9001, ISO 14001, ISO 45001,ISO 27001, ISO 37001 e ISO 37301 para satisfacer los requisitos de los clientes, con un impacto ambiental mínimo de los procesos desarrollados, con el menor riesgo posible para la seguridad y salud de los trabajadores, con la seguridad e integridad de los datos, con los controles apropiados antisoborno y todo bajo los principios de proporcionalidad, transparencia y buen gobierno de la gestión empresarial. Entre los requisitos integrables están: Contexto de la organización: Cuestiones externas e internas. Se puede utilizar la misma sistemática para determinar las cuestiones externas e internas de la organización. Por ejemplo, un informe de análisis del contexto donde se incorporen las diferentes perspectivas. Partes interesadas. Utilizar un método único para conocer las necesidades y expectativas de las partes interesadas y documentarlas. Alcance del sistema integrado de gestión (SIG). El alcance debe ser el mismo e incluir las actividades y centros de la organización. El sistema integrado de gestión. Hay que establecer los procesos necesarios y sus interacciones. 4 Liderazgo Compromiso y liderazgo. La alta dirección asume el compromiso y liderazgo con los sistemas implantados asumiendo la rendición de cuentas del sistema integrado. Política integrada. Se debe formular una política de gestión integrada que contenga los compromisos específicos mínimos citados en las normas de referencia. Roles, responsabilidades y autoridades en la organización. Descripción de puestos de trabajo, funciones, procedimientos e instrucciones técnicas de todo el personal involucrado. Planificación Acciones para abordar riesgos y oportunidades. Hay que aplicar una misma metodología para determinar los riesgos y las oportunidades y definir acciones para abordarlos. Objetivos y planificación para lograrlos. Definir un programa de objetivos conjunto que incluya cada norma de referencia. Apoyo Recursos. La optimización de recursos se consigue a través de la integración en los procesos de negocio, los ambientales, seguridad/salud, seguridad de datos, controles anticorrupción y el correspondiente compliance de obligaciones. Competencia. Definir las competencias necesarias para el funcionamiento del sistema integrado de gestión (SIG), así como las acciones para adquirir la competencia, proporcionarla y evaluar la eficacia de la formación. Toma de conciencia. Realizar campañas de concienciación relativas al sistema integrado de gestión de forma conjunta. Comunicación. Los canales para la comunicación interna y externa serán los mismos en el SIG. Información documentada. La organización tendrá un sistema documental y de control de la información único e integrado con documentos comunes y documentos específicos según lo requieran los procesos de la organización. Operación Planificación y control operacional. En los diferentes procesos y de acuerdo con la matriz de riesgos incorporar los controles de mitigación considerando las normas a integrar. Evaluación del desempeño 5 Seguimiento, medición, análisis y evaluación. Utilizar una metodología conjunta para la evaluación y análisis de los resultados de verificación de los controles implementados. Auditoría interna. Los auditores y la auditoría se pueden realizar de manera conjunta, emitiendo un informe conjunto de la auditoría interna. Revisión por la dirección. Incorporar en la revisión las entradas de todas normas de referencia generando un solo informe de revisión. Mejora No conformidad y acción correctiva. Utilizar la misma metodología para detectar no conformidades y definir acciones correctivas y establecer el mismo formato para su registro. Hay varios requisitos específicos en las 6 normas consideradas en la integración y que se señalan en la Tabla 1 (Ver anexo), que deben ser tratadas de acuerdo con lo establecido en la norma en cuestión. Como se indicó anteriormente, la norma ISO 19600:2014 que proporcionaba directrices para un sistema de gestión de Compliance ha sido eliminada por la organización Internacional de estandarización (ISO) y fue sustituida por la norma ISO 37301 publicada en el 2021. Esta norma certificable promueve el cumplimiento de las obligaciones establecidas por las agencias gubernamentales, así como también adherirse a un conjunto de pautas o especificaciones establecidas por estándares o sus propias políticas internas. El incumplimiento de algunas de estas cuestiones puede dar lugar a sanciones fiscales, legales o incluso penales. Además de esto, las leyes, reglamentos y normas evolucionan continuamente para adaptarse al panorama social, político y económico actual. Por esta razón, se recomienda la implementación e integración al SIG, de la nueva norma ISO 37301:2021 Sistemas de gestión de Compliance, que es un estándar certificable que permite las organizaciones prevenir riesgos de fraude y blanqueo o de incumplimiento legal, evitando así dañar la integridad organizacional y códigos éticos. De esta forma, las organizaciones demuestran su compromiso para cumplir con las leyes y con otros compromisos asumidos de forma voluntaria y pueden hacer visible ese compromiso ante sus grupos de interés a través de una posible certificación. Otro aspecto para señalar es que la ISO 37301:2021contempla los principios del modelo COSO-ERM 2017, Enterprise Risk Management, orientados al Compliance y a la gestión de riesgos empresariales desde los niveles de la alta dirección o 6 gobierno de la organización, pudiendo así prescindir de la implementación del modelo COSO-ERM incluido en el arquetipo 2 de las normas implementadas en ECOPETROL, SA. Así mismo, la implementación de la ISO 37301:2021 también contemplaría el cumplimiento de la Ley SOX, Ley Sarbanes-Oxley vinculada con el modelo COBIT exigidos por el gobierno de USA a las empresas que cotizan en la Bolsa de valores como es el caso de ECOPETROL, SA. En relación con la Norma ISO/IEC 17025:2017. Requisitos generales para la competencia de los laboratorios de ensayo y calibración, no puede incluirse en el SIG propuesto por ser una norma con un alcance solo para laboratorios de ensayo y calibración contraviniendo el criterio utilizado para el alcance que sea aplicable a cualquier organización, independientemente de su tipo o tamaño, o de los productos y servicios que brinda. Adicionalmente, esta norma está sujeta al proceso de acreditación en lugar de certificación, otra razón por la cual debe mantenerse como un sistema de gestión independiente. La norma ISO 10012:2003 Sistemas de gestión de la medición, aunque es certificable y se aplica a cualquier organización, no posee la estructura de alto nivel, pero guarda cierta relación con la norma ISO 9001 lo cual permite una homologación. Sin embargo, en esta primera fase del estudio no se incluyó en el SIG propuesto ya que guarda más relación con las actividades de ensayos de laboratorios. Pasos para implementar la integración de los sistemas de gestión: El paso inicial es la aprobación del proyecto de integración como una decisión estratégica de la alta dirección ya que el proyecto requerirá recursos humanos y financieros La designación de un comité responsable del proyecto SIG con las competencias técnicas para liderizar al equipo integrador. Realizar un diagnóstico para conocer el grado de desarrollo de cada sistema, esto es las herramientas, documentos y registros que lo componen. Determinar las duplicidades y carencias. Planificar todas las acciones y tareas asociadas al proceso de integración Implementar el SIG de acuerdo con lo planificado Verificar la eficacia de la implementación de SIG mediante los indicadores seleccionados, auditorías internas, revisión por la dirección 7 Determinar las no conformidades e implementar las correspondientes acciones correctivas. Beneficios esperados de la integración: Simplificación y minimización de la documentación y registros debido a que se eliminan las duplicidades y se simplifica la gestión de todos los sistemas. Reducción de costos por la optimización de los procesos, tiempo y recursos asignados al sistema. Simplificación del proceso de auditoría de primera y/o tercera parte. Mayor alineación con la política y estrategia de la organización Tratamiento global de los aspectos relacionados con la calidad, ambiente, SST, seguridad de datos, control antisoborno y compliance en cada proceso de la organización. 8 ANEXO Tabla 1 Requisitos comunes y específicos para la integración de las normas ISO 9001, ISO 14001, ISO 45001, ISO 2700, ISO 37001 e ISO 37301. 9 ISO 9001:2015 4. Contexto de la organización 4.1 Comprensión de la organización y de su contexto 4.2 Comprensión de las necesidades y expectativas de las partes interesadas 4.3 Determinación del alcance del sistema de gestión de la calidad 4.4 Sistema de gestión de la calidad y sus procesos ISO 14001:2015 4 Contexto de la organización 4.1 Comprensión de la organización y de su contexto 4.2 Comprensión de las necesidades y expectativas de las partes interesadas 4.3 Determinación del alcance del sistema de gestión ambiental ISO 45001:2018 ISO/IEC 27001:2013 ISO 37001:2016 4 Contexto de la organización 4.1 Comprensión de la organización y de su contexto 4.1 Comprensión de 4.1 Comprensión de la la organización y de organización y de su su contexto contexto 4.2 Comprensión de las necesidades y expectativas de los trabajadores y de otras partes interesadas 4.2 Comprensión de las necesidades y expectativas de los trabajadores y de otras partes interesadas 4.2 Comprensión 4.2 Comprensión de las de las necesidades necesidades y y expectativas de expectativas de las partes las partes interesadas interesadas Común Integrada 4.3 Determinación del alcance del sistema de gestión de la SST 4.3 Determinación del alcance del sistema de gestión de la seguridad de la información 4.3 Determinación del alcance del sistema de gestión antisoborno 4.3 Determinación del alcance del sistema de gestión del compliance Común Integrada 4.4 Sistema de gestión de seguridad de la información 4.4 Sistema de gestión antisoborno 4.4 Sistema de gestión del compliance Homologo Integrada 4.5 Evaluación del riesgo de soborno 5 Liderazgo y participación de los trabajadores 5.1 Liderazgo y 5.1 Liderazgo y 5.1 Liderazgo y compromiso compromiso compromiso 5 Liderazgo 5.1.1 Generalidades 5 Liderazgo INTEGRACION 4 Contexto de la organización 4.4 Sistema de 4.4 Sistema de gestión gestión de la SST ambiental 4 Contexto de la organización ISO 37301:2021 (19600:2018) 5 Liderazgo 5 Liderazgo 5.1 Liderazgo y compromiso 5.1 Liderazgo y compromiso 4 Contexto de la organización 4.1 Comprensión de la organización y de su contexto 4.5 Obligaciones de compliance 4.6 Evaluación de los riesgos de compliance Común Integrada específica específica 5 Liderazgo 5.1 Liderazgo y compromiso 5.1.1 Órgano de 5.1.1 Órgano de gobierno gobierno y alta dirección Común Integrada específica 10 ISO 9001:2015 ISO 14001:2015 ISO 45001:2018 ISO/IEC 27001:2013 5.1.2 Enfoque al cliente 5.2 Política 5.2.1 Establecimient o de la política de la calidad 5.2.2 Comunicación de la política de la calidad 5.3 Roles, responsabilidad es y autoridades en la organización ISO 37001:2016 5.1.2 Alta dirección 5.2 Política ambiental 5.2 Política de la SST 5.2 Política de la SST 5.2 Política antisoborno ISO 37301:2021 (19600:2018) 5.1.2 Cultura de compliance 5.1.3 Gobernanza del compliance 5.2 Política de compliance específica específica Homologo Integrada Homologo Integrada Homologo Integrada 5.3 Roles, responsabilidad es y autoridades en la organización 5.3 Roles, responsabilidades y autoridades en la organización 5.3 Roles, responsabilidades y autoridades en la organización 5.3 Roles, responsabilidades y autoridades en la organización 5.3 Roles, responsabilidades y autoridades 5.3.1 Órgano de gobierno y alta dirección 5.3.2 Función de 5.3.2 Función de cumplimiento antisoborno compliance 5.3.1 Roles y responsabilidades 5.3.3 Delegación de la toma de decisiones 6 Planificación 6.1 Acciones para abordar riesgos y oportunidades INTEGRACION 6 Planificación 6.1 Acciones para abordar riesgos y oportunidades Común Integrada específica específica 5.3.3 Dirección específica 5.3.4 Personal específica 5.4 Consulta y participación de los trabajadores 6 Planificación 6 Planificación 6 Planificación 6 Planificación 6.1 Acciones para abordar riesgos y oportunidades 6.1 Acciones para abordar riesgos y oportunidades 6.1 Acciones para tratar riesgos y oportunidades 6.1 Acciones para abordar los riesgos y oportunidades específica Homologo Integrada 11 ISO 9001:2015 ISO 14001:2015 6.1.1 Generalidades 6.1.2 Aspectos ambientales 6.1.3 Requisitos legales y otros requisitos 6.1.4 Planificación de acciones 6.2 Objetivos de la calidad y planificación para lograrlos 6.2 Objetivos ambientales y planificación para lograrlos ISO 45001:2018 ISO/IEC 27001:2013 ISO 37001:2016 ISO 37301:2021 (19600:2018) 6.1.1 Generalidades 6.1.1 General específica 6.1.2 Identificación de peligros y evaluación de los riesgos y oportunidades 6.1.2.1 Identificación de peligros 6.1.2.2 Evaluación de los riesgos para la SST y otros riesgos para el sistema de gestión de la SST 6.1.2.3 Evaluación de las oportunidades para la SST y otras oportunidades para el sistema de gestión de la SST 6.1.2 Identificación de riesgos de seguridad de la información específica 6.1.3 Determinación de los requisitos legales y otros requisitos 6.1.3 Tratamiento de riesgos de seguridad de la información específica específica específica específica 6.1.4 Planificación de acciones 6.2 Objetivos de la SST y planificación para lograrlos específica 6.2 Objetivos de seguridad de la información y planificación para lograrlos 6.2 Objetivos de 6.2 Objetivos antisoborno compliance y y planificación para planificación para lograrlos lograrlos 6.3 Planificación de los cambios 7 Apoyo 7 Apoyo 7 Apoyo 7 Apoyo 7 Apoyo 7 Apoyo 7.1 Recursos 7.1 Recursos 7.1 Recursos 7.1 Recursos 7.1 Recursos 7.1 Recursos INTEGRACION 6.3 Planificación de los cambios Homologo Integrada específica Común Integrada 12 ISO 9001:2015 ISO 14001:2015 7.1.1 Generalidades 7.1.2 Personas 7.1.3 Infraestructura 7.1.4 Ambiente para la operación de los procesos 7.1.5 Recursos de seguimiento y medición 7.1.5.1 Generalidades 7.1.5.2 Trazabilidad de las mediciones 7.1.6 Conocimientos de la organización 7.2 7.2 Competencia Competencia ISO 45001:2018 ISO/IEC 27001:2013 ISO 37001:2016 ISO 37301:2021 (19600:2018) específica específica específica específica específica 7.2 Competencia 7.2 Competencia 7.2 Competencia 7.2 Competencia 7.3 Toma de conciencia 7.3 Toma de conciencia 7.2.1 Generalidades 7.2.2 Proceso de 7.2.2 Proceso de contratación empleo 7.2.3 Formación 7.3 Toma de conciencia y 7.3 Toma de formación conciencia 7.4 Comunicación 7.4 Comunicación 7.4 Comunicación 7.2.1 Generalidades 7.3 Toma de conciencia 7.4 Comunicación 7.3 Toma de conciencia 7.4 Comunicación 7.4.1 Generalidades 7.4.2 Comunicación interna INTEGRACION 7.4 Comunicación Común Integrada específica específica específica Común Integrada Común Integrada 7.4.1 Generalidades 7.4.2 Comunicación interna 13 ISO 14001:2015 7.4.3 Comunicación externa 7.5 Información 7.5 Información documentada documentada 7.5.1 7.5.1 Generalidades Generalidades ISO 9001:2015 7.5.2 Creación y actualización 7.5.2 Creación y actualización 7.5.3 Control de la información documentada 8 Operación 8.1 Planificación y control operacional 7.5.3 Control de la información documentada 8 Operación 8.1 Planificación y control operacional ISO 45001:2018 ISO/IEC 27001:2013 ISO 37001:2016 ISO 37301:2021 (19600:2018) 7.4.3 Comunicación externa 7.5 Información documentada 7.5 Información documentada 7.5 Información documentada Común Integrada Común Integrada 7.5.2 Creación y actualización 7.5.2 Creación y actualización 7.5 Información documentada 7.5.1 Generalidades 7.5.2 Creación y actualización de la información documentada 7.5.1 Generalidades 7.5.1 Generalidades 7.5.1 Generalidades 7.5.2 Creación y actualización 7.5.3 Control de la información documentada 7.5.3 Control de la información documentada 7.5.3 Control de la 7.5.3 Control de la información información documentada documentada Común Integrada 8 Operación 8 Operación 8 Operación 8.1 Planificación y control operacional 8.1 Planificación y control operacional 8.1 Planificación y control 8.1 Planificación y operacional control operacional 8.2 Preparación y respuesta ante emergencias 8.2 Preparación y respuesta ante emergencias Común Integrada 8 Operación Homologo Integrada específica 8.1.1 Generalidades 8.1.2 Eliminar peligros y reducir riesgos para la SST 8.1.3 Gestión del cambio 8.1.4 Compras 8.1.4.1 Generalidades 8.1.4.2 Contratistas 8.1.4.3 Contratación externa 8.2 Requisitos para los productos y servicios INTEGRACION específica específica específica específica específica específica 8.2 Evaluación de riesgos de seguridad de la información 8.2 Debida diligencia 8.2 Establecimiento de controles y procedimientos específica 14 ISO 9001:2015 8.2.1 Comunicación con el cliente 8.2.2 Determinación de los requisitos para los productos y servicios 8.2.3 Revisión de los requisitos para los productos y servicios 8.2.4 Cambios en los requisitos para los productos y servicios 8.3 Diseño y desarrollo de los productos y servicios 8.3.1 Generalidades 8.3.2 Planificación del diseño y desarrollo 8.3.3 Entradas para el diseño y desarrollo 8.3.4 Controles del diseño y desarrollo 8.3.5 Salidas del diseño y desarrollo ISO 14001:2015 ISO 45001:2018 ISO/IEC 27001:2013 ISO 37001:2016 ISO 37301:2021 (19600:2018) INTEGRACION específica específica específica específica 8.3 Tratamiento de riesgos de seguridad de la información 8.3 Controles financieros 8.3 Planteamiento de inquietudes específica específica específica específica específica específica 15 ISO 9001:2015 8.3.6 Cambios del diseño y desarrollo 8.4 Control de los procesos, productos y servicios suministrados externamente 8.4.1 Generalidades 8.4.2 Tipo y alcance del control 8.4.3 Información para los proveedores externos 8.5 Producción y provisión del servicio 8.5.1 Control de la producción y de la provisión del servicio 8.5.2 Identificación y trazabilidad 8.5.3 Propiedad perteneciente a los clientes o proveedores externos ISO 14001:2015 ISO 45001:2018 ISO/IEC 27001:2013 ISO 37001:2016 ISO 37301:2021 (19600:2018) INTEGRACION específica 8.4 Controles no financieros 8.4 Procesos de investigación específica específica específica específica 8.5 Implementación de los controles antisoborno por organizaciones controladas y por socios de negocios específica específica específica específica 16 ISO 9001:2015 ISO 14001:2015 ISO 45001:2018 ISO/IEC 27001:2013 8.5.4 Preservación 8.5.5 Actividades posteriores a la entrega 8.5.6 Control de los cambios 8.6 Liberación de los productos y servicios 8.7 Control de las salidas no conformes 9 Evaluación del desempeño 9.1 Seguimiento, medición, análisis y evaluación 9.1.1 Generalidades ISO 37001:2016 ISO 37301:2021 (19600:2018) INTEGRACION específica específica específica 8.6 Compromisos antisobornos específica 8.7 Regalos, hospitalidad, donaciones y beneficios similares 8.8 Gestión de los controles antisoborno inadecuados 8.9 Planteamiento de inquietudes 9 Evaluación del desempeño 9.1 Seguimiento, medición, análisis y evaluación 9.1.1 Generalidades 9.1.2 9.1.2 Satisfacción del Evaluación del cliente cumplimiento 9 Evaluación del desempeño 9 Evaluación del desempeño 8.10 Investigar y abordar el soborno 9 Evaluación del desempeño 9.1 Seguimiento, medición, análisis y evaluación 9.1 Seguimiento, medición, análisis y evaluación 9.1 Seguimiento, medición, análisis y evaluación 9.1.1 Generalidades 9.1.2 Evaluación del cumplimiento específica específica específica específica 9 Evaluación del desempeño 9.1 Seguimiento, medición, análisis y evaluación 9.1.1 Generalidades 9.1.2 Fuentes de opinión sobre el desempeño del compliance Homologo Integrada específica 17 ISO 9001:2015 ISO 14001:2015 ISO 45001:2018 ISO/IEC 27001:2013 ISO 37001:2016 9.1.3 Análisis y evaluación 9.2 Auditoría interna 9.2 Auditoría interna 9.2.1 Generalidades 9.2.2 Programa de auditoría interna 9.3 Revisión 9.3 Revisión por la dirección por la dirección 9.3.1 Generalidades 9.3.2 Entradas de la revisión por la dirección 9.3.3 Salidas de la revisión por la dirección 10 Mejora 10.1 Generalidades 10.2 No conformidad y acción correctiva 10.3 Mejora continua 10 Mejora 10.1 Generalidades 10.2 No conformidad y acción correctiva 10.3 Mejora continua 9.2 Auditoría interna específica 9.2.2 Programa de auditoría interna Homologo Integrada Común Integrada Común Integrada 9.4 Revisión por la función de cumplimiento antisoborno 9.3 Revisión por la dirección 9.3.1 Generalidades 9.3.2 Entradas para la revisión del sistema 9.3.3 Resultados de la revisión por la dirección 10 Mejora 10 Mejora 9.2 Auditoría interna 9.2 Auditoría interna 9.2.2 Programa de auditoría interna 9.3 Revisión por la dirección 9.3 Revisión por la dirección 9.3.1 Revisión por la alta dirección 9.3.2 Revisión por el órgano de gobierno 10 Mejora 10 Mejora INTEGRACION 9.1.3 Desarrollo de indicadores 9.1.4 Informes de compliance 9.1.5 Mantenimiento de registros 9.2 Auditoría interna 9.2.1 Generalidades 9.2.1 Generalidades 9.3 Revisión por la dirección ISO 37301:2021 (19600:2018) específica específica Común Integrada Común Integrada específica específica Común Integrada 10.1 Generalidades 10.2 No conformidad y acción correctiva 10.1 No conformidad y acción correctiva 10.1 No conformidad y acción correctiva 10.1 No conformidad y acción correctiva Común Integrada 10.3 Mejora continua 10.2 Mejora continua 10.2 Mejora continua 10.2 Mejora continua Común Integrada Requisitos Comunes 18 Requisitos Específicos 19 20
