EY CertifyPoint

Apelaciones

Una apelación es un registro formal de insatisfacción por parte de un cliente sobre el (proceso hacia) el resultado de una decisión de certificación o verificación.

Al recibir una apelación, CertifyPoint será responsable de todas las decisiones en todos los niveles del proceso de manejo de apelaciones. El organismo de certificación o verificación confirmará que las personas que participan en el proceso de tramitación de las apelaciones son diferentes de las que llevaron a cabo las auditorías y tomaron las decisiones de certificación o verificación.

Actividades

1. Las apelaciones pueden ser recibidas por cada empleado, por correo, fax, correo electrónico u oralmente. Las apelaciones deben presentarse por escrito, a la atención del director. 
2. Una vez recibida la apelación, el asistente de gestión inscribirá la apelación en el registro de apelaciones. Las apelaciones se presentarán al director. El director enviará a la mayor brevedad posible (a través del asistente de dirección) una carta o correo electrónico como acuse de recibo y consideración a la parte apelante. 
3. El director hará que los antecedentes y/o la causa de la apelación sean investigados por un empleado o empleados que sean independientes del caso en cuestión (y por lo tanto no hayan estado involucrados en la auditoría de certificación o verificación y en el proceso de decisión) Dentro de cuatro semanas, los hallazgos se informarán al director. 
4. El informe se utilizará para desarrollar procedimientos de recuperación/corrección, que deberán incluir medidas para recuperar la certificación o verificación lo antes posible, prevenir la repetición y evaluar la eficacia de las medidas de recuperación/corrección aplicadas. 
5. Dentro de las cuatro semanas posteriores a la confirmación de la recepción, el director enviará al remitente una carta con la solución propuesta. 
6. En los casos en que la aplicación de los pasos mencionados anteriormente no conduzca a una solución aceptable o si el procedimiento presentado es inaceptable para la parte apelante u otras partes involucradas, el director informará de la apelación al departamento de asuntos jurídicos (Juridische Zaken, o JZ). JZ actúa como coordinador y compone un comité de arbitraje. Los miembros del comité arbitral deberán ser aceptados por ambas partes, con lo que se podrá garantizar la imparcialidad de la sentencia. El demandante presenta formalmente su caso, después de lo cual el comité de arbitraje formulará una declaración escrita de los hallazgos, la decisión y la motivación. Esta decisión de CertifyPoint es vinculante para todas las partes. 
7. CertifyPoint mantiene archivos y registros de todas las apelaciones relacionadas con la certificación y la verificación, así como las acciones de recuperación. Entre otras cosas, se utiliza para el análisis durante las revisiones por la dirección.

Reclamos

Actividades

1. Las quejas pueden ser recibidas por todos los empleados, por correo, fax, correo electrónico u oralmente. El empleado está obligado a informar de las quejas al asistente de gestión. 
2. Una vez recibida una queja, el asistente de gestión registrará la queja en el registro de quejas. La queja será entregada al director. El director enviará a la mayor brevedad posible (a través del asistente de dirección) una carta o correo electrónico como acuse de recibo y consideración a la parte apelante.  Al recibir una queja, el director confirmará si la queja se relaciona con las actividades de certificación o verificación de las que es responsable y, en caso afirmativo, la administrará. Si la queja se refiere a un cliente certificado, el examen de la queja considerará la eficacia del sistema de gestión certificado.
3. El director hará que los antecedentes y/o la causa de la queja sean investigados por un empleado o empleados que sean independientes del caso en cuestión (y por lo tanto no hayan estado involucrados en la auditoría de certificación o verificación y el proceso de decisión). En un plazo de cuatro semanas, los resultados se comunicarán al director. 
4. El informe se utilizará para desarrollar procedimientos de recuperación/corrección, que deberán incluir medidas para recuperar la certificación o verificación lo antes posible, prevenir la repetición y evaluar la eficacia de las medidas de recuperación/corrección aplicadas. 
5. Dentro de las cuatro semanas posteriores a la confirmación de la recepción, el director enviará al remitente una carta con la solución propuesta. 
6. En caso de que la aplicación de los pasos mencionados anteriormente no conduzca a una solución aceptable o si el procedimiento presentado es inaceptable para la parte apelante u otras partes involucradas, se ofrecerá al demandante la posibilidad de iniciar una apelación. 
7. En conversación con el cliente involucrado, el demandante y CertifyPoint determinarán si la queja y la solución seleccionada se darán a conocer públicamente y en qué medida. 
8. CertifyPoint mantiene archivos y registros de todas las apelaciones relacionadas con la certificación y la verificación, así como las acciones de recuperación. Entre otras cosas, se utiliza para el análisis durante las revisiones por la dirección.

Confidencialidad

Actividades

1. El EYCP es responsable de gestionar la información obtenida o creada durante la realización de las actividades de certificación.
2. EYCP informará al cliente de cualquier información que tenga la intención de poner en el dominio público. Toda otra información, a excepción de la información que el cliente ponga a disposición del público, se considerará confidencial.
3. A excepción de lo requerido en ISO/IEC 17021, la información sobre un cliente o individuo certificado en particular no se divulgará a un tercero sin el consentimiento por escrito del cliente certificado o individuo en cuestión.
4. Cuando la ley lo exija o lo autorice mediante acuerdos contractuales (por ejemplo, con el organismo de acreditación) a divulgar información confidencial, el cliente o la persona interesada será notificada de la información proporcionada, a menos que lo prohíba la ley.
5. La información sobre el cliente de fuentes distintas al cliente (por ejemplo, reguladores) se tratarán con carácter confidencial.
6. El personal, incluidos los miembros del comité, los contratistas, el personal de organismos externos o las personas que actúen en nombre del EYCP, mantendrá la confidencialidad de toda la información obtenida o creada durante el desempeño de las actividades del EYCP, salvo que lo exija la ley.
7. Los miembros del equipo de auditoría deben firmar una declaración de confidencialidad antes de comenzar las actividades de auditoría para un cliente en particular.

Uso de marcas de certificación

Actividades

1. El uso de la marca de certificación de EY CertifyPoint, posiblemente en combinación con la marca de acreditación del Consejo Holandés de Acreditación [Raad voor Accreditatie], requiere la autorización previa por escrito del Director General de EY CertifyPoint
2. Las marcas de certificación y acreditación podrán utilizarse en cartas y otros documentos en la medida en que dichos documentos se refieran a las actividades certificadas. Las mismas reglas se aplican al uso de las marcas de certificación y acreditación en documentos digitales, como sitios web, siempre que estén hipervinculados (https://www.ey.com/en_gl/consulting/certify-point). El logotipo no debe utilizarse en un bloque de firma de correo electrónico individual.
3. Las marcas de certificación y acreditación solo se pueden utilizar en documentos en combinación con el logotipo y/o el nombre de la organización certificada. Las marcas de certificación y acreditación no pueden llamar más la atención que el logotipo o el nombre de la organización. El logotipo no puede ser alterado de ninguna manera, excepto por el tamaño.
4. Las organizaciones certificadas pueden utilizar las marcas de certificación y acreditación en material promocional si ese material se refiere al menos a algunas de las actividades certificadas. Debe evitarse cualquier referencia engañosa. En consecuencia, debe quedar claro qué actividades entran y cuáles no entran en el ámbito de la Certificación. Los logotipos y las marcas solo se pueden usar hasta que la certificación sea válida: en caso de suspensión, vencimiento o retiro de la certificación, las marcas / logotipos no se pueden usar de ninguna manera.
5. Las organizaciones certificadas pueden utilizar las marcas de certificación y acreditación en letras. Las propuestas o cartas de oferta, etc., que no se refieran exclusivamente a actividades certificadas podrán llevar las marcas de certificación y acreditación, siempre que dichos documentos muestren claramente qué servicios están certificados y cuáles no. Esto también es válido para los documentos enviados junto con dichos documentos. Si las marcas de certificación y acreditación se utilizan en una propuesta u oferta, etc., que se relaciona exclusivamente con actividades más allá del alcance certificado, la siguiente oración debe incluirse en el documento sin cambios: "La certificación de EY CertifyPoint no se aplica a las actividades especificadas en [esta carta]". Se debe indicar el nombre del documento (propuesta, oferta, etc.) en lugar de "[esta carta]".
6. No se permite el uso de las marcas de certificación y acreditación en las tarjetas de visita del personal de las organizaciones certificadas.
7. En la medida en que sea aplicable a la certificación del sistema, las marcas de certificación y acreditación no se pueden utilizar en productos o empaques de productos, ni en productos relacionados.
8. Queda excluido el uso de la marca de acreditación en los informes y en los certificados de los laboratorios de calibración y ensayo certificados y de las instituciones de inspección.
9. EY CertifyPoint tendrá derecho a comprobar en cualquier momento el uso de las marcas de certificación y acreditación con respecto a las normas establecidas en esta sección. La organización certificada debe prestar su cooperación en dichos controles.
10. El uso de la marca de certificación de EY CertifyPoint por parte de organizaciones que no tienen una certificación válida de EY CertifyPoint califica como uso indebido. El uso de la marca sin permiso por parte de organizaciones con una certificación válida también califica como uso indebido. En caso de uso indebido, EY CertifyPoint tomará las medidas a su alcance, como acciones correctivas, revocación del Certificado, publicación de la violación o medidas legales.
11. Las organizaciones certificadas no pueden ceder, sublicenciar o transferir ningún derecho de uso del Logotipo / marcas a ningún tercero, y reconocen y aceptan que cualquier intento de transferencia sería nulo e inaplicable.
12. Al finalizar la acreditación de EY CertifyPoint, la autorización para utilizar la marca de acreditación finalizará.

El aprendizaje de las normas de certificación es el primer paso hacia la implementación exitosa de los sistemas de gestión relacionados y su integración exitosa en una organización. EY CertifyPoint ofrece cursos de capacitación basados en las necesidades de aprendizaje de organizaciones o individuos. Los participantes son capaces de experimentar los desafíos y beneficios reales de implementar y auditar sistemas de gestión.

Nuestros formadores son profesionales altamente cualificados que tienen experiencia no sólo en la auditoría de los estándares de certificación que se enumeran a continuación, sino también en la implementación de estos estándares, participando en numerosos encargos de consultoría de EY para las principales organizaciones internacionales. Nos centramos en mantener el negocio en el centro, identificando áreas de redundancia, cuellos de botella y posibles ganancias de eficiencia mediante un enfoque de certificación sistemático e independiente frente a estándares de certificación reconocidos, tales como:

• ISO 9001 - Sistema de Gestión de la Calidad
• ISO 14001 - Sistema de Gestión Ambiental
• ISO/IEC 20000-1 - Sistema de Gestión de Servicios de TI
• ISO 21500 - Sistema de Gestión de Proyectos
• ISO 22301 - Sistema de Gestión de la Continuidad del Negocio
• ISO/IEC 27001 - Sistema de Gestión de Seguridad de la Información
• ISO/IEC 27017 - Controles de seguridad en la nube
• ISO/IEC 27018 - Protección de la información de identificación personal en la nube
• OHSAS 18001 - Sistema de Gestión de Seguridad y Salud en el Trabajo
• ISO 50001 - Gestión de la Energía
• ISO 37001 - Sistema de Gestión Antisoborno
• ISO 45001 - Sistema de Gestión de Seguridad y Salud en el Trabajo
• Evaluaciones de la Asociación Mundial de Lotería (WLA, por sus siglas en inglés)
• Certificación CSA STAR
• NEN 7510 - Sistema de Gestión de Seguridad de la Información Sanitaria
• Hébergeur de Données de Santé (HDS)
• Seguridad en la nube multicapa (MTCS - Singapur)
• eIDAS - Servicios de confianza e identificación electrónica
• Evaluación del RGPD
• Enfoque integrado con ISAE3402, SOC y otros informes de certificación
• ISO/IEC 27701:2019 - Sistema de Gestión de Información de Privacidad (No Acreditado)

Aprende de nuestros profesionales

En EY CertifyPoint, no solo proporcionamos a nuestros participantes un conocimiento sencillo sobre los estándares de certificación, sino que también:

• Permitir que nuestros participantes experimenten los desafíos y beneficios reales de la auditoría y la implementación.
• Proporcionar a los participantes de nuestro curso una comprensión más amplia de los desafíos prácticos relacionados con las tareas asociadas con los estándares de certificación. 
• Proporcionar a nuestros participantes la capacidad de evaluar el sistema de gestión subyacente.
• Enriquecer el conocimiento de nuestros participantes, exponiéndolos a casos de estudio reales y ejemplos prácticos de implementaciones y auditorías previas de las Normas de certificación. 
• Proporcionar a nuestros participantes un conjunto de herramientas útiles para apoyar a su organización en la comprensión e implementación de los estándares de certificación.

Cursos ofrecidos por EY CertifyPoint

EY CertifyPoint ofrece cursos de cuatro y cinco días para varios estándares. Los cursos están diseñados con el fin de ayudar a los participantes a desarrollar las habilidades esenciales para implementar (y/o auditar) un Sistema de Gestión que cumpla con los requisitos de cada una de las normas ISO.

EY CertifyPoint ofrece actualmente cursos para las siguientes normas ISO. Haga clic en las normas para obtener más información:

• ISO 9001 — Implementador Líder de Gestión de Calidad/Auditor Líder (curso de 4 a 5 días)
  La norma ISO 9001 especifica los requisitos básicos para un sistema de gestión de la calidad (SGC) que una organización debe cumplir para demostrar su capacidad para proporcionar productos (que incluyen servicios) de forma coherente que mejoren la satisfacción del cliente y cumplan con los requisitos legales y reglamentarios aplicables. La norma se basa en una serie de principios de gestión de la calidad, entre los que se incluyen un fuerte enfoque en el cliente, la motivación y la implicación de la alta dirección, el enfoque de procesos y la mejora continua.
• ISO 14001 — Implementador Líder/Auditor Líder de Gestión Ambiental (curso de 4 a 5 días)
  La norma ISO 14001 establece los estándares para un sistema de gestión ambiental que ayuda a cumplir con los requisitos legales y mejorar el desempeño ambiental y la sostenibilidad. Especifica los requisitos relacionados con una política ambiental (que incluye un compromiso de prevención de la contaminación), la planificación, la revisión de la gestión, el cumplimiento legal, la capacitación, la mejora y los controles operativos.
• ISO/IEC 20000 — Implementador Líder de Gestión de Servicios de IT/Auditor Líder (curso de 4 a 5 días)
  ISO 20000 es una norma para la gestión de la calidad centrada específicamente en la gestión de servicios de IT. La norma especifica cuatro procesos clave relacionados con: 1) la prestación de servicios: nivel de servicio, disponibilidad y gestión de la capacidad; 2) relación: interfaces entre el proveedor de servicios y los clientes y proveedores; 3) resolución: prevención o resolución de incidentes; y 4) controles: gestión de cambios, activos y configuraciones.
• ISO 22301 — Implementador Principal/Auditor Líder de la Gestión de la Continuidad del Negocio (curso de 4 a 5 días)
  ISO 22301 es una norma que ayuda a las organizaciones a estar mejor preparadas para manejar las interrupciones en sus operaciones comerciales con el fin de recuperarse de los incidentes disruptivos cuando surjan. La norma especifica los requisitos de seguridad para la recuperación ante desastres, la preparación y los sistemas de gestión de la continuidad del negocio. Especifica lo que se necesita para planificar, establecer, implementar, operar, monitorear, revisar, mantener y mejorar continuamente un sistema de gestión documentado.
• ISO/IEC 27001 — Implementador principal de gestión de seguridad de la información/Auditor principal (curso de 4 a 5 días)
  La ISO 27001 es una norma que ayuda a las organizaciones a gestionar la seguridad de activos como la información financiera, la propiedad intelectual, los datos de los empleados o la información confiada a una organización por terceros. Especifica los requisitos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI) documentado, utilizando un enfoque de mejora continua. Proporciona la base para las auditorías de terceros y está destinada a "armonizar" con otras normas de gestión, como la ISO 9001.
• ISO 50001 — Implementador Líder de Gestión de la Energía/Auditor Líder (capacitación de 4 a 5 días)
  La norma ISO 50001 establece los requisitos que ayudan a las organizaciones a diseñar un Sistema de Gestión Energética mediante el desarrollo de una política para un uso más eficiente de la energía, el establecimiento de metas y objetivos que ayuden a cumplir la política y, en general, a mejorar continuamente su gestión energética. Esta norma es aplicable a cualquier organización, en cualquier sector, de forma que facilite su integración con otros sistemas de gestión.
  
  Aprender a diseñar, implementar y auditar un Sistema de Gestión ISO 50001 es una solución para confirmar el cumplimiento de las organizaciones (con la Directiva de Eficiencia Energética de la UE), pero también para desarrollar un marco que mejore el ahorro de energía.
• ISO 37001 — Implementador Principal/Auditor Principal de Gestión Antisoborno (capacitación de 4 a 5 días)
  La ISO 37001 es la norma que ayuda a las organizaciones a diseñar una serie de medidas para prevenir, detectar y abordar el soborno. Estas medidas incluyen la adopción de una política antisoborno, el nombramiento de una persona para supervisar el cumplimiento antisoborno, la capacitación de los empleados, las evaluaciones de riesgos y la debida diligencia en proyectos y socios comerciales, la implementación de controles financieros y comerciales, y el establecimiento de procedimientos de presentación de informes e investigaciones. Esta norma es aplicable a cualquier organización de cualquier sector (ya sea público o privado), de forma que facilita su integración con otros sistemas de gestión. Se puede adaptar al tamaño y la naturaleza de cada organización y al riesgo de soborno al que se enfrenta.
  
  A través de esta formación, tendrá la oportunidad de aprender a diseñar, implementar y auditar un sistema de gestión ISO 37001 para ayudar a reducir el riesgo de soborno, así como aprender a abordar el soborno cuando se produce.
• ISO/IEC 27017 — Tecnología de la información — Técnicas de seguridad (Código de prácticas para la protección de la información de identificación personal (PII, por sus siglas en inglés) en nubes públicas que actúan como procesadores de PII) Implementador Principal/Auditor Líder (Capacitación de 2 a 4 días)*
  La norma ISO 27017 proporciona directrices para los controles de seguridad de la información aplicables a la prestación y el uso de servicios en la nube, proporcionando orientación para la implementación de los controles relevantes de la norma ISO/IEC 27002 y controles adicionales específicamente relacionados con los servicios en la nube. Esta norma ISO proporciona controles y orientación de implementación aplicables tanto a los proveedores de servicios en la nube como a los clientes de servicios en la nube.
  
  Nota: se requiere una buena comprensión del Sistema de Gestión de Seguridad de la Información basado en ISO27001 estándar para un curso independiente sobre este tema
• ISO/IEC 27018 — Tecnología de la información — Técnicas de seguridad (Código de prácticas para los controles de seguridad de la información basado en ISO/IEC 27002 para servicios en la nube) Implementador principal/Auditor principal (capacitación de 2 a 4 días)*
  ISO/IEC 27018 apoya a las organizaciones con la definición de objetivos, procedimientos, controles y directrices para medidas de protección de la información de identificación personal (PII) de acuerdo con los principios de privacidad de ISO/IEC 29100 para el entorno de computación en la nube pública.
  Esta norma especifica las directrices basadas en la norma ISO/IEC 27002, teniendo en cuenta los requisitos reglamentarios para la protección de la IIP que podrían ser aplicables en el contexto de los entornos de riesgo de seguridad de la información de un proveedor de servicios de nube pública.
  La norma ISO/IEC 27018 es aplicable a cualquier organización de cualquier sector (ya sea público o privado), que preste servicios de procesamiento de información como procesador de PII a través de la computación en la nube bajo contrato con otras organizaciones.
• SS 584:2015+C1:2016 — Especificación para el Implementador Principal/Auditor Líder de seguridad de computación en la nube (MTCS, por sus siglas en inglés) de múltiples niveles (capacitación de 2 a 4 días)*
  La Norma de Singapur SS 584: 2015 Especificación para la seguridad de la computación en la nube de varios niveles, comúnmente conocida como MTCS, es el primer estándar de seguridad en la nube del mundo que cubre múltiples niveles de seguridad en la nube desarrollado bajo el Comité de Normas de Tecnología de la Información (ITSC, por sus siglas en inglés) para Proveedores de Servicios en la Nube (CSP) en Singapur. La norma se basa en una norma internacional reconocida, como la ISO 27001, con la mejora añadida de proporcionar a los usuarios de servicios en la nube un mecanismo para comparar y clasificar las capacidades de los proveedores de servicios en la nube con un conjunto de requisitos mínimos de seguridad básicos. Esto beneficia a los usuarios del servicio en la nube, ya que proporciona a los usuarios la garantía de que el proveedor cumple con los requisitos mínimos de seguridad de referencia aceptados para cada nivel. Los proveedores de servicios en la nube se benefician de tener un mecanismo para demostrar la seguridad de sus ofertas.
• ISO 45001 — Implementador Principal/Auditor Principal de la Gestión de la Seguridad y Salud en el Trabajo (formación de 4 a 5 días)
  La norma ISO 45001, Sistemas de gestión de seguridad y salud en el trabajo – Requisitos con orientación para su uso, es la primera norma internacional del mundo para la salud y la seguridad en el trabajo (OH&S). Proporciona un marco para aumentar la seguridad, reducir los riesgos en el lugar de trabajo y mejorar la salud y el bienestar en el trabajo, lo que permite a una organización mejorar de manera proactiva su desempeño en materia de salud y seguridad. La norma ISO 45001 permite a las organizaciones poner en marcha un sistema de gestión de seguridad y salud en el trabajo. Esto les ayudará a gestionar sus riesgos de seguridad y salud en el trabajo y a mejorar su rendimiento en materia de seguridad y salud en el trabajo mediante el desarrollo y la aplicación de políticas y objetivos eficaces.

Nota: se requiere una buena comprensión del Sistema de Gestión de Seguridad de la Información basado en ISO27001 estándar para un curso independiente sobre este tema

Nota: Las capacitaciones ISO 27017, ISO 27018 y MTCS se pueden combinar en un evento de capacitación de 4 a 5 días.