Importancia de la implementación de una Metodología de QA (Quality Assurance)

Autor: Javier Gutierrez / Gerencia de Operación de Servicios  

Uno de los mayores activos de una empresa u corporativo es su reputación, por lo que una prioridad esencial de cualquier gerencia es preservar esta condición a través de una cultura basada en el liderazgo, una sólida estructura organizacional y el cumplimiento normativo interno y externo así como en la ejecución de proyectos exitosos y la verificación de la calidad de la operación.

 

 “La necesidad de identificar oportunamente los riesgos y faltas de cumplimiento hacen del servicio de QA un aliado de confianza para la alta Gerencia”

 

 ¿Se ha preguntado por las implicaciones operativas, económicas o regulativas a las que se expone su organización por no contar con un ambiente de QA?

Actualmente muchas organizaciones son reguladas por áreas internas y externas verificando siempre el cumplimiento normativo o de procesos (según aplique), pero estas verificaciones generalmente terminan perdiendo eficiencia con el paso del tiempo pues no corresponden a una metodología o un enfoque de mejora continua.

En este contexto, emerge con fuerza la necesidad de implementar una Metodología de QA la cual contribuye al cumplimiento normativo, operativo y de proyectos. Esta Metodología debe operar desde el lado del usuario, asegurar de un nivel de cumplimiento optimo y entregar las directrices necesarias para remediar oportunamente aquellos incumplimientos antes de ser observados por algún ente regulatorio, caer en sobre costos operativos o bien degradar la relación con los Stakeholders.

 Los elementos esenciales de la Metodología de QA  serán los siguientes:

  • Identificación de un Ambiente de Control

Para implementar una metodología de QA que permita asegurar el cumplimiento normativo interno y externo de la compañía así como la correcta ejecución de proyectos y la verificación de la calidad de la operación es necesario identificar cada una de las Normas, Lineamientos, Metodologías de operación, Procesos operativos y Controles. Esta actividad es primordial ya que con base en ella se podrán generar las matrices Scorecard de verificación con las cuales ayudaran al QA a obtener los niveles de cumplimiento deseado.

  • Gestión de Riesgos

Esta actividad se inicia con un diagnostico e identificación de los riesgos existentes en el compañía considerando como tales aquellos que podrían afectar a la buena marcha e imagen del corporativo así como, el cumplimiento de sus objetivos y sus metas de crecimiento, competitividad y rentabilidad.

Con base en una Matriz Riesgo Control que se construye a partir del análisis de procesos, se detallarán todos y cada uno de los riesgos identificados en la operación de la compañía. Esta matriz abarcará riegos de Exposición de la Compañía, Jurídicos,  Financieros, Operativos, Comerciales, de Sistemas y de Negocio. Así mismo, deberá de contemplarse un RoadMap para poder mitigar, eliminar, transferir o aceptar (según sea el caso) cada uno de estos riesgos.

  •  Operación desde el lado del usuario

 Es imprescindible que el QA que implemente la compañía opere desde el punto de vista del usuario ya que estos son los encargados de producir toda la evidencia necesaria para cubrir los niveles de cumplimiento esperados, de igual forma, es importante que esta metodología no tenga contacto con los órganos regulatorios (internos y externos) ya que de este modo se puede asegurar la eficiencia del QA.

 Así mismo, se recomienda que el QA este operado por personal experto y externo para evitar convertirse en juez y parte de la metodología.

  • Mejora Continua

 La última fase de la aplicación de esta metodología de QA consistirá en generar un ambiente de control de procesos que permita mantener un nivel óptimo de cumplimiento normativo, en la operación y en la implementación de proyectos.

 Esta metodología debe estar diseñada con la intención de soportar cualquier marco de control que el negocio requiera. Así mismo, deberá coadyuvara a mantener y vigilar el nivel de madurez de los controles, en tanto el área de auditoría podrá incrementar el alcance  o el endurecimiento de los criterios de evaluación.

¿Dónde se puede implementar la Metodología de QA?

Una metodología de QA debe ser adaptable a todo el negocio, es por eso que se recomienda su implementación en:

  • Gestión de servicios externos
  • Gestión de SLA’s y OLA’s
  • Gestión de TI
  • Políticas y Procesos 
  • Proyectos

 La estructura para implementar una Metodología de QA debe estar conformada por:

  • La participación de expertos para la estructuración y gestión del Sistema de QA
  • La valoración de Creación dentro de su estructura la figura de QA Officer vinculado al Consejo de Administración o a la Dirección General.

Ventajas y Beneficios de contar con una Metodología de QA.

  •  Mejora de relación con los auditores y organismos regulatorio.
  • Establecimiento de un modelo de cumplimiento normativo accesible, claro y estructurado
  • Modelo de cumplimiento normativo expandible a todo el grupo o demás compañías y/o unidades de negocio
  • Estar preparados para cumplir con las certificaciones que se consideren indispensables para la compañía
  • Aumento de confianza por parte de los Stakeholders
  • Mejora de relación con los auditores y organismos regulatorio.
  • Establecimiento de un modelo de cumplimiento normativo accesible, claro y estructurado
  • Modelo de cumplimiento normativo expandible a todo el grupo o demás compañías y/o unidades de negocio
  • Estar preparados para cumplir con las certificaciones que se consideren indispensables para la compañía
  • Atención eficiente de auditorías en tiempo real
  • Prevención de sanciones por parte de organismos normativos y sus posibles afectaciones económicas al negocio
  • Integración y estructura jerárquica de información
  • Control y disponibilidad de la información
  • La participación de externos aporta una visión fresca, especializada, imparcial y enriquecida con otras experiencias y una metodología probada
Published in Blog
Viernes, 22 Mayo 2015 16:20

Importancia de un Ambiente de Compliance

Importancia de implementación de un Ambiente de Compliance

Autor: Javier Gutierrez / Gerencia de Operación de Servicios  

A raíz de los numerosos escándalos de corrupción, financieros y contables en los últimos años en las empresas nacionales e internacionales, los países han multiplicado el número de regulaciones orientadas a garantizar la transparencia y el correcto cumplimiento de la ley, derivado de esto, se ha puesto en riesgo a las compañías de ser susceptibles a la imposición de penas que van desde multas económicas, vetos, encarcelamiento de directivos  hasta el cierre de operaciones.

Actualmente ninguna compañía debe arriesgarse a incumplir una normativa por la acción de un empleado o por el simple desconocimiento de la existencia de una norma específica, así cómo actuar de un modo ético y transparente, controlar que sus proveedores también lo hagan y gestionar el negocio responsablemente se ha convertido un valor estratégico para muchas empresas.

En este contexto, emerge con fuerza la necesidad de instrumentar un sistema de  Compliance en el grupo empresarial el cual se orientará a asegurar una gestión adecuada de todas las cuestiones relacionadas con el cumplimiento normativo hacia el interior y el exterior de las empresas del grupo tomando en cuenta los requerimientos de los Laboratorios, Autoridades regulatorias, Clientes y Proveedores.

Los elementos esenciales del Compliance serán los siguientes:

  • Creación de un Ambiente de Control

     Para implementar un Compliance que permita asegurar el cumplimiento normativo interno y externo de la compañía es necesario identificar cada una de las Normas, Leyes Anticorrupción y Lineamientos Nacionales como Extranjeros aplicables a la misma. Esta actividad es primordial ya que con base en ella se podrán generar los Controles necesarios para no incurrir en inconformidades normativas. Este ambiente de control debe contener Macro Controles, Controles, Lineamientos, Estándares, Políticas e Instrucciones de Operación.

       ·  Gestión de Riesgos

Esta actividad se inicia con un diagnostico e identificación de los riesgos existentes en el grupo considerando como tales aquellos que podrían afectar a la buena marcha e imagen de las empresas del grupo, al cumplimiento de sus objetivos y sus metas de crecimiento, competitividad y rentabilidad.

Con base en una Matriz Riesgo Control que se construye a partir de la documentación de procesos, se detallarán todos y cada uno de los riesgos identificados en la operación del grupo. Esta matriz de riesgos abarcará riegos de Exposición de la Compañía, Jurídicos,  Financieros, Operativos, Comerciales, de Sistemas y de Negocio. Así mismo, deberá de contemplarse un RoadMap para poder mitigar, transferir o aceptar (según sea el caso) cada uno de estos riesgos.

  • Mejora Continua

La última fase de la aplicación de este sistema de compliance consiste en generar un ambiente de control de procesos que permita garantizar el seguimiento a los cambios de regulación y la aplicación práctica en la organización.

La estructura para implementar esta estructura de Compliance debe estar conformada por:

ü  La participación de expertos para la estructuración y gestión del Sistema de Compliance

ü  Creación de los Comités necesarios quienes trabajarán en conjunto con el Comité de Auditoria.

ü  La valoración de Creación dentro de su estructura la figura de Compliance Officer vinculado al Consejo de Administración o a la Dirección General.

Ventajas y Beneficios de contar con un Sistema de Compliance. 

  • Apego a prácticas éticas en todos los niveles del grupo y sus empresas
  • Establecimiento de un modelo de cumplimiento normativo accesible, claro y estructurado
  • Modelo de cumplimiento normativo expandible a todo el grupo o demás compañías y/o unidades de negocio
  •  Estar preparados para cumplir con las certificaciones que se consideren indispensables para el grupo
  • Atención eficiente de auditorias en tiempo real
  • Prevención de sanciones por parte de organismos normativos y sus posibles afectaciones económicas al grupo
  • Integración y estructura jerárquica de información
  • Control y disponibilidad de la información
  • Mayor visibilidad de la imagen del Grupo a nivel nacional e internacional tanto con laboratorios, autoridades, clientes y proveedores
  • La participación de externos aporta una visión fresca, especializada y enriquecida con otras experiencias y una metodología probada
  • Aumento de confianza por parte de los stakeholders
  • Mejora de relación con los auditores y organismos regulatorios
Published in Blog

Porque Borrar, Formatear y Destruir no son Sinónimos

Autor: Javier Gutierrez / Gerencia de Operación de Servicios 

En los negocios la información suele ser el activo más importante de las compañías ya que este representa la fuente para la toma de decisiones por parte de la alta dirección así como también permite conocer a detalle la operación de la compañía. En las organizaciones es común identificar como el eslabón más débil dentro del ciclo de vida de la información es el que se refiere al destino final de esta ya que muchas veces se confunde el borrar con el destruir la información.

Esta información suele almacenarse en forma física (archiveros, Folders) o digital (Laptop, Servidores, PC’s, Memorias USB, Discos Duros, Cintas) y dispositivos móviles (Smartphones, Tabletas, Nube) cuidando siempre su resguardo, disponibilidad y evitando cualquier vulnerabilidad de seguridad.

Tanto las empresas como los particulares manejan a menudo información y documentación de carácter confidencial que debe ser tratada de un modo seguro y privado para evitar posibles filtraciones o que esas informaciones acaben siendo públicas. Además de documentación en papel, discos duros y otro tipo de soportes de almacenamiento de datos de carácter personal o confidencial tienen que conservarse con total seguridad siempre y cuando sean útiles para la compañía o trabajador por cuenta propia

 Vale la pena recordar que cada byte de información electrónica existe bajo forma física: sin importar cómo se vea en la pantalla, existe un disco duro o memoria de USB en alguna parte que está listo para ser leído .

Por desgracia, la destrucción segura de datos no es tan simple en realidad. Ninguno de los métodos convencionales (Destrucción de medios, formateo de discos, Destrucción física de archivo, etc.)  garantiza que la información almacenada no sea recuperable, por lo tanto, para alguien ajeno a su información podría tomar unos minutos con un paquete de software gratuito el poder acceder a ella incluso aun cuando se haya destruido la media de respaldo, así mismo para la información física, no sobra definir una política de "escritorio limpio" que requiera que cuando el usuario está fuera de su estación de trabajo, no deben permanecer papeles en su mesa, o, por ejemplo, en las impresoras. Asimismo, los papeles que incluyen datos sensibles deben ser triturados y en algunos casos tratados con solventes, de no hacerlo, la basura se convierte en una mina de oro de potenciales defraudadores.

En este contexto, emerge con fuerza la necesidad de instrumentar un Proceso de  Destrucción de Información Confidencial el cual debe asegurarse de contar con los controles necesarios que garanticen la eficacia, seguridad y confidencialidad de la destrucción de la información así como también garantice   que la información desaparezca y no sea recuperable.

La destrucción de la información deberá ser un proceso formal aplicado por profesionales apegado a prácticas internacionales ya que este es un eslabón débil y muy poco vigilado en las corporaciones 

Los elementos esenciales del Proceso de Destrucción de Información:

  •  Identificación de documentos clave (Físicos y Digitales)
  •  Generación de documentación técnica
  •  Destrucción de la información / Borrado permanente de información en medios digitales
  •  Entrega de certificado de destrucción de la información

La educación personal y corporativa, el estar consciente del valor de la  información, donde se almacena, por dónde pueden venir los ataques, así como contar con un proceso formal de destrucción de información es la mejor defensa para evitar sorpresas.

 Beneficios de contar con un Proceso de  Destrucción de Información Confidencial

 ü  Uso de una metodología con apego a mejor practica para la Destrucción de Soporte de Datos

ü  Control total sobre el destino de la información a destruir evitando que personas malintencionadas, competencia o público en general pueda tener acceso a esta

ü  Plena confidencialidad en el manejo de su información

ü  Uso de tecnología de vanguardia para la destrucción de sus datos

ü  Aseguramiento de destrucción de información sin repercusión ambiental

ü  Apego a mejores prácticas de reciclaje tecnológico

ü  Certidumbre por el destino final de los datos

ü  Certificado de destrucción de información.

Es importante recordar el alto nivel de vulnerabilidad, de riesgo de exposición y de seguridad en el que se encuentra una empresa o un individuo si su información personal, financiera, laboral y de entretenimiento es extraída aun cuando este crea que ya ha sido borrada de forma física o digital.

Published in Blog