👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
TSC: Seguridad (Common Criteria): Principio 10, 13, 16 y 17 del Marco COSO, y los criterios CC7.3 y CC9.1.
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a establecer un procedimiento para documentar los hallazgos (no conformidades, observaciones y oportunidades de mejora), que se identifiquen en tu programa de seguridad, para darles el tratamiento y seguimiento adecuado. Es el motor del ciclo de mejora continua en tu organización.
¿Qué tengo que hacer? 🚀
Para generar este procedimiento, te recomendamos definir cómo realizarás las siguientes tareas:
Revisión de los hallazgos
Los hallazgos a revisar se originan principalmente de la aplicación de auditorías internas y externas, o de desviaciones operativas. Una vez que tengas los reportes o notificaciones, el responsable a cargo debe analizar los resultados para priorizar e identificar las acciones correctivas que se deben tomar.
Clasificación y priorización
Al revisar los hallazgos, será necesario identificar cuáles se deben atender primero. El objetivo es enfocar los recursos y esfuerzos correctamente. Para los tipos de hallazgos de una auditoría, la priorización debe ser la siguiente:
Primero las no conformidades mayores.
Luego, las no conformidades menores.
Seguido de las observaciones.
Y finalmente, las oportunidades de mejora.
Análisis de la causa raíz
La definición adecuada de las acciones correctivas requiere un análisis de las causas raíz de los hallazgos para saber cómo solucionarlos de fondo. El método que Hackmetrix te recomienda utilizar es el “5 Porqués (5 Whys)”.
Dentro de la actividad en la plataforma te proporcionamos un template para facilitar este análisis.
Registro de las acciones correctivas
Una vez identificada la causa raíz, debes determinar y documentar las acciones correctivas necesarias. Para realizar este registro, te proporcionamos un template en la actividad correspondiente al “Plan de Tratamiento de Acciones Correctivas y de Mejora”, donde deberás ingresar toda la información solicitada.
Implementación de las acciones correctivas
El responsable asignado debe implementar las acciones definidas en el plan de tratamiento. Una vez implementadas, debes dejar como información documentada los responsables que participaron y la fecha de cierre, así como generar toda la evidencia que demuestre dicha remediación.
Revisión de la eficacia de las acciones implementadas
Se recomienda revisar y evaluar la eficacia de las acciones implementadas para asegurar que resolvieron la causa raíz del hallazgo. Para esto, puedes apoyarte de los “Listado de Métricas e Indicadores” establecidos.
Recuerda que es muy importante generar la evidencia pertinente que soporte la ejecución de cada uno de los pasos de este procedimiento.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu procedimiento fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Atiende primero las no conformidades (mayores y menores), pero también te sugerimos planificar con anticipación las acciones para tratar las observaciones y las oportunidades de mejora.
Si lo consideras conveniente, investiga algún otro método de análisis de causa raíz. Lo más importante es asegurar que sea el más alineado a tus necesidades y que te proporcione la información pertinente. ¡Solo no olvides documentar el análisis!
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.