Foro: 4.2 Gestión de la documentación en ISO 9001

Control de acceso a información documentada

  • Karen Gómez
    • 27/05/21 4:25
    • Imagen de Karen Gómez
    • Reg.: 30/05/18
    • Posts: 51
    (0/0)
    Buenas tardes a todos,

    Estoy enmedio de una auditoría y tengo una duda..
    Me auditaron control de documentos, el cual lo llevo a través de un sistema web; el punto es que manejo un usuario "estandar" de tipo consultas, en el que el auditor comentó que no era conveniente dejarlo como "estandar" pues al ser utilizado por un gran número de personal corre el riesgo de que se cambie la contraseña y se bloquee el acceso al resto del personal, perdiendo la garantía del acceso a la información documentada.

    Sin embargo, el bloqueo de contraseña es gestionado por el administrador, pues si existe olvido de la misma, el controlador de documentos desbloquea, cambia y asigna contraseñas.

    Ahora bien, yo entrego una asignación de resguardo de usuario, bajo el cual el empleado firma de conformidad, sin embargo al crear el usuario se asigna una contraseña estándar (que cada usuario puede cambiar); durante la auditoría también se observó el detalle del mal uso de usuario al tener una misma contraseña para todos los accesos.

    En alguno de estos casos, ¿se considera una no conformidad? ya sea, por haber asignado una contraseña "estandar" al momento de crear el usuario o por tener un usuario de consultas con libre acceso al sistema. Tengo la duda si el libre acceso (obviamente para quien tenga un usuario, considerando partes interesadas) es susceptible de incumplimiento.

    Cabe mencionar que el sistema contiene procedimientos y formatos.. una vez que se convierten en lo que anteriormente llamamos registros, no son controlados por este sistema web
  • Sonia_Spg
    • 4/06/21 13:28
    • Imagen de Sonia_Spg
    • Reg.: 27/06/18
    • Posts: 30
    (0/0)
    Hola Karen,

    La situación que describes no es una no conformidad, porque no pone en riesgo el control de información documentada y no es una situación grave (solo es un acceso a consulta, en ningún caso pueden modificar documentos). No obstante se arregla fácilmente asignando a cada usuario su acceso y contraseña, así no se corre el riesgo de que uno bloquee al resto.

    Un saludo,

    Sonia López
    SPG Certificación (Entidad de certificación y formación en normas ISO)
    www.certificadoiso9001.com
  • David Saavedra Zárate
    • 4/06/21 21:36
    • Moderador
    • Imagen de David Saavedra Zárate
    • Reg.: 18/09/09
    • México
    • Posts: 4240
    (0/0)
    Hola Karen, gusto en saludarte.

    Si existe el riesgo que comenta el auditor es un incumplimiento que quizá lo consideraría como una observación, no tanto para una NC.

    Como dice Sonia, tiene solución.

    Aquí lo importante es que no exista el riesgo de modificación de documentos, copias, impresiones, pérdida, incluso de su integridad. Se puede tener una contraseña estándar.
    Si un usuario cambia contraseña y se bloquea el sistema, incumplimos en la accesibilidad a la información documentada, es muy cierto, pero hay manera de desbloqueo como lo comentas, por lo tanto no representa un riesgo alto. Si el auditor indica que es una NC está en lo correcto porque efectivamente incumple.

    Yo lo consideraría una observación si no existe el riesgo de modificación o pérdida de información.

    Saludos
    _________________

    Atentamente

    Ing. David Saavedra Zárate

    Consultor y Director

    Sistemas Avanzados en Calidad
    www.sacalidad.com.mx


    director@sacalidad.com.mx

    móvil: (52) 5540784463

    Un Sistema de Gestión de la Calidad debe trabajar para nosotros, nunca nosotros para el sistema.

    Cursos y consultoría en campo/on line

    Costos especiales a miembros del portal en cursos, consultoría, paquete de procedimientos, materiales.