Los auditores ya preguntan por el cambio climático en la revisión de tu Sistema de Gestión. ¿Lo tienes documentado, o vas a improvisar?
El inicio del cambio: comunicado Amd 1:2024
El pasado febrero de 2024, la International Acreditation Forum (IAF) [1] en conjunto con la International Organization for Standardization (ISO) [2] emitieron un comunicado en relación con sus estándares, el Amd 1:2024 [3] [4], en referencia al cambio climático. En esta publicación se recogían dos enmiendas que afectaban a los Sistemas de Gestión, así como al Apéndice 2 del Anexo SL [5]. En la publicación se listaban los más de 30 estándares afectados que se detallan a continuación:
| # | Código del Estándar | Nombre del estándar |
| 1 | ISO 9001:2015 | Quality management systems — Requirements |
| 2 | ISO 14001:2015 | Environmental management systems — Requirements with guidance for use |
| 3 | ISO 14298:2021 | Graphic technology — Management of security printing processes |
| 4 | ISO 15378:2017 | Primary packaging materials for medicinal products — Particular requirements for the application of ISO 9001:2015, with reference to good manufacturing practice (GMP) |
| 5 | ISO 16000-40:2019 | Indoor air — Part 40: Indoor air quality management system |
| 6 | ISO 18788:2015 | Management system for private security operations — Requirements with guidance for use |
| 7 | ISO 19443:2018 | Quality management systems — Specific requirements for the application of ISO 9001:2015 by organizations in the supply chain of the nuclear energy sector supplying products and services important to nuclear safety (ITNS) |
| 8 | ISO/IEC 19770-1:2017 | Information technology — IT asset management — Part 1: IT asset management systems — Requirements |
| 9 | ISO/IEC 20000-1:2018 | Information technology — Service management — Part 1: Service management system requirements |
| 10 | ISO 21001:2018 | Educational organizations — Management systems for educational organizations — Requirements with guidance for use |
| 11 | ISO 21101:2014 | Adventure tourism — Safety management systems — Requirements |
| 12 | ISO 21401:2018 | Tourism and related services — Sustainability management system for accommodation establishments — Requirements |
| 13 | ISO 22000:2018 | Food safety management systems — Requirements for any organization in the food chain |
| 14 | ISO 22163:2023 | Railway applications — Railway quality management system — ISO 9001:2015 and specific requirements for application in the railway sector |
| 15 | ISO 22301:2019 | Security and resilience — Business continuity management systems — Requirements |
| 16 | ISO/IEC 27001:2022 | Information security, cybersecurity and privacy protection — Information security management systems — Requirements |
| 17 | ISO 28000:2022 | Security and resilience — Security management systems — Requirements |
| 18 | ISO 29001:2020 | Petroleum, petrochemical and natural gas industries — Sector-specific quality management systems — Requirements for product and service supply organizations |
| 19 | ISO 30301:2019 | Information and documentation — Management systems for records — Requirements |
| 20 | ISO 30401:2018 | Knowledge management systems — Requirements |
| 21 | ISO 34101-1:2019 | Sustainable and traceable cocoa — Part 1: Requirements for cocoa sustainability management systems |
| 22 | ISO 35001:2019 | Biorisk management for laboratories and other related organisations |
| 23 | ISO 37001:2016 | Anti-bribery management systems — Requirements with guidance for use |
| 24 | ISO 37101:2016 | Sustainable development in communities — Management system for sustainable development — Requirements with guidance for use |
| 25 | ISO 37301:2021 | Compliance management systems — Requirements with guidance for use |
| 26 | ISO 39001:2012 | Road traffic safety (RTS) management systems — Requirements with guidance for use |
| 27 | ISO 41001:2018 | Facility management — Management systems — Requirements with guidance for use |
| 28 | ISO 44001:2017 | Collaborative business relationship management systems — Requirements and framework |
| 29 | ISO 45001:2018 | Occupational health and safety management systems — Requirements with guidance for use |
| 30 | ISO 46001:2019 | Water efficiency management systems — Requirements with guidance for use |
| 31 | ISO 50001:2018 | Energy management systems — Requirements with guidance for use |
Dentro de la estructura harmonizada definida en el Anexo SL [5], se incluyeron los siguientes puntos:
|
4.1 Understanding the organization and its context. |
¿Cómo afecta la enmienda Amd 1:2024 a los Sistemas de Gestión?
Esta enmienda cambia mínimamente el texto de los estándares afectados pero implica una serie de cambios en la interpretación práctica del contexto y las partes interesadas. En la práctica, esto obliga a las organizaciones a que analicen y documenten si el cambio climático tiene un impacto real sobre sus Sistemas de Gestión.¿Cómo abordar estos cambios antes de mi próxima auditoría?
Veamos qué acciones se deberían acometer para preparar los Sistemas de Gestión para afrontar una auditoría. Como referencia para los ejemplos que se desarrollarán, tomaremos los Sistemas de Gestión de Seguridad de la Información (SGSI) basados en el estándar ISO 27001:2022/Amd 1:2024:
◾ Revisión del contexto organizativo (cláusula 4.1): revisar el documento de alcance para incluir una mención explícita al análisis llevado a cabo para determinar si los aspectos relacionados con el cambio climático son relevantes en el propio Sistema de Gestión.
| Ejemplos |
| Empresa de servicios con una sede ubicada en una capital de provincia “Se ha evaluado el impacto potencial del cambio climático en el entorno operativo. Dado que la actividad principal se realiza en oficinas sin dependencia crítica de la infraestructura física (posibilidad de teletrabajo) o cadena de suministro físico, y que la región no presenta riesgos climáticos relevantes (revisados los análisis de zonas inundables y las alertas meteorológicas), se concluye que el cambio climático no representa una amenaza directa para el Sistema de Gestión.” |
| Empresa de productos con sedes ubicadas en capitales de provincia (incluidas zonas costeras) “Se identificó el cambio climático como un factor externo relevante, dado el aumento de fenómenos meteorológicos extremos que podrían afectar el suministro eléctrico y las inundaciones en zonas costeras y cercanas a ríos. Se integra como factor a monitorizar en el Sistema de Gestión de Seguridad de la Información y su análisis de riesgos.” |
◾ Revisión de las partes interesadas (cláusula 4.2): revisar el análisis de partes interesadas para incluir los requerimientos de cambio climático de clientes, socios, proveedores, reguladores, etc. Caso de que ninguna de las partes interesadas tenga algún requisito en relación con el cambio climático, será necesario incluir esta misma conclusión, dejando así constancia de que se ha realizado el ejercicio.
| Ejemplos |
| Empresa local sin exigencias regulatorias específicas “Las partes interesadas identificadas (clientes, socios, empleados y proveedores de servicios TI) no imponen requisitos relacionados con la gestión del cambio climático en relación con el SGSI. Se documenta como no aplicable.” |
| Empresa con clientes en el sector público europeo “Se ha identificado que ciertos contratos públicos incluyen cláusulas sobre sostenibilidad y resiliencia ante riesgos ambientales. Por tanto, se considera que los clientes públicos tienen expectativas implícitas sobre la consideración del cambio climático como riesgo sistémico. Se reflejará esta expectativa en la evaluación de partes interesadas.” |
◾ Actualización del análisis de riesgos: si del análisis de los puntos anteriores arrojan riesgos plausibles en materia de cambio climático (por ejemplo: interrupción de servicios esenciales por fenómenos naturales o imposibilidad de desplazamiento de personal clave), se debe integrar al Análisis de Riesgos. Esto no significa que forzosamente se deban crear controles nuevos, pero sí será necesario considerar la probabilidad y el impacto dentro del contexto del Sistema de Gestión si no se han considerado previamente.
| Ejemplos |
| No se identifican riesgos relacionados al cambio climático “Tras evaluar la infraestructura, procesos y servicios dependientes, no se ha identificado ningún escenario de riesgo significativo derivado del cambio climático. Se cierra esta vía de análisis y se deja evidencia en la matriz de riesgos.” |
| Se identifican riesgos relacionados al cambio climático – Inundaciones y suministro eléctrico “Riesgo 1: Tras evaluar los mapas de inundaciones se observa que dos las sedes de la organización se encuentran en zona inundable. Impacto 1: Medio. Probabilidad 1: Media. Medida de control 1: Actualización de los protocolos de actuación y comunicación ante alertas meteorológicas. Riesgo 2: Se observa la posibilidad de interrupción de suministro eléctrico prolongado debido a ola de calor. Impacto 2: Alto. Probabilidad 2: Media. Medidas de control 2: Revisión de contrato con proveedor de backups; UPS/SAI redundantes; sistemas de refrigeración reforzados; llenado de los tanques de combustible de los generadores; y actualización de los planes de reposición caso de ser necesario. Evaluación final: Riesgo residual aceptable tras aplicación de medidas de control.” |
◾ Formación a los equipos implicados: formar al personal implicado dentro de los Sistemas de Gestión (auditoría interna, cumplimiento, propietarios de los riesgos, gestores de la información, etc.) para que atiendan a las exigencias de esta novedad en sus procedimientos.
| Ejemplos |
| Comunicación interna “Se informa que a partir de la actualización de febrero de 2024, los auditores pueden solicitar evidencia de que el cambio climático ha sido considerado en el contexto organizativo y las expectativas de partes interesadas. Aunque no se exige implementar controles, sí debe constar dicha evaluación. Se actualizará la documentación del SGSI y se incluirá en la próxima auditoría interna.” |
| Formación interna “Actualización anual del material de formación interna del SGSI corporativo, donde se expliquen estas nuevas exigencias y las implicaciones que tiene en el SGSI.” |
Conclusión
Este cambio no pretende posicionar a las organizaciones ni exigirles adoptar posturas sobre el cambio climático. Desde una perspectiva holística, se trata de reconocer y documentar si el entorno físico y regulatorio afectado por el clima puede tener alguna influencia sobre los Sistemas de Gestión.
Lo relevante para el auditor no es si la organización cree en el cambio climático o no, sino si ha cumplido con el nuevo requisito de análisis y documentación. En otras palabras: no se trata de si el clima cambia, sino de si se ha adaptado el Sistema de Gestión a los nuevos requisitos.
Referencias:
🔗 [1] https://iaf.nu/en/home/
🔗 [2] https://www.iso.org/home.html
🔗 [3] https://www.iso.org/files/live/sites/isoorg/files/standards/popular_standards/management_systems/ISO-IAF%20Joint%20Communique%20Feb%202024.pdf
🔗 [4] https://iaf.nu/iaf_system/uploads/documents/Joint_ISO-IAF_Communique_re_Climate_Change_Amds_to_ISO_MSS_Feb_2024_Final.pdf
🔗 [5] https://www.iso.org/sd/fetch/2EVmNRpfMEK8NcTL_uoAJceDlxYmmqpQWNk3r1MeLNWCXk6i10vZ-R5FEjIK-UOe
