Implantación, auditoría y certificación de

sistemas de gestión para documentos según la

familia de normas ISO 30300
Dr. Ramon Alberch i Fugueras
Lima, 23-24 de junio de 2017
LA NORMALIZACIÓN DE LA PROFESIÓN

• La aparición de normas auditables y certificables ha

estimulado la emergencia de diferentes sectores:
· Las normas ISO 9000 de calidad
· Las normas 14000 de medio ambiente
· Las normas 27000 de seguridad

La aparición de la família de normas 30300 para la implantación,

auditoría y certificación de Sistemas de Gestión para Documentos
sitúa la profesión en un plano de igualdad y reconoce su
metodología como una pieza fundamental en las políticas
corporativas de gestión de la información de las organizaciones.
ALGUNAS CONSIDERACIONES PREVIAS
• La dificultad de interiorizar un lenguaje muy conceptual,
a veces incluso críptico
• La repetición de consideraciones en las normas
pertenecientes a una misma família
• La imperiosa necesidad de correlacionar unas
consideraciones conceptuales con unos requisitos/
productos concretos
• La necesidad de aportar una “información
documentada”: es el término usado en las NSG para
abarcar toda la información que se requiere controlar y
mantener por una organización cuando implementa un
sistema de gestión
 qué información documentada necesita ser creada y los
requisitos para su control
 elaborar los instrumentos de control
UN GRAN SALTO CUALITATIVO
Las normas ISO y su incidencia en el desarrollo internacional de
los sistemas de gestión de documentos
-Las normas de referencia:
-UNE-EN ISO 30300:2011. Información y documentación.
Sistemas de gestión para documentos. Fundamentos y
vocabulario.
-UNE-EN ISO 30301:2011. Información y documentación.
Sistemas de gestión para documentos. Requisitos.
-UNE-EN ISO 30302:2015. Información y documentación.
Sistemas de gestión para documentos. Guía de implantación
-UNE-EN ISO/IEC 17021:2011. Evaluación de la conformidad.
Requisitos para los organismos que realizan la auditoría y la
certificación de sistemas de gestión.
-UNE-EN ISO 19011:2011. Directrices para la auditoría de los
sistemas de gestión de la calidad y/ ambiental
UNE-ISO 30300:2011

• Es una norma general, de carácter introductorio

• Explicita:
-El ámbito y los fundamentos
-Necesidades y principios de un Sistema de Gestión para
Documentos
-Enfoque por procesos
-Rol de la alta dirección
-Términos y definiciones
UNE-ISO 30301:2011
• Presenta la estructura de requisitos exigibles para la
certificación:
-Contexto de la organización
-Liderazgo
-Planificación
-Soporte
-Operación
-Evaluación
-Mejora
• Anexos:
-A. Normativo. Procesos y controles
-B. Informativo. Interrelación normas
-C. Informativo. Lista verificación para autoevaluación
UNE-ISO 30302: 2015
• Constituye una guía para la implementación.
• Sigue la misma estructura que la ISO 30301 para facilitar
su implantación.
• En cada bloque presenta un apartado de resultados que
permite inferir con una cierta precisión qué documentos
deben crearse para cumplir con los requisitos que se
exigen.
• Anexo A (Informativo). Presenta ejemplos de fuentes de
información y requisitos para el análisis del contexto
organizativo.
 Auditoría y Seguridad y
certificación riesgos

Digitalización Evidencias
Procesos y migración electrónicas

Metadatos Calidad

Gestión de Preservación
documentos
NIVELES Y REQUISITOS
Nivel:
• a) estratégico: família normas 30300. Sistemas de
gestión para documentos
• b) operativo: norma ISO 15489:2016, normas
metadatos y procesos, y especialmente norma ISO
31010:2010 de gestión de riesgos y 18128:2014 del
riesgo en procesos y sistemas de gestión
documental.
Correlación absoluta entre ISO 15489 e ISO 30301.
Las buenas prácticas de la ISO 15489 devienen
requisitos operacionales en la 30301 (apartado 8 y
anexo A).
• Las normas ISO 15489 de gestión documental
Una primera elaboración que aporta un modelo de procesos
en el marco del ciclo de vida:
• -ISO 15489-1: 2001. Gestión documental.
Consideraciones generales.
• -ISO 15489-2: 2001. Gestión documental. Directrices.
Su actualización. Constará de dos normas. La actual rompe
el equilibrio metodología-tecnología que había presidido
la norma fundacional y debilita el modelo de procesos
que había permitido un acercamiento a la metodología de
GD por parte de sectores externos a la profesión.
• -ISO 15489-1: 2016. Conceptos y principios
• La norma ISO 15489 como eje vertebrador de un SGD
Los instrumentos técnicos o procesos más relevantes son
los siguientes:
1. Captura de los documentos: que puede ser manual,
automática o mediante digitalización certificada. Esta
captura comporta un proceso de registro, de cambio de
espacio lógico y de asignación de permisos.
2. Registro de documentos: se genera una breve
descripción a nivel de entidad documental
(identificador único, fecha y hora, título o descripción y
órgano).
3. Clasificación de los documentos: funcional, de
seguridad y acceso. Esta estructura sirve de base para la
sistematización de los distintos niveles jerárquicos y
también para establecer las políticas de acceso y
seguridad.
4. Descripción de los documentos: aplicación de las
normas de descripción normalizada internacional y del
modelo de metadatos.
5. Almacenaje, preservación a largo plazo y firma
electrónica, especialmente para los documentos con
valor de evidencia.
6. Valoración, disposición, retención y calendario de
conservación: conservación y eliminación de
documentos con especial atención a la aplicación de
los calendarios de conservación.
7. Transferencia de los documentos: garantizar la
continuidad del ciclo de vida mediante la transferencia
física o telemática en las tres fases de los documentos.
8. Uso, consulta, impresión segura y trazabilidad:
control de acceso y permisos, registros de auditoría,
control de versiones y mecanismos de seguridad.
EL CONTENIDO ESENCIAL DE LAS NORMAS

OBJETO Y ÁMBITO DE APLICACIÓN

-Las normas de sistemas de gestión (Management System
Standards-MSS) ofrecen las herramientas para que la alta
dirección implemente un enfoque sistemático y verificable en el
control de las organizaciones en un entorno que favorezca las
buenas prácticas.
-Estan diseñadas para todo tipo de organizaciones (públicas y
privadas) y los destinatarios de estas normas son la alta dirección
y los responsables de la implementación de un SGD (Gestión
documentos, TIC, seguridad, auditoría)
Esta norma se puede aplicar a cualquier organización que desee:
a) Establecer, implementar, mantener y mejorar un SGD como
soporte de sus actividades;
b) Asegurarse a sí misma la conformidad con su política de
gestión documental establecida; y
c) Demostrar la conformidad con esta norma internacional
mediante:
1. La realización de una autoevaluación y una autodeclaración,
2. La confirmación de su autodeclaración por una parte externa
a la organización, o
3. La certificación de su SGD por una organización externa.
CONTEXTO Y REQUISITOS (4)

Analizar el contexto de la organización

2.1. Factores externos: entorno social y cultural, legal,

reglamentario; motivaciones y tendencias
2.2. Factores internos: estructura organizativa, roles, las
políticas; los sistemas de información; normas y modelos
2.3. Requisitos de negocio, legales y de otra índole

Requisitos exigibles  Compendio de la legislación

 Determinar el alcance
LIDERAZGO (5)
-Compromiso de la dirección: asegurando que el SGD es
compatible con la dirección estratégica de la organización e
integrando los requisitos en los procesos de negocio; aportando
recursos, divulgando su importancia, asegurando que alcanza los
resultados esperados
-Política: fijar los objetivos, compromisos de cumplimiento de
los requisitos aplicables y para su mejora contínua
-Roles organizativos, responsabilidades y competencias:
definirlos, asignarlos y comunicarlos a toda la organización.
Requisitos exigibles  Comunicación del proyecto
 Definición roles y competencias
 Política de gestión documental
 Manual del SGD
PLANIFICACIÓN (6)
-Acciones para el tratamiento de riesgos y oportunidades:
identificación e integración en los procesos del SGD y garantizar
su evaluación.
-Objetivos de gestión documental y planes para alcanzarlos.
Estos objetivos deben:
a) Ser consistentes con la política de gestión documental;
b) Ser medibles (si es posible)
c) Tener en cuenta los requisitos aplicables; y
d) Supervisarse y actualizarse cuando sea necesario.
Requisitos exigibles  Definir planes, con calendario y
asignación de recursos
 Caracterización de los riesgos
(procedimiento, cuadro de mando)
SOPORTE (7)
-La alta dirección debe asignar y mantener los recursos que
necesita el SGD
-Capacitación, concienciación y formación
-Comunicación: establecer, implementar, documentar y
mantener los procedimientos para la comunicación interna sobre
el SGD
-Documentación: obligación de documentar el SGD y controlar
la gestión, revisión, actualización e identificación de los
documentos.
Requisitos exigibles  Manual del usuario en GD
 Reglamento de GD y A
 Plan de formación
 Procedimiento y registro de control
de documentos del SG
OPERACIÓN (8)
-Planificación y control de operaciones: la organización debe
determinar, planificar, implementar y controlar los procesos
necesarios para el tratamiento de los riesgos y oportunidades
(6.1) y para cumplir con los requisitos
-Diseño de los procesos de gestión documental: analizar los
procesos de trabajo para determinar los requisitos para la
creación y el control de los documentos y facilitar la asunción de
responsabilidades.
Requisitos exigibles  Mapa de procesos
 Fichas de procesos
 Cuadro de clasificación
 Otros instrumentos técnicos
 Control de aplicaciones de GD
EVALUACIÓN DEL DESEMPEÑO (9)
7.1. Supervisión, medición, análisis y evaluación
7.2. Sistema de auditoría interna. La organización debe realizar
auditorías internas a intervalos planificados para proporcionar
información que ayude a determinar si el SGD:
a) Cumple los requisitos propios de la organización para su SGD
y los requisitos de esta norma internacional
b) Se implementa y mantiene de forma efectiva
7.3. Revisión por la dirección. La dirección debe revisar el SGD,
a intervalos planificados, para asegurar que se mantiene su
conveniencia, adecuación y efectividad.
Requisitos exigibles  Indicadores de supervisión y
medición
 Sistema auditoria interna: planes,
informes
 Actas de supervisión y revisión
MEJORA (10)
8.1. Control de las no conformidades y acciones correctivas
8.2. Mejora contínua
-La organización debe mejorar de manera contínua la
efectividad del SGD mediante el uso de la política y los
objetivos de gestión documental, los resultados de la
auditoría, los análisis de datos, las acciones correctivas y
preventivas, y las revisiones de la dirección.

Requisitos exigibles  Procedimiento control NC y AC

 Fichas seguimiento NC y AC
 Registro de NC e Incidencias
9. ANEXOS. La norma 30301 presenta tres anexos:
Anexo A. Normativo. Presenta los procesos y
controles de gestión documental que se deben
implementar.
Anexo B. Informativo. Muestra las interrelaciones
entre las normas ISO 9001, 14001, 27001 y 30301.
Anexo C. Informativo. Presenta la lista de
verificación para la autoevaluación. Hay 28 puntos de
verificación y los caracteriza (adecuado; necesita
mejora; no; próximamente; no aplica).
• AUDITORÍAS Y SISTEMAS DE GESTIÓN
-Auditoría conjunta/compuesta: uno o más auditores que
llevan a cabo una auditoría, con el apoyo, si es necesario, de
expertos técnicos.
-En la aplicación de los criterios de auditoría (políticas,
procedimientos y requisitos verificables) se dibujan dos
acciones formales:
-Auditorías internas (de primera parte): se realizan por, o
en nombre de, la propia organización, para la revisión por
la dirección y con otros fines internos, y pueden constituir
la base para una autodeclaración de conformidad de una
organización. La independencia puede demostrarse al estar
libre el auditor de responsabilidad en la actividad que se
audita.
-Auditorías externas, denominadas de segunda o tercera
parte (auditorías de certificación)
AUDITORÍAS Y SISTEMAS DE GESTIÓN

-Las auditorías de segunda parte se llevan a cabo por partes que

tienen un interés en la organización, tal como los clientes, o por
otras personas en su nombre.
-Las auditorías de tercera parte se llevan a cabo por
organizaciones auditoras, independientes y externas, tal como
aquellas que proporcionan el registro o la certificación de
conformidad de acuerdo con los requisitos de las normas ISO
9001, 14001 o 30301(empresas certificadoras).
-Los criterios de auditoría se utilizan como referencia frente a la
cual se compara la evidencia de la auditoría
- Consideración de las No Conformidades y Observaciones
APROXIMACIÓN A UNA TIPOLOGÍA DE
INSTRUMENTOS DE CONTROL
Número Nombre Estrategia Operación Evaluación Requisito

1 Política de X 5.2
GD
2 Manual del X Todos
SGD
3 Misión, X 4.1
visión,
valores
4 Requisitos X 4.2
legales
5 Objetivos X 6.2
GD
6 Proc. X 6.1/8.1
riesgos
7 Cuadro X X 6.1/8.1
riesgos
8 Fichas X 7.2
funciones
9 Registro X X 7.2/7.3
capacitació
n
Número Nombre Estrategia Operación Evaluación Requisito

10 Manual X 7.2
usuario GD
11 Reglamento X 7.2/8.2
archivos y GD
12 Proced. X X 7.3
formación
continua
13 Programa for. X 7.3
continua
14 Registro X 7.3
lectura
documentos
15 Proc. X 7.4
comunicación
16 Proc. control X 7.5.2
doc. SG
17 Registro X 7.5
control doc.
SG
18 Mapa de X 8.2
procesos
Número Nombre Estrategia Operación Evaluación Requisito

19 Cuadro de X Anexo A
clasificación
20 Herramienta X -
de gestión del
CdC
21 Fichas de X 8.2
procesos
22 Cuadro de X Anexo A
creación y
control
23 Hojas de X Anexo A
transferencia
24 Registro de X Anexo A
eliminaciones
25 Informe X 8.3
control
aplicac. GD
26 Programa X X 9
evaluación
desempeño
27 Actas X 9.1
supervisión
sistema
Número Nombre Estrategia Operación Evaluación Requisito

28 Actas rev. X 9.3

dirección
29 Proc. X X 9.2
Auditoria
interna
30 Planes X 9.2
auditoría
interna
31 Inf. audit. X 9.2
interna
32 Proc. control X X 10.1
no confor.
33 Proc. a.c, prev. X X 10.1/10.2
y mejora
34 Fichas nc, ac, X X 10.1/10.2
prev, mejora
35 Registro X X 10.1/10.2
nc,ac,prev,mej
ora
36 Fichas inc. X X 10.1

37 Registros X X 10.1
incidencias
• UNA AMPLIACIÓN NOTABLE DEL
MERCADO DE TRABAJO
-La norma ISO 30301 abre unas notables expectativas
para el sector profesional de la gestión de los
documentos y los archivos en tres ámbitos concretos:
a) La implantación de sistemas de gestión de
documentos
b) La auditoría interna (de primera parte)
c) La auditoria de certificación (de segunda o tercera
parte)