This site uses cookies to provide you with a more responsive and personalised service. By using this site you agree to our use of cookies. Please read our PRIVACY POLICY for more information on the cookies we use and how to delete or block them.
  • Marco Normativo: hacia una visión práctica

Marco Normativo: hacia una visión práctica

Fabián Descalzo , Director de Aseguramiento de Procesos Informáticos |

30 enero 2020

El cumplir con la existencia de un Marco Normativo no contempla únicamente actividades relacionadas con la creación y publicación de documentos requeridos por auditorías o entes certificadores. Un Marco Normativo es la biblioteca de referencia que representa los diferentes procesos de una organización y establecen una guía operativa para el desarrollo de los mismos, y que debe estar adecuado a la cultura de la organización, tanto en los aspectos de los recursos humanos (comportamiento, cumplimiento, entendimiento) como en lo referente a los procesos y como la organización los gestiona (madurez organizacional).

Obviamente, esta visión al respecto está mucho más interiorizada en empresas relacionadas con industrias como las metalúrgicas, petroleras, automotriz, etc., en donde la documentación relacionada con Normas y Procedimientos claramente refleja la necesidad de guiar hacia un resultado, el producto final. ¿Pero en el caso de la industria bancaria o financiera? ¿O para empresas de servicios?

Para quienes hayan optado por certificar alguno de sus procesos, o para quienes les interese tener una referencia rápida de qué hace falta para gestionar sus documentos normativos, tienen la facilidad de contar con una referencia sobre la cual apoyarse: el punto 4.2 de requisitos de la documentación de la ISO 9001.

La norma del sistema de gestión de calidad, ISO 9001, nos indica que debe establecerse un procedimiento documentado para definir los siguientes controles:

  • Aprobación de los documentos
  • Revisión y actualización de los documentos
  • Asegurarse de que estén identificados los cambios y el estado de revisión actual de los documentos
  • Asegurarse de que las respectivas versiones de los documentos estén disponibles en el punto de uso
  • Asegurarse de que los documentos se mantengan legibles, identificables y fácilmente recuperables
  • Asegurarse de que los documentos de origen externo estén identificados y su distribución esté controlada
  • Impedir el uso involuntario de documentos obsoletos

 

Ahora bien, según la Norma, cuando hablamos de un “procedimiento documentado” significa que el procedimiento sea establecido, documentado, implementado y mantenido, y para ello contamos con:

  • La Norma ISO 30301 de requerimientos para la implementación de un sistema de gestión documental, que marca las pautas necesarias para el gobierno de la documentación
  • La Norma ISO 15489, que establece las pautas de buenas prácticas para la creación y mantenimiento de los documentos

La visión de conseguir implementar un Marco Normativo práctico y acorde a la organización y sus diferentes procesos no solo nos garantiza un buen nivel de cumplimiento ante certificaciones o regulaciones, sino que además nos asegura que los procesos se desarrollan tal como fueron pensados y que su resultado en productos o servicios cuentan con la calidad esperada a través de los objetivos estratégicos del negocio.

Algunas recomendaciones sobre lo que se espera encontrar particularmente en documentación asociada a procesos de IT o Seguridad de la Información, son:

  • Se debe establecer una documentación estandarizada aun cuando las normas de documentación varíen de una instalación a otra, para proporcionar la base de una comunicación clara y rápida, adiestramiento menos costoso del personal dentro y fuera de la Gerencia de Sistemas y brindar una herramienta útil para el personal que tenga la responsabilidad del mantenimiento de los sistemas.
  • La documentación se hará disponible a todos los usuarios de acuerdo a sus necesidades, por ello se debe asegurar que:
    1. Los estándares sean completos, actualizados, documentados y legibles.
    2. Auditar permanentemente para que se cumplan los estándares.
    3. Evaluar si los estándares establecidos son los requeridos y hacer los cambios necesarios para que dichos estándares sean los apropiados.

 

ESTADÍOS DOCUMENTALES

  1. La organización debe establecer un proceso para que todos los documentos sean revisados y aprobados por el personal interviniente en cada proceso, registrando esta actividad en un “Registro de Firmas”.
  2. La revisión inicial de un documento es “Revisión 0” (cero) y debe tener asociada una fecha de emisión. Las revisiones posteriores a la inicial se enumeran siempre en forma secuencial y creciente, considerando obsoletas las revisiones anteriores.  Cuando se emite una nueva revisión de un documento, los niveles firmantes deben coincidir (en la función) a los que generaron la revisión precedente, salvo cambios en el organigrama.
  3. Tener en cuenta que siempre deben indicarse los motivos de los cambios que originan la actualización de la documentación, haciendo constar en el apartado creado para tal fin, una breve descripción de los cambios realizados respecto de la versión anterior.
  4. Tener en cuenta siempre que, cuando se imprime un documento sin importar de que tipo sea, el mismo pasa a ser obsoleto  automáticamente, por lo que es recomendable incluir al encabezado o pie de página de cada hoja del documento, una leyenda que indique que “La presente impresión no se considera documento controlado”.
  5. Todo documento para que entre en vigencia, debe ser publicado y comunicado a la organización una vez aprobado, considerando como fecha de vigencia del documento la fecha de comunicación formal a los usuarios indicando la disponibilidad del mismo en Intranet, herramienta de gestión documental, SharePoint, o el medio que la organización crea conveniente para disponibilizar la documentación a los usuarios.

 

TIPOS DE DOCUMENTOS

La estructura documental de las organizaciones puede contar con los niveles que se detallan a continuación:

  • Política
  • Norma
  • Procedimiento preliminar
  • Procedimiento definitivo
  • Instructivo
  • Manual 

 

Política:

Se considera el documento directriz y de mayor importancia dentro de la Organización. Define los lineamientos globales para la implementación del sistema que corresponda (SGSI, SGC, SGD, SGSTI). La misma es sometida a revisión de acuerdo a los cambios en la Organización o cada año. Tiene asignada fecha de emisión y firma de aprobación.

  

Norma:

Es un documento que ofrece un mayor nivel de detalle en lo que respecta a responsabilidades asignadas y metodologías generales de trabajo, fija los propósitos generales dentro de un marco o política regulatoria.

 

Procedimiento preliminar:

Es el documento Transitorio que define un proceso o parte de un proceso a optimizar, durante un periodo de prueba, finalizado el mismo, se incluye el proceso modificado en  una nueva revisión del Procedimiento correspondiente.

 

Procedimiento definitivo:

Es el documento que define la metodología y actividades específicas de tipo operativo - administrativo que se llevan a cabo en la Organización.

 

Instructivo:

Es el documento que define la secuencia de pasos  para la realización de una tarea específica de tipo operativo- administrativo, como así también las rutas de acceso en el caso de operar bajo la modalidad de sistemas Informáticos o especificación de rutas en el acceso físico.

 

Manual:

Es el  documento sin estructura prefijada con una descripción amplia del tema de aplicación. Los manuales excluyentes relacionados con la prestación de los servicios de TI deben contemplar como mínimo:

 

Manual de Sistemas y Proyectos

El manual tiene como finalidad el tener la información necesaria y suficiente sobre un sistema en particular: Nombre del sistema, Descripción, Equipo encargado del liderazgo del proyecto, Nombre del personal encargado del análisis y diseño del sistema, Resumen Administrativo, Diagrama general del sistema, Fechas correspondientes, Objetivos del Sistema, Entradas del Sistema (información a captar), Salidas del sistema (resultados a obtener)

 

Manual de usuario

Exponer los procesos que el usuario puede realizar con el sistema implantado: Que el usuario conozca cómo preparar los datos de entrada, Que el usuario aprenda a obtener los resultados y los datos de salida, Servir como manual de aprendizaje, Servir como manual de referencia, Definir las funciones que debe realizar el usuario, Informar al usuario de la respuesta a cada mensaje de error, Pasos a seguir para definir como desarrollar el manual de usuario, Identificar los usuarios del sistema: personal que se relacionará con el sistema, Definir los diferentes tipos de usuarios, Definir los módulos en que cada tipo de usuario participará

 

Manual de operaciones

Este documento debe proporcionar al personal de administración y soporte de los sistemas la información que le permita la operación de los mismos: Iniciarse en el sistema y cómo se pueden utilizar sus cualidades comunes, Salir de un problema cuando las cosas funcionan mal, Obtener informes de error generados y las situaciones en que surgen esos errores, Diagrama general del sistema, Diagrama general del flujo del proceso electrónico, Diagramas De Pantalla, Explicación genérica de las fases del sistema, Cronograma con fechas y horarios para la obtención de resultados, Instrucciones sobre el mantenimiento y actualización del sistema

 

Manual de capacitación

Para el entrenamiento del software de la aplicación, tanto a nivel técnico como para el usuario final, que puede contener:

  • Explicación del software utilizado en complemento al sistema
  • Sectores/usuarios vinculados al sistema
  • Niveles de habilitación y facultades de cada uno
  • Normas de calidad que deben considerarse
  • Pautas de seguridad específicas de la aplicación
  • Referencias de mensajes que se emiten al momento de la captura de los datos o cualquier condición fuera de lo normal