Afortunadamente, cada día son más las empresas que, convencidas de los beneficios de articular y normalizar sus actividades sobre la estructura de sistemas de gestión, van adoptando e implantando algunos de ellos: desde el primigenio Sistema de Gestión de la Calidad ISO 9001, pasando por el Sistema de Gestión Ambiental ISO 14001, el Sistema de Gestión de la Continuidad de Negocio ISO 22301 o los más afines con las Tecnologías de la Información, el Sistema de Gestión de Servicios ISO 20000-1 y el Sistema de Gestión de Seguridad de la Información ISO 27001.
Pero, en el marco de este esfuerzo continuado y creciente de implantación de un Sistema Integrado de Gestión que aglutine los diversos sistemas de gestión de la empresa, ¿qué ocurre cuando el alcance de los primeros sistemas de gestión resulta demasiado genérico para su transposición a los nuevos sistemas de gestión que se van incorporando a dicho sistema integrado?
Las reglas del juego
Como es bien sabido, desde hace algunos años las directivas de ISO e IEC auspiciaron la adopción de la estructura común de alto nivel (HLS) con la finalidad de alinear o integrar múltiples normas de sistemas de gestión. Obedeciendo a tal esquema se unificaron los capítulos de cada una de las normas estableciendo, además, unos requisitos comunes a todos los sistemas de gestión que, posteriormente, cada uno de ellos podría perfeccionar y mejorar con otros requisitos específicos.
Así pues, en el capítulo 4 “Contexto de la organización” de todas las normas de sistemas de gestión se encuadra el apartado 4.3 “Determinación del alcance del sistema de gestión”. A modo de referencia, la norma precursora ISO 9001 (2015) establece los requisitos básicos a la hora de establecer dicho alcance:
“Cuando se determina este alcance, la organización debe considerar:
- las cuestiones externas e internas indicadas en el apartado 4.1;
- los requisitos de las partes interesadas pertinentes indicados en el apartado 4.2;
- los productos y servicios de la organización.
La organización debe aplicar todos los requisitos de esta Norma Internacional si son aplicables en el alcance determinado de su sistema de gestión de la calidad.
El alcance del sistema de gestión de la calidad de la organización debe estar disponible y mantenerse como información documentada. El alcance debe establecer los tipos de productos y servicios cubiertos, proporcionar la justificación para cualquier requisito de esta Norma Internacional que la organización determine que no es aplicable para el alcance de su sistema de gestión de la calidad.”
En esencia, sobre este mandato el resto de normas de sistemas de gestión particularizan lo que los expertos mundiales encargados de su edición han estimado conveniente:
Por ejemplo, la norma ISO/IEC 20000-1 (2018) especifica que “la definición del alcance del Sistema de Gestión de Servicios debe incluir los servicios dentro del alcance y el nombre de la organización que gestiona y presta los servicios”; además, referencia a otra norma de la misma familia, la ISO/IEC 20000-3, para ampliar las orientaciones sobre la definición del alcance.
Por su parte, la norma ISO 22301 (2019) particulariza los requisitos necesarios a la hora de definir el alcance de dicho sistema de gestión, considerando algunos aspectos como la misión, objetivos y obligaciones de la organización o explicitando que se deben determinar las partes de la organización que se han de incluir en el Sistema de Gestión de la Continuidad de Negocio, teniendo en cuenta sus emplazamientos, dimensión, naturaleza y complejidad.
Afinando el alineamiento del alcance del Sistema Integrado de Gestión
Naturalmente, la experiencia adquirida en proyectos de implantación de sistemas de gestión de seguridad de la información (SGSI) muestra que, ya sea por su propia antigüedad o por un enfoque modesto en la definición inicial del alcance o por otras causas, los sistemas de gestión precedentes de muchas organizaciones tienen documentados alcances especialmente concisos como “explotación y mantenimiento del activo X o de la actividad de negocio Y”… ¡lo cual resulta ciertamente exiguo para delimitar el alcance de un SGSI!
En todo caso, hay que subrayar que una clara definición del alcance es un importante factor de éxito para la implementación del SGSI. Por ello, al margen de revisar las orientaciones que al respecto ofrece la norma ISO/IEC 27003, resulta tan necesario como recomendable que la descripción del alcance, habitualmente documentada en un Manual de Gestión, refleje adecuadamente todos los elementos relevantes en cada organización: procesos, funciones, servicios, ubicaciones geográficas, exclusiones, …
Consecuentemente, a la hora de incorporar un nuevo sistema de gestión en el Sistema Integrado de Gestión previamente implementado habrán de valorarse diversas opciones: actualizar y revisar el alcance documentado existente para que responda a los requisitos no solo del nuevo sistema de gestión sino, también, de los precedentes; segmentar la declaración documentada del alcance del nuevo sistema en un manual de gestión complementario al existente; etc. Evidentemente, no todos los sistemas de gestión tienen las mismas afinidades y no siempre será posible describir de manera precisa el alcance de todos ellos en una única declaración.
En último extremo, no debe olvidarse que, por tratarse de una declaración de naturaleza pública, debe responder a ciertos requisitos básicos: simplicidad, comprensible para personas externas a la organización y suficientemente precisa para describir qué queda cubierto por la certificación.