Gestión Documental para Sistemas ISO: Mejores Prácticas

La gestión documental es la columna vertebral de todo sistema de gestión ISO. La cláusula 7.5 de la Estructura de Alto Nivel establece requisitos para la creación, actualización y control de la información documentada. Un sistema documental bien organizado facilita las auditorías, asegura la consistencia operacional y demuestra conformidad con los requisitos de la norma. Un sistema caótico, por el contrario, es fuente constante de no conformidades y frustración.

¿Qué es la información documentada?

ISO utiliza el término "información documentada" para referirse tanto a los documentos (políticas, procedimientos, instrucciones, planes) como a los registros (evidencia de actividades realizadas, resultados obtenidos). Esta terminología unificada reemplaza las distinciones anteriores entre "documentos" y "registros".

Tipo	Ejemplos	Característica principal
Documentos prescriptivos	Políticas, procedimientos, instrucciones de trabajo, planes	Definen qué hacer y cómo hacerlo. Sujetos a versionamiento y aprobación
Registros	Informes de auditoría, actas de revisión, registros de capacitación, logs de incidentes	Evidencia de lo que se hizo. No se modifican (son históricos)
Formularios	Plantillas de evaluación de riesgos, checklists de auditoría, solicitudes	Se versionan como documentos, pero cuando se llenan se convierten en registros

Requisitos de la cláusula 7.5

7.5.1 — Generalidades

El sistema de gestión debe incluir la información documentada requerida por la norma específica y la información documentada que la organización determina como necesaria para la eficacia del sistema. Esto significa que la norma establece un mínimo, pero la organización puede (y generalmente debe) agregar documentación adicional según su contexto y complejidad.

7.5.2 — Creación y actualización

Al crear o actualizar información documentada, la organización debe asegurar la identificación y descripción adecuada (título, fecha, autor, referencia), el formato y medio apropiado (digital, impreso, o ambos), y la revisión y aprobación con respecto a la conveniencia y adecuación.

7.5.3 — Control de la información documentada

La información documentada debe controlarse para asegurar que esté disponible y sea idónea para su uso, donde y cuando se necesite, y que esté protegida adecuadamente contra pérdida de confidencialidad, uso inadecuado o pérdida de integridad. Esto incluye el control de la distribución, acceso, recuperación, almacenamiento, preservación, control de cambios, retención y disposición.

Mejores prácticas de gestión documental

1. Estructura jerárquica clara

Organiza la documentación en niveles: Nivel 1 (política y manual del sistema), Nivel 2 (procedimientos que describen qué hacer), Nivel 3 (instrucciones de trabajo que detallan cómo hacerlo), y Nivel 4 (registros y formularios). Esta pirámide documental facilita la navegación y el mantenimiento.

2. Codificación consistente

Establece un sistema de codificación que permita identificar rápidamente el tipo de documento, el área o proceso al que pertenece, y la versión vigente. Por ejemplo: POL-SGSI-001 (Política del SGSI, documento 001), PRO-RH-003 (Procedimiento de RRHH, documento 003).

3. Control de versiones

Cada documento debe tener un historial de versiones que registre qué cambió, quién lo cambió, quién lo aprobó y cuándo. Solo la versión vigente debe estar accesible para uso operacional; las versiones anteriores deben archivarse como referencia histórica.

4. Revisión periódica

Establece un calendario de revisión periódica para asegurar que los documentos se mantienen actualizados. La frecuencia depende del tipo de documento y la velocidad de cambio del contexto. Políticas pueden revisarse anualmente; procedimientos operacionales pueden requerir revisión semestral.

5. Acceso controlado

Asegura que las personas correctas tienen acceso a los documentos que necesitan, y que los documentos confidenciales están protegidos contra acceso no autorizado. Esto es particularmente importante en sistemas de seguridad de la información y privacidad.

Error común: La sobre-documentación es tan problemática como la falta de documentación. Un sistema con cientos de documentos que nadie lee ni actualiza es peor que un sistema con pocos documentos relevantes y bien mantenidos. Documenta lo necesario, no todo lo posible.

Gestión documental digital vs papel

La tendencia clara es hacia la gestión documental digital, que ofrece ventajas significativas: control de versiones automático, distribución inmediata, control de acceso granular, búsqueda rápida, trazabilidad de consultas y menor riesgo de uso de versiones obsoletas. Sin embargo, algunas organizaciones mantienen documentos en papel para ciertos procesos operativos. La clave es que el sistema de control sea consistente independientemente del medio.

Documentación mínima por norma ISO

Cada norma ISO especifica los documentos y registros mínimos obligatorios. Aunque varían según la norma, los elementos comunes incluyen la política del sistema de gestión, los objetivos del sistema, el alcance del sistema, la evaluación de riesgos y tratamiento, la declaración de aplicabilidad (cuando aplica), los procedimientos operacionales obligatorios, los registros de auditoría interna, y las actas de revisión por la dirección.

Buena práctica: Utiliza una plataforma digital de gestión documental que automatice el control de versiones, los flujos de aprobación, las notificaciones de revisión y el archivo de versiones obsoletas. Esto reduce significativamente la carga administrativa y minimiza errores humanos.

Gestiona tu documentación ISO con GRC360

GRC360 incluye un módulo completo de gestión documental con control de versiones, flujos de aprobación, distribución controlada y archivo histórico para todos tus sistemas de gestión.

Crear Cuenta Gratis

Complementa con nuestras guías sobre competencia y capacitación, Estructura de Alto Nivel y auditoría interna.