Foro: 4.2 Gestión de la documentación en ISO 9001

Control de documentos y registros en la nube

  • aperez
    • 16/03/15 12:12
    • Imagen de aperez
    • Reg.: 5/02/15
    • Posts: 61
    (3/0)
    Buenas a tod@s,

    Como bien es sabido cada vez más empresas optan por trabajar con las conocidas nubes para gestionar la documentación. Durante mi trabajo con el proyecto sobre la ISO 9001 no he leido ni oido nada que esté relacionado con este asunto.

    Para la empresa que estoy implantando el sistema toda documentación interna es gestionada a través de DRIVE y por ello después de darle algunas vueltas he decidido enfocar el "PR-control de documentos y registros" ver algún modo de orientarlo en este sentido.

    Me gustaría tener vuestras opiniones al respecto.

    Saludos
    Antonio
  • Jorge Pereiro
    • 17/03/15 11:33
    • Imagen de Jorge Pereiro
    • Reg.: 21/05/04
    • Barcelona, España
    • Posts: 1053
    (0/0)
    Buenos días Antonio,

    interesante asunto el que planteas. A efectos de cumplimiento de requisitos, el hecho de que la información digital esté "en la nube" no plantea mayores problemas en mi opinión.

    Sin embargo hay que distinguir entre tener determinados servicios en la nube, y tener una réplica de parte de nuestro árbol de directorios en la nube, que es lo que se tiene con Drive, o con Dropbox, que es el que yo uso.

    Tener una réplica de nuestros archivos en otros servidores no trae más que beneficios. Sin entrar a abordar cuestiones de seguridad de la información, por el hecho de tener datos propios bajo el control de terceras empresas, la posibilidad de disponer de determinados documentos en cualquier momento facilita el cumplimiento de los requisitos (distribución, versiones actualizadas), y da un potencial enorme de servicio al cliente y a la propia organización.

    Yo mismo tengo todos mis documentos de trabajo en Dropbox. Y he creado una estructura de carpetas por proyecto pensada para poder compartir con los clientes las partes que me interesa. De esta forma transmito al cliente una estructura de la información que le ayuda a ordenarse, y le da acceso a la última versión de lo que quiera y cuando quiera.

    Además de los expedientes del proyecto particular de cada cliente, tengo una estructura de documentos que constituye mi fondo de conocimiento. Si un cliente tiene una pregunta, mi intención es tener una respuesta con ejemplos en segundos. Si no tengo recursos para ilustrar una determinada respuesta, preparo un recurso y lo añado a ese fondo. El objetivo es hacer sólo una vez las cosas, y bien. Envío enlaces por email o whatsapp a las carpetas que me interesa, evitando tener que atiborrar los mensajes con archivos adjuntos.
  • aperez
    • 17/03/15 11:43
    • Imagen de aperez
    • Reg.: 5/02/15
    • Posts: 61
    (1/0)
    Buenas Jorge,

    La verdad que es muy interesante el uso de estas tecnologías. Repercute sobre todo en lo que bien comentas, puedes dar permisos especificos en función de las áreas tanto para el cliente cómo para los propios trabajadores de la empresa. También te ahorra registros ya que no tienes que estar controlando quien tiene la documentación o control de copias. Por no hablar del ahorro medioambiental que supone.

    Otra ventaja es que ya que la norma exige un control de quien crea o modifica documentos, todos estos registros ya están controlados por el propio sistema.

    En mi caso, voy a proponer a la empresa también que el control de documentos externos se realice por este medio, escaneando los mismos y ubicándolos en su carpeta correspondiente.

    Saludos
    Antonio
  • Jorge Pereiro
    • 17/03/15 12:21
    • Imagen de Jorge Pereiro
    • Reg.: 21/05/04
    • Barcelona, España
    • Posts: 1053
    (2/0)
    Además una transición de este tipo es la excusa perfecta para intentar resolver uno de los principales malos usos de la informática: utilizar los discos duros de cada uno como un cajón desastre.

    He conocido los secretos inconfesables de decenas de empresas, y muy pocas tenían la documentación electrónica almacenada siguiendo un orden consensuado y respetado. Los documentos relevantes de cada integrante del sistema debería estar a disposición de las partes interesadas. Evitar la típica pregunta: -¿y dónde lo tienes? -Ay, pues no sé, déjame mirar a ver...
  • aperez
    • 17/03/15 12:29
    • Imagen de aperez
    • Reg.: 5/02/15
    • Posts: 61
    (1/0)
    Claro es lo que siempre he considerado como costes de la no-calidad. El tiempo que se pierde en muchas ocasiones para buscar un documento que es necesario, intentando recordar en que sitio se alojó etc... O cuando la persona que tiene ese documento en su ordenador no está trabajando por lo que sea y hay que molestarlo..

    Con la nube todo esto queda reducido a casi el instante.

    Saludos
    Antonio
  • One Economic&Quality Consulting
    • 17/03/15 15:03
    • Moderador
    • Imagen de One Economic&Quality Consulting
    • Reg.: 25/11/09
    • Madrid/España
    • Posts: 2899
    (1/0)
    Pues yo voy a hacer de abogado del diablo.

    Estoy a favor de las nuevas tecnologías obviamente porque como he dicho en otro hilo el que no se renueva acaba por ir hacia atrás, pero no dejo de pensar siempre en 2 cosas respecto a tener archivos no se sabe muy bien donde. Uno la posibilidad de perder la información o no poder acceder a ella y dos la confidencialidad de los datos.

    Si soy yo el que manejo los datos, sé perfectamente lo que hago con ellos y soy responsable al 100 %. En cambio si están por ahí yo pierdo el control.

    El punto 1 lo baso en que ya ha habido casos de documentación compartida que ha sido bloqueada por ejemplo en investigaciones y nadie te dice que eso no pueda pasar en una nube, en la que haya otro tipo de documentos que alguién quiera controlar por vete tú a saber que motivos. Otro es que si lo fias todo a la nube (conozco casos) y esta falla pues te quedas sin información por el tiempo que dure el fallo.

    Y sobre la confidencialidad pues ya hemos visto casos en los que la información aparece por arte de magia donde no debería aparecer y en manos de quién no debería tenerla.

    Sinceremante a mi el ir dejando por comodidad nuestras cosas en manos ajenas, al menos me produce mucho respeto. Quizás sea porque nací antes de la era digital y aún para hacer muchas cosas no recurro todas las veces a eso de ............. Espera que lo miro en el móvil
    _________________
    Saludos

    Rafael

    Moderador de Portal Calidad

    One Economic&Quality Consulting

    Consultoría de la Calidad y Medioambiente-Implantación y auditoría

    Diseñamos su software de Calidad y Ambiental

    www.oneconsulting.es

    contacto@oneconsulting.es

    https://www.facebook.com/OneEconomicQualityConsulting

    http://oneconsulting.blogcindario.com/2010/04/00002-bienvenidos-al-blog-de-one-economic-quality-consulting.html

    Auditor Calidad Certificado IRCA
    Auditor Medioambiental Certificado IEMA
  • aperez
    • 17/03/15 16:13
    • Imagen de aperez
    • Reg.: 5/02/15
    • Posts: 61
    (0/0)
    Buenas Rafael,


    Llevas razón en lo que comentas también, el precio de la comodidad a veces es el riesgo a dejar nuestra información en sitios que no son controlados por nosotros mismos. Pero bueno esto ya ha sido decisión de mi actual empresa y simplemente sigo su ética e intento beneficiarme de sus ventajas.

    Esperemos que no pase nada. Se de un refrán que dice lo siguiente: "el llanto sobre el difunto" y hasta ahora me va bien con él.


    Saludos
    Antonio
  • radulanto
    • 17/03/15 16:25
    • Imagen de radulanto
    • Reg.: 17/03/15
    • Posts: 2
    (0/0)
    En relación a un aspecto que toca a este tema tangencialmente, alguna vez nos ha pedido la auditora el listado de documentos del SGC, pero cuando utilizas software de gestión documental como Alfresco o CERTOOL (todo en la nube), es casi imposible obtener automáticamente el dichoso listado y con todos los detalles que el auditor pide.
    ¿Es absolutamente necesario tener unos listados tanto de documentación interna como externa, cuando en mi procedimiento general o en la norma no aparece ese requisito tan expresamente, cuando cada documento está debidamente identificado, y cuando debería estar actualizando los listados con cada cambio en la documentación?
    Gracias por la respuesta.
  • One Economic&Quality Consulting
    • 17/03/15 16:42
    • Moderador
    • Imagen de One Economic&Quality Consulting
    • Reg.: 25/11/09
    • Madrid/España
    • Posts: 2899
    (1/0)
    No es obligatorio tener un documento en el que se pongan los documentos y los registros.

    Es algo que se hace por comodidad pero los auditores a veces piensan que es una obligación. La norma no tiene ningún requisito que diga tal cosa.

    La norma nos pide que controlemos los cambios de los documentos y para ello una herramienta muy sencilla es tener ese listado, pero si tienes otra forma de hacerlo pues adelante.

    Lo que estás diciendo es que al tenerlo en la nube no estás controlando adecuadamente los cambios y por eso quizás te piden ese documento para ver como lo haces.
    _________________
    Saludos

    Rafael

    Moderador de Portal Calidad

    One Economic&Quality Consulting

    Consultoría de la Calidad y Medioambiente-Implantación y auditoría

    Diseñamos su software de Calidad y Ambiental

    www.oneconsulting.es

    contacto@oneconsulting.es

    https://www.facebook.com/OneEconomicQualityConsulting

    http://oneconsulting.blogcindario.com/2010/04/00002-bienvenidos-al-blog-de-one-economic-quality-consulting.html

    Auditor Calidad Certificado IRCA
    Auditor Medioambiental Certificado IEMA
  • Jorge Pereiro
    • 17/03/15 17:14
    • Imagen de Jorge Pereiro
    • Reg.: 21/05/04
    • Barcelona, España
    • Posts: 1053
    (0/0)
    Retomando lo que dice Rafael en #6, respecto a su escepticismo a dejar los datos de la empresa en manos de terceros, realmente puede ser peligroso con información sensible.

    Pero la principal debilidad no creo que provenga de un fallo en la seguridad de la empresa que gestiona esos datos, porque al fin y al cabo es una empresa tecnológica que se juega mucho si eso sucede. El peligro creo que es el robo de uno de los dispositivos que tiene activada una cuenta. Es como si te roban el ordenador con todas tus cuentas abiertas: google, hotmail, facebook, twitter... no hay más encender el teléfono o el ordenador y bingo!, todo accesible.

    En una empresa puede darse un cierto descontrol en la introducción de los datos de cuenta en cada ordenador. Para evitar ese descontrol habría que forzar el borrado automático del almacenamiento de contraseñas de usuario cada vez que se cierre el navegador. Pero bueno, eso dependerá de lo sensibles que sean los datos. Tampoco es tan fácil hacerse con un ordenador o un teléfono de una empresa. Para empezar es un robo.

    Yo lo que no veo claro son los servicios en la nube que no tienen alternativa en el servidor local. Si te quedas sin internet, todo deja de estar accesible. Este tipo de servicios son ventajosos porque permiten abaratar muchísimo los costes del sistema, pero a cambio incorporas una debilidad importante.
  • LizRG
    • 24/03/15 21:53
    • Imagen de LizRG
    • Reg.: 24/04/14
    • Posts: 4
    (0/0)
    ¡Justo el tema que he estado buscando!

    A principios de año la compañía decidió migrar de Microsoft a Google y ahora estamos administrando la documentación sobre Drive (estamos aún en el proceso de migración de muchos documentos), antes trabajábamos con SharePoint MS y funcionaba de maravilla, teníamos las listas de documentos exportables a Excel, etc. Hoy estamos aprendiendo y tomando decisiones para el correcto manejo.

    En mi experiencia ha resultado positivo en algunos temas como la facilidad para compartir documentos a la hora de las revisiones y la administración de cambios que se guarda automáticamente y puedes consultar las versiones anteriores incluso con usuario, fecha y hora en la que hicieron el cambio. Además que están disponibles para los usuarios que tengan permisos desde cualquier dispositivo. Yo soy de la idea de que si quieren llevarse la información lo van a hacer por más controles que existan y aún así no les serviría de mucho ya que es complejo replicar una compañía al 100%.

    El tema que tengo ahora y espero me pudieras compartir tu experiencia es ¿quién debe ser el propietario de los documentos controlados en Drive? yo como Control de Calidad siempre he administrado los documentos controlados originales que antes estaban en un servidor físicamente en versión Office, nadie era el dueño como tal, ahora están en el drive y yo soy el propietario porque yo creé esos documentos y así funciona con Google Drive, el área de Sistemas me indica que debo cambiar la propiedad de esos documentos a un usuario corporativo que crearon, el problema es que solo ese usuario podría borrar los documentos o hacer ciertas modificaciones de permisos por lo que cada vez que yo necesite eliminar o mover algo tendría que solicitarlo a sistemas y se burocratizaría todo (hablamos de más de 2000 documentos), lo otro que solicitan es que esos documentos sean propiedad de cada usuario departamental con lo que perdería yo todo el control ya que cualquier usuario tendría opción de modificar un documento sin avisarme por lo que no se seguiría el proceso de autorización establecido ni los estándares. Yo estoy peleando porque no importa que yo sea la propietaria, no se corre ningún riesgo si yo me voy, el usuario es de la compañía y los documentos estarán ahí, incluso si los borrara se pueden recuperar con una solicitud a Google. Pero estamos en esa batalla ellos por el tema del manejo de la información y yo por el control de los documentos.

    Estamos hablando de una compañía hotelera de 6 desarrollos con un manejo de más de 2000 documentos.

    ¿Cómo ven? ¿cuál sería la buena práctica de acuerdo a la teoría?
    ¿Dónde se ubican los documentos originales en sus compañías y quién los administra?

    Mil gracias!
  • Jorge Pereiro
    • 26/03/15 0:56
    • Imagen de Jorge Pereiro
    • Reg.: 21/05/04
    • Barcelona, España
    • Posts: 1053
    (0/0)
    Hola LizRG,


    en ISO 9001 es válida cualquier solución aprobada por la autoridad competente y que cumpla los requisitos establecidos para la documentación. Es decir, que es válido tanto un método de control centralizado, como descentralizado.

    El problema que se os plantea con la documentación será extrapolable, si no lo es ya, a otros ámbitos de la gestión. Cuando hay varios centros de trabajo, distantes entre sí, es lógico que cada uno quiera ganar su autonomía. Esto pasa incluso dentro de un mismo centro de trabajo. En todas estas situaciones hay un poco de política (guerras de poder), de lógica (buscar la mejor solución), y de choque personal (inevitable cuando hay posiciones encontradas).

    Si de lo que se trata es de buscar la mejor solución, mi opinión es que tu trabajo no debe ser conocido por ser la controladora de la documentación. Si desean un control descentralizado, se puede probar, pero que se defina cómo, y que lo cumplan. Tienes las auditorías internas para mantenerlos a raya.

    También les puedes decir que la descentralización tiene que ir acompañada de una mayor y mejor comunicación. Aquello de que no hay libertad sin responsabilidad.
  • salvador1
    • 6/12/17 12:13
    • Imagen de salvador1
    • Reg.: 6/12/17
    • Posts: 1
    (0/0)
    muy buena proposicion!1 me parece bien
    _________________
    Generadores Electricos