Introducción

En un sistema de gestión integrado, la documentación se organiza frecuentemente como una pirámide jerárquica. En el vértice se sitúan los documentos de alto nivel (políticas y manuales), que brindan directrices generales; hacia la base se encuentran documentos operativos más detallados (procedimientos, instrucciones, etc) y finalmente los registros, que evidencian el cumplimiento. Esta pirámide asegura que cada nivel de documentos esté alineado con el nivel superior y respalde sus objetivos. A continuación se detalla cada nivel documental, los tipos de documentos que abarca y su propósito específico, así como la relación entre ellos. Se incluyen también buenas prácticas para controlar y mantener actualizada esta documentación y las consideraciones clave que todo empleado debe conocer sobre el sistema documental. 

Niveles Jerárquicos

Una organización con múltiples estándares suele manejar diferentes niveles de documentación. Estos niveles van desde lineamientos corporativos generales hasta instrucciones específicas y registros. A continuación se describen los principales niveles jerárquicos (políticas, manuales, procedimientos, instrucciones técnicas de trabajo, y registros), con los tipos de documentos en cada nivel y su propósito.

Figura: Pirámide de niveles documentales de un sistema integrado. Una organización integrada estructura su documentación jerárquicamente: en la cima las políticas y objetivos, luego manuales, mapas de procesos, procedimientos, instrucciones técnicas, y en la base los formatos y registros.

Políticas y Objetivos

El nivel superior lo constituyen las Políticas corporativas del sistema de gestión. En el caso de un sistema integrado, a menudo se define una Política Integrada que abarca los compromisos de la organización en calidad, seguridad de la información, medio ambiente, etc. La política es un documento breve y firmado por la alta dirección que establece la visión, principios y compromisos de la empresa en cada área normativa. Por ejemplo, en calidad incluirá el compromiso de satisfacer al cliente y mejorar continuamente; en seguridad de la información, el compromiso de proteger la confidencialidad, integridad y disponibilidad de la información; en medio ambiente, el compromiso de prevenir la contaminación y cumplir la legislación ambiental.

La política integrada actúa como documento base para implementar el sistema, marcando las directrices para la planificación y orientando a la organización hacia sus objetivos estratégicos. Debe ser apropiada al contexto y naturaleza de la empresa, incluir los compromisos clave (satisfacción del cliente, prevención de la contaminación, mejora continua, gestión de riesgos, cumplimiento legal, etc.) y servir de marco de referencia para establecer objetivos medibles en cada área. Es habitual que exista una política de calidad, una de seguridad de la información, una ambiental, etc., ya sea separadas o unificadas en un solo documento integrado. Estas políticas de alto nivel son comunicadas a todo el personal y a otras partes interesadas, y deben estar disponibles públicamente (por ejemplo, en la web corporativa o en áreas visibles de la empresa). Su función principal es dirigir la cultura organizacional: todos los empleados deben conocer y alinear su trabajo con estos compromisos.

Junto con la política, en este nivel también se definen los Objetivos del sistema de gestión. Los objetivos (de calidad, seguridad, ambientales, etc.) suelen desprenderse de la política y cumplen con ella. Son metas específicas, medibles y periódicamente evaluadas. Aunque los objetivos puedan documentarse en planes o actas internas, forman parte del nivel estratégico documental, porque guían la elaboración de procedimientos y la asignación de recursos. La política y los objetivos están íntimamente relacionados: la política fija la intención y los objetivos le dan concreción.

Tipos de documentos en este nivel: Políticas corporativas (p. ej., Política de Calidad, Política de Seguridad de la Información, Política Ambiental, o una Política Integrada que combine todas) y documentos de objetivos (planes anuales de objetivos, cuadros de mando con indicadores, etc.). Propósito: Establecer la dirección y compromisos generales de la organización y proveer criterios para la toma de decisiones y la planificación del sistema de gestión.

Manual del Sistema

En un sistema de gestión maduro, se emplea un Manual del Sistema (tradicionalmente llamado Manual de Calidad en ISO 9001, o Manual Integrado si abarca varias normas). Este documento describe de forma global cómo funciona el sistema de gestión de la organización. En una empresa con múltiples certificaciones y estándares, lo ideal es contar con un único manual integrado que incorpore todos los estándares, evitando duplicaciones.

El manual del sistema típicamente incluye el alcance del sistema de gestión (qué áreas de la empresa y qué actividades cubre), la política integrada (o referencias a ella) y una descripción de la estructura documental y de los procesos de la organización. Sirve de mapa guía: refiere o indexa todos los documentos que conforman el sistema integrado y proporciona contexto para entender cómo se articulan. En otras palabras, el manual presenta las funciones y responsabilidades principales, detalla la interacción entre procesos, los objetivos generales del sistema y orienta sobre dónde encontrar las procedures específicas en temas de calidad, medio ambiente, seguridad, etc..

Un buen manual integrado actúa como marco de referencia de la documentación del sistema. Por ejemplo, puede incluir o anexar la política integrada, listar los procesos del negocio, definir la estructura organizacional (organigrama y roles clave), identificar qué procedimientos aplican a qué áreas, y cómo se cumplen los requisitos de las normas ISO. Algunas organizaciones incluso hacen referencia cruzada en el manual entre los requisitos de cada norma ISO y los documentos o procesos internos que los satisfacen, lo cual es útil en auditorías.

Es importante destacar que en algunos estándares no es obligatorio tener un manual de formal, pero sigue siendo una buena práctica disponer de este documento, sobre todo en sistemas integrados, para consolidar la información de alto nivel. El manual debe ser aprobado por la alta dirección y distribuido internamente de manera controlada (por ejemplo, publicado en la intranet corporativa). Todo el personal debería conocer la existencia del manual y consultarlo para entender el panorama global del sistema y cómo encajan las piezas documentales.

Tipos de documentos en este nivel: Manual de Gestión de Calidad o Manual Integrado de Gestión (único documento o varios manuales específicos si se gestionan por separado las normas). A veces se incluyen manuales temáticos (p.ej., Manual de Seguridad de la Información, Manual de Procesos) o secciones especializadas dentro de un manual general. Propósito: Actuar como documento marco del sistema, describiendo su alcance, principios, estructura y sirviendo de puente entre la política (visión estratégica) y los procedimientos e instrucciones (operativa diaria). Facilita la comprensión global y asegura que los elementos del sistema se implantan de forma coherente en toda la organización.

Mapa y Documentos de Procesos

 Un elemento clave en la estructura documental —aunque a veces no se menciona como “nivel” jerárquico formal— es el Mapa de Procesos de la organización. El mapa de procesos es una representación gráfica de cómo se organizan e interrelacionan los procesos de la empresa dentro del sistema de gestión. Suelen agruparse los procesos en categorías: procesos estratégicos (relacionados con la dirección y planificación), procesos misionales u operativos (los que generan valor directo al cliente, por ejemplo, entrega del servicio de consultoría, desarrollo de software, etc.) y procesos de apoyo (recursos humanos, TI, compras, etc.). El mapa de procesos ayuda a visualizar el flujo global de actividades, indicando las entradas, salidas y relaciones entre procesos.

Junto con el mapa general, muchas organizaciones documentan fichas o fichas de caracterización de proceso. En cada ficha de proceso se detallan elementos importantes para su gestión y control: el propietario del proceso (responsable), su misión o finalidad, el alcance (qué incluye y excluye), las entradas y salidas principales, los proveedores y clientes del proceso, así como los indicadores de desempeño del proceso y los recursos necesarios. Importante, estas fichas normalmente también vinculan el proceso con los documentos que lo desarrollan: por ejemplo, qué procedimientos, instrucciones técnicas (IT) o registros se aplican en ese proceso. De esta forma, el mapa de procesos y sus fichas actúan como un índice cruzado entre la visión por procesos y la documentación específica.

Es útil distinguir proceso de procedimiento: un proceso es un conjunto de actividades interrelacionadas que transforman entradas en salidas para lograr un resultado (por ejemplo, el proceso de entrega de servicio al cliente) mientras que un procedimiento es la manera específica en que se realiza una actividad o proceso. Los procesos suelen ser conceptuales y orientados a objetivos, mientras los procedimientos son documentos que detallan cómo ejecutar las tareas dentro de esos procesos. Comprender esta diferencia ayuda a estructurar la documentación correctamente: primero definimos qué procesos existen y cómo se relacionan, y luego documentamos cómo realizar cada actividad de esos procesos mediante procedimientos e instrucciones.

Tipos de documentos en este nivel: Mapas o diagramas de procesos (a nivel general de la organización o por áreas), y Fichas de Proceso (hojas de caracterización) para cada proceso identificado. Propósito: Mostrar de forma visual y comprensible la arquitectura de procesos de la empresa, facilitando la identificación de interdependencias y asegurando que ningún requisito (p.ej. de calidad, seguridad, ambiental) quede olvidado en algún proceso. Sirve además como guía para desarrollar y organizar los procedimientos e instrucciones asociadas a cada proceso.

Procedimientos Operativos

Los Procedimientos constituyen el siguiente nivel documental. Un procedimiento es un documento que describe de forma estandarizada y formal cómo realizar una tarea o proceso específico de la organización. Es básicamente la “receta” que debe seguir el personal para ejecutar correctamente una actividad, asegurando que se obtiene siempre un resultado consistente y conforme a los requisitos.

En una organización con sistema integrado, muchos procedimientos se diseñan para cubrir requisitos de múltiples normas a la vez. Por ejemplo, un solo “Procedimiento de Control de Documentos” puede satisfacer tanto ISO 9001 como ISO 27001, ISO 14001, etc., ya que todas las normas requieren control documental. Otros procedimientos quizás sean más específicos de un área (por ejemplo, un Procedimiento de Gestión de Incidentes de Seguridad de la Información para ISO 27001, o un Procedimiento de Identificación de Aspectos Ambientales para ISO 14001). Sin embargo, siempre que sea posible se busca integrar, para no tener documentos duplicados.

Los procedimientos deben estar redactados de manera clara y sencilla, de modo que cualquier miembro de la organización pueda entenderlos sin dificultad. Suelen incluir secciones como: objetivo (qué propósito tiene), alcance (a qué áreas o procesos aplica), responsabilidades (quién hace qué), descripción de actividades paso a paso, registros o formularios asociados, y referencias (por ejemplo, a políticas, a otros documentos o a requisitos de las normas ISO pertinentes).

En estos documentos se describen detalladamente:

• Las actividades ejecutadas por el personal (qué acciones se realizan y en qué secuencia).
• El flujo del proceso o tarea, siguiendo un orden lógico de operaciones.
• Criterios y estándares que deben respetarse en cada paso, asegurando coherencia con las normas aplicables y con las políticas internas.

Existen procedimientos integrados típicos que toda organización certificada suele poseer. Por ejemplo, destacan: el procedimiento de control de documentos, control de registros, identificación y evaluación de requisitos legales, revisión por la dirección del sistema (management review), establecimiento y seguimiento de objetivos y planes de mejora, formación y competencia del personal, comunicación interna y externa, compras y evaluación de proveedores, control operacional (para asegurar la calidad del servicio y controlar impactos ambientales/seguridad en operaciones), calibración y mantenimiento de equipos (si aplica), planes de respuesta a emergencias, auditorías internas, gestión de no conformidades y acciones correctivas (y preventivas, en un enfoque de mejora continua), entre otros. Cada uno de estos procedimientos tiene el propósito de estandarizar un proceso o subproceso clave, garantizando que se cumplan los requisitos ISO relacionados y las políticas de la empresa.

Tipos de documentos en este nivel: Procedimientos operativos estándar (a veces abreviados como POE o simplemente Procedimientos o SOP en inglés). Pueden ser procedimientos generales del sistema (aplicables a toda el área de gestión, como “Procedimiento de Auditoría Interna”) o procedimientos específicos de un departamento/proceso (por ejemplo “Procedimiento de Gestión de Proyectos TIC”). Propósito: Detallar paso a paso cómo realizar las actividades de los procesos de la organización de forma controlada y uniforme, asegurando que el trabajo se hace correctamente, de acuerdo con las políticas, objetivos y estándares establecidos. Los procedimientos traducen los requisitos de las normas ISO y los objetivos de la organización en instrucciones prácticas para el día a día.

Instrucciones Técnicas de Trabajo

En el siguiente nivel de detalle se encuentran las Instrucciones Técnicas de Trabajo (también llamadas a veces Instrucciones Operativas, Instructivos o Procedimientos específicos de tarea). Mientras que los procedimientos pueden cubrir un proceso completo o una serie de actividades, las instrucciones técnicas suelen enfocarse en cómo realizar una tarea puntual o técnica específica, a menudo dentro de un paso de un procedimiento.

Por ejemplo, un procedimiento puede indicar que se debe realizar una copia de seguridad (backup) semanal de los servidores (dando el qué y el cuándo), pero la instrucción técnica detallará cómo ejecutar ese backup en el sistema informático paso a paso. O en una empresa de consultoría, un procedimiento puede requerir hacer revisión de un documento entregable, y la instrucción técnica podría ser una guía de uso de la herramienta de control de versiones o plantilla específica para revisión.

Las instrucciones técnicas son documentos de muy detalle: describen con precisión cada paso, herramienta o método necesario para completar correctamente una tarea. Pueden incluir capturas de pantalla, diagramas o listas de verificación (checklists) para mayor claridad. Es fundamental que sean claras y directas, ya que van dirigidas a los ejecutores de la tarea, que necesitan saber exactamente qué hacer.

A diferencia de los procedimientos (más generales), las instrucciones técnicas pueden variar mucho de una tarea a otra y suelen ser mantenidas por los propietarios de proceso o expertos técnicos en la materia. Deben alinearse con los procedimientos superiores: ninguna instrucción debe contradecir un procedimiento, más bien lo complementa. Por ejemplo, si el procedimiento dice “elaborar un informe mensual de avances del proyecto”, la instrucción técnica sería el formato o guía para elaborar ese informe.

Tipos de documentos en este nivel: Instrucciones de trabajo, guías operativas, manuales técnicos de uso interno, checklist operativos, protocolos de prueba, etc. Propósito: Especificar de forma concreta y detallada el “cómo se realiza” una actividad operacional. Con estas instrucciones, la organización busca reducir variabilidad en tareas complejas, minimizar errores y garantizar que incluso personal nuevo o menos experimentado pueda seguir los pasos y cumplir con los estándares requeridos. Son cruciales en tareas que impactan la calidad del servicio, la seguridad de la información (por ejemplo, pasos para configurar un firewall según política) o el medio ambiente (por ejemplo, instrucciones para disponer residuos electrónicos correctamente).

Registros y Formularios

En la base de la pirámide documental se encuentran los Registros. Los registros no son exactamente “documentos que dicen qué hacer”, sino evidencias de que algo se hizo conforme al sistema. En términos ISO, un registro es un tipo especial de “información documentada” que proporciona evidencia de los resultados alcanzados o de las actividades realizadas. En otras palabras, los procedimientos e instrucciones indican qué hacer y cómo hacerlo; al ejecutarlos, se generan registros que demuestran que se siguieron esos pasos y qué resultados se obtuvieron.

Formularios o formatos: normalmente la organización define plantillas estandarizadas (documentos en blanco) para recopilar datos o resultados. Por ejemplo, una lista de verificación para inspecciones, un formato de informe, un formulario para reportar incidentes, un registro de capacitación asistida, etc. Estos formularios en blanco son documentos controlados dentro del sistema (con código, versión, revisión aprobada) y pertenecen a este nivel documental. Una vez que se rellenan con datos en el curso de una actividad, pasan a ser registros.

Registros: Son el resultado llenado de esos formularios o de actividades donde se recoge información. Incluyen todo tipo de evidencia: reportes emitidos, registros electrónicos (logs de sistema, respaldos de configuración), listas de asistencia, contratos firmados, resultados de auditorías, encuestas de satisfacción, reportes de no conformidades, entre otros. Los registros sirven para mostrar cumplimiento de requisitos y para analizar el desempeño (por ejemplo, las mediciones de un indicador de proceso se basan en datos registrados).

Características de los registros: suelen incluir la fecha, quién realizó la actividad o llenó el registro, y cualquier dato necesario. Deben ser legibles, identificables y trazables. Según ISO 9001:2015, los registros (información documentada) deben estar protegidos y conservarse durante el tiempo que sea necesario y luego eliminarse de forma segura cuando expira su periodo de retención.

Un aspecto importante es la retención de registros. La empresa debe definir por cuánto tiempo almacena cada tipo de registro, considerando requisitos legales, contractuales o utilidad interna. Por ejemplo, puede definirse que registros de calidad (p.ej. informes de auditoría interna) se guarden un mínimo de 5 años, registros financieros 10 años, registros de capacitación 5 años, etc., según el caso. Pasado ese tiempo, se pueden eliminar o archivar, siguiendo procedimientos de disposición segura (destrucción confidencial de documentos físicos, borrado seguro de archivos digitales, etc.).

Tipos de documentos en este nivel: Formularios o formatos en blanco (hojas de registro, plantillas de informes, etc.) y registros llenos resultantes (documentos con datos reales: actas firmadas, reportes, bases de datos con registros, correos de confirmación, etc.). Propósito: Capturar la evidencia objetiva de que se han cumplido los procedimientos y se han alcanzado resultados. Son la base para la toma de decisiones basada en datos, las auditorías (los auditores pedirán ver registros como prueba) y la mejora continua (analizar registros para detectar problemas o tendencias).

Relación entre los Documentos

Los diferentes niveles de documentación están interrelacionados de forma coherente y jerárquica. Cada nivel más detallado desarrolla o deriva del nivel inmediatamente superior:

• Las Políticas marcan la dirección general. Todos los demás documentos deben alinearse con las políticas. Por ejemplo, si la política de calidad establece “cumplir con los requisitos del cliente y mejorar continuamente”, los procedimientos deben incluir actividades de revisión de requisitos del cliente, medición de satisfacción y acciones de mejora. Si la política de seguridad dice que “se protegerá la información confidencial”, los manuales y procedimientos desarrollarán controles para ello. En esencia, la política es una brújula que orienta los procedimientos e instrucciones.
• El Manual del Sistema es un punto de unión: en él normalmente se referencian las políticas (a veces insertadas textual) y se listan o describen los procedimientos e instructivos. Puede incluir un capítulo o anexo con el listado maestro de documentos del sistema. Así, el manual actúa como un índice global: uno puede leerlo para entender qué documentos existen y dónde encajan. Por ejemplo, el manual puede decir “para asegurar la mejora continua, se cuenta con el Procedimiento de No Conformidades y Acciones Correctivas (PR-NC-01) y un Procedimiento de Auditorías Internas (PR-AU-01), entre otros”. De esta manera queda claro que para cumplir cierto aspecto de la norma, existe un documento específico.
• El Mapa de Procesos y las fichas de procesos también crean vínculos: muestran qué procedimientos o instrucciones aplican en cada proceso. Por ejemplo, al proceso “Gestión de Proyectos” se le asocian el “Procedimiento de Planificación de Proyectos” y la “Instrucción Técnica para Control de Versiones de Código”, etc. Esto asegura que ningún proceso carezca de documentación de apoyo y, a su vez, que ningún documento esté desconectado de un proceso real del negocio.
• Los Procedimientos desarrollan las políticas en la práctica. Cada procedimiento normalmente comienza indicando su correspondencia con políticas u objetivos. Por ejemplo, un procedimiento puede iniciar mencionando: “Este procedimiento apoya la Política de Seguridad de la Información en su compromiso de control de accesos...”. Además, muchos procedimientos hacen referencia unos a otros (por ejemplo, el procedimiento de compras puede referir al de evaluación de proveedores, el de desarrollo de software puede referir al de control de cambios, etc.), mostrando la integración transversal del sistema.
• Procedimientos e Instrucciones Técnicas: una instrucción técnica suele ser citada dentro de un procedimiento o anexo a este. Por ejemplo, el Procedimiento de Respaldo de Información puede decir: “Cómo realizar el respaldo se detalla en la Instrucción IT-01: Backup del Servidor X”. Así, la instrucción no existe aislada: está subordinada a un procedimiento y le da soporte de detalle. De igual forma, si la instrucción cambia (ej. porque cambia el software de backups), se debe verificar si el procedimiento madre debe actualizarse para mantener la consistencia.
• Procedimientos e Instrucciones con Registros: casi todo procedimiento o instrucción define qué registros deben generarse. Por ejemplo, un procedimiento de capacitación dirá que el registro es la lista de asistencia firmada y el comprobante de evaluación. Una instrucción de mantenimiento de equipos dirá que se llena un formato de reporte de mantenimiento. Los documentos suelen indicar explícitamente, al final, “Registros asociados: Formato XYZ”. Así, hay una trazabilidad: desde la política que exigía algo, hasta el procedimiento que lo implementa, hasta el registro que demuestra que se hizo.

En un buen sistema documental, estas relaciones aseguran que no haya contradicciones entre documentos y que todos estén actualizados en conjunto. Si se modifica un documento de nivel superior (por ejemplo, se cambia la política o un objetivo estratégico), deben revisarse los procedimientos afectados y ajustarlos si es necesario para alinearlos con el nuevo lineamiento. Del mismo modo, si la práctica operativa cambia y lleva a modificar un procedimiento, debe evaluarse si esa modificación impacta el logro de algún objetivo o compromiso de la política.

Finalmente, todos los documentos del sistema integrado comparten un objetivo común: cumplir con los requisitos de las normas ISO aplicables y mejorar la gestión interna. La documentación integrada evita redundancias. Por ejemplo, ISO 9001 y ISO 27001 ambas exigen control de documentos y auditorías internas, por lo que un mismo procedimiento puede cubrir ambos requisitos en lugar de tener dos separados. Esto facilita que los empleados tengan un único conjunto de directrices en vez de múltiples según la norma, favoreciendo la claridad.

Buenas Prácticas

Disponer de muchos documentos exige una gestión documental rigurosa. Un sistema de documentación descontrolado pierde eficacia y puede llevar a incumplimientos (por ejemplo, usar formatos obsoletos, políticas contradictorias, etc.). A continuación se presentan buenas prácticas internacionales para mantener la documentación organizada, controlada y al día, alineadas con las exigencias de ISO 9001:2015 y otras normas:

Identificación y clasificación: Es fundamental establecer una forma consistente de identificar cada documento. Esto incluye asignar un código o numeración a cada documento (por ejemplo, “POL-01 Política de Calidad”, “PR-SEC-02 Procedimiento de Gestión de Contraseñas”, “IT-03 Instrucción de Uso de Extintores”), indicando con prefijos o categorías el tipo de documento y área. También implica tener títulos claros y versionado. La clasificación puede ser por tipo (política, manual, procedimiento, etc.) y/o por proceso o área funcional. Por ejemplo, agrupar los procedimientos por departamento (Comercial, TI, RR.HH.) o por norma (QMS, SGSI, etc.). Una convención clara de nombres y códigos facilita la búsqueda y evita confusiones. Además, es aconsejable llevar un Listado Maestro de Documentos que recopile todos los documentos vigentes con su código, nombre, versión y fecha. De esta manera se asegura trazabilidad y se puede comprobar rápidamente qué versión es la actual.

Control y aprobación: Todos los documentos deben pasar por un proceso de revisión y aprobación antes de emitirse o actualizarse. Es recomendable definir claramente roles y responsabilidades: por ejemplo, un dueño del documento (quien lo elabora o mantiene), uno o varios revisores (expertos o responsables de área que verifican su contenido) y un aprobador final (normalmente un gerente o la dirección de calidad/seguridad). Ningún documento debe publicarse sin la debida aprobación, lo cual garantiza que la información sea correcta y esté alineada con la estrategia. Igualmente, se deben establecer periodicidades de revisión: aunque un documento no cambie, conviene revisarlo (p. ej. anualmente) para confirmar que sigue siendo válido. Esto ayuda a mantener la documentación siempre vigente y relevante. Cuando un documento es aprobado, se asigna su nueva versión y fecha, registrando estos cambios.

Distribución y acceso: Una vez aprobados, los documentos deben ser distribuidos de forma controlada. Esto significa asegurarse de que las versiones vigentes llegan a todos los puntos o personas que las necesitan para trabajar. La norma ISO enfatiza que los documentos actualizados deben estar disponibles en los puntos de uso (ya sea el puesto de trabajo físico o una carpeta digital). En la práctica actual, lo usual es utilizar herramientas electrónicas (sistemas de gestión documental, intranets, plataformas en la nube) que permitan al personal autorizado acceder fácilmente a la documentación. Con estas herramientas se pueden establecer permisos por rol (por ejemplo, ciertos manuales solo accesibles a gerencia, o instrucciones técnicas solo visibles para el área correspondiente). Es importante eliminar o marcar como obsoletas las versiones antiguas para que nadie use por error un documento desactualizado. Por ejemplo, si se imprimen copias en papel de un procedimiento en planta, al actualizarlo se deben recoger y desechar las copias antiguas, o sellarlas como “Obsoleto”. También es buena práctica llevar un registro o log de distribución, o aprovechar la plataforma digital para ver quién accede a los documentos, de forma que se tenga control de su uso.

Retención y disposición de documentos y registros: No todo documento permanece vigente para siempre. Se deben definir políticas de retención tanto para documentos obsoletos como para registros. En cuanto a documentos (políticas, procedimientos, etc.), cuando se sustituyen por versiones nuevas, las versiones previas se archivan (con marca de obsoletas) por un tiempo determinado, en caso de que se necesite consultar historiales o evidenciar cambios durante auditorías. Por otro lado, los registros tienen períodos de conservación según normativa o las necesidades del negocio. Una buena práctica es contar con un Programa de Gestión de Registros donde se especifique cuánto tiempo conservar cada tipo de registro y cómo desecharlo luego. La eliminación segura es clave, especialmente para registros sensibles: por ejemplo, triturar documentos en papel, o borrar archivos electrónicos de forma permanente, garantizando la confidencialidad de la información. Cumplir con estas disposiciones también ayuda a la empresa a no acumular información innecesaria y a cumplir leyes de protección de datos si aplican.

Control de cambios y versionado: Mantener la integridad documental requiere gestionar cuidadosamente los cambios. Cada modificación en un documento debe seguir un proceso formal de control de cambios. Esto incluye documentar qué se cambió, por qué, cuándo y quién lo autorizó. Lo usual es que cada documento tenga un historial de revisiones donde se anota la versión, fecha, responsable del cambio y una descripción breve del cambio (ej. “Versión 2.1: se actualiza sección 5 para incluir nuevo rol de Seguridad, aprobado por Director de TI”). Un sistema de versionado efectivo evita confusiones (todos saben cuál es la última versión) y permite trazabilidad hacia atrás. Además, cuando se emiten cambios significativos, es importante comunicar y capacitar al personal afectado. Por ejemplo, si sale un nuevo procedimiento o se modifica uno crítico, se debe notificar a los empleados involucrados y, si es necesario, dar formación sobre la nueva forma de trabajo. De esta manera se asegura que la organización adopta los cambios y que los documentos no son letra muerta.

Uso de herramientas tecnológicas: Hoy en día es prácticamente imprescindible apoyarse en alguna solución informática de gestión documental. Existen softwares especializados (p.ej., plataformas tipo ISOTools, SharePoint, Confluence, gestores de calidad) o otras alternativas más flexibles como Odoo Knowledge o Notion que facilitan todo lo anterior: control de versiones, flujos de aprobación, notificaciones de cambios, búsquedas rápidas, etc.. Una organización madura suele invertir en estas herramientas, integrándolas con la operación diaria, lo que reduce la carga administrativa y mejora la precisión en el control documental.

En resumen, la gestión documental eficaz implica identificar claramente cada documento, controlar su ciclo de vida (creación, revisión, aprobación, distribución, actualización y eliminación), y asegurarse de que el personal siempre tenga acceso a información vigente y confiable para desempeñar sus tareas. Estas buenas prácticas no solo cumplen los requisitos formales de ISO 9001 y otras normas, sino que aportan beneficios: garantizan la coherencia en la operación, evitan errores por uso de documentos caducos y contribuyen a la mejora continua al tener una base de información sólida.

Para los colaboradores

En un entorno con un sistema de gestión integrado, todos los empleados y usuarios internos deben tener un conocimiento básico y claro de cómo funciona la documentación y cuál es su papel respecto a ella. La participación de las personas es clave para que el sistema no sea solo “papel”, sino una guía viva para el trabajo diario. A continuación, se resumen los puntos esenciales que cualquier colaborador debería saber:

• Conocer la política y objetivos: Cada empleado debe estar consciente de la Política Integrada de la organización y de los objetivos de calidad, seguridad, ambientales, etc., que correspondan a su área. Esto significa entender los compromisos de alto nivel (por ejemplo, priorizar la satisfacción del cliente, proteger datos confidenciales, prevenir contaminación) y cómo su propio trabajo influye en lograrlos. La norma ISO 9001 enfatiza que el personal conozca la política de calidad, los objetivos y las implicaciones de no cumplir los requisitos, y lo mismo aplica de forma similar en otras normas (ISO 27001 espera que el personal conozca la política de seguridad de la información y las reglas asociadas, ISO 14001 la política ambiental, etc.). Esto no implica memorizar la política palabra por palabra, sino comprenderla y traducirla en acciones diarias.
• Saber dónde encontrar la documentación: Todo usuario debe tener claro cómo acceder al sistema documental vigente. En organizaciones modernas, esto suele ser a través de una intranet o portal de calidad/gestión documental, o un repositorio central (un servidor de documentos, carpetas compartidas, aplicación web, etc.). El empleado debe saber navegar ese sistema: por ejemplo, saber que existe un manual del sistema, localizar los procedimientos de su departamento, encontrar instrucciones técnicas cuando tenga dudas sobre un proceso específico, etc. Si un trabajador no sabe dónde está un procedimiento o formato que debe usar, el sistema falla en efectividad. Por tanto, parte de la inducción y capacitación al personal debe incluir cómo está estructurada la documentación y dónde hallarla. En muchos casos se proporciona un breve entrenamiento o guía de uso de la plataforma documental.
• Entender la jerarquía documental: Sin necesidad de que conozca todos los detalles de la pirámide, un empleado debe al menos distinguir tipos de documentos y su autoridad. Por ejemplo, saber que una política establece lineamientos que todos deben seguir; que un procedimiento describe un proceso de forma obligatoria; que una instrucción específica detalla tareas concretas; y que un registro es una evidencia que hay que llenar. Esto ayuda a que el personal respete el contenido de los documentos según su peso: no es opcional cumplir un procedimiento aprobado, es un lineamiento obligatorio. Asimismo, conocer la jerarquía ayuda a que, si encuentra discrepancias entre documentos, sepa consultar o escalar (por ejemplo, “mi instrucción dice A pero el procedimiento dice B, debo preguntar cuál es correcto, probablemente el procedimiento prevalece y la instrucción necesita actualización”).
• Seguir los documentos en su trabajo diario: La eficacia del sistema recae en que los empleados usen realmente los documentos. Cada persona debe seguir los procedimientos e instrucciones aplicables a su rol. Por ejemplo, un consultor de TI debe aplicar el procedimiento de gestión de cambios al actualizar un sistema del cliente; un analista debe seguir el procedimiento de tratamiento de incidentes de seguridad al reportar un incidente; un gerente debe realizar la revisión de desempeño según el procedimiento de gestión de personal, etc. Esto también implica utilizar los formatos oficiales para registrar información, no libretas personales ni documentos no controlados. Los empleados deben comprender que estos procedimientos e instrucciones fueron creados para asegurar calidad y consistencia, y que apartarse de ellos sin autorización puede traer consecuencias (no conformidades, reprocesos, riesgos de seguridad, accidentes, etc.). De hecho, la propia ISO 9001 recalca la importancia de que el personal se adhiera a los procedimientos y estándares definidos.
• Usar siempre la última versión: Es crucial que los empleados sepan identificar que un documento es vigente y oficial. Deben fijarse en elementos como el código, número de versión y fecha del documento, que normalmente figuran en el encabezado o pie de página. También deben saber que si tienen un documento impreso, podría quedar desactualizado con el tiempo; lo recomendable es verificar contra la fuente oficial antes de usarlo. En resumen, siempre trabajar con la versión actualizada que esté en el sistema central. Esto evita errores por información obsoleta. La organización debe inculcar esta práctica, por ejemplo poniendo avisos de “Verifique la versión vigente en la intranet” en los documentos. En sistemas electrónicos, a veces la propia plataforma solo muestra la última versión para evitar confusiones.
• Reportar inconsistencias o mejoras: Los empleados que utilizan los documentos son quienes mejor pueden detectar si algo está mal o puede mejorarse. Debe fomentarse una cultura en la que, si un usuario encuentra un procedimiento confuso, incompleto o desactualizado, lo comunique a los responsables (área de calidad, de procesos o al dueño del documento). Del mismo modo, si en la práctica cotidiana hallan una forma más eficiente de hacer algo que no está reflejada en la instrucción actual, se les anima a proponer mejoras. Muchas empresas implementan formularios o canales para solicitar cambios documentales. Esto enlaza con el principio de mejora continua: los procedimientos no son estáticos, pueden optimizarse con el feedback del personal. Un empleado informado sabrá que tiene voz en el sistema de gestión y que sus sugerencias pueden traducirse en revisiones documentales beneficiosas.
• Cumplir con la gestión de registros: El personal debe entender su responsabilidad no solo en ejecutar tareas, sino en dejar evidencia de las mismas. Por ello, cada empleado debe completar los registros que le corresponden (ej.: llenar formatos de control de calidad, registrar horas en un sistema, firmar checklists de verificación, etc.) de manera fidedigna y puntual. Deben saber que “lo que no está documentado, no se hizo” a ojos de auditoría. Así que una parte de la disciplina del sistema es mantener registros completos. También, en temas como seguridad de la información, los empleados deben conocer la importancia de proteger registros confidenciales (por ejemplo, no dejar documentos sensibles a la vista, no compartir informes fuera de los canales permitidos, etc.), acorde a las políticas de clasificación de la información de ISO 27001.
• Participar en capacitaciones y auditorías: La organización debe capacitar periódicamente al personal en el sistema de gestión, y el empleado debe aprovechar esas instancias para reforzar su conocimiento. En auditorías internas o externas, es común que los auditores entrevisten a empleados, y estos deberían poder explicar brevemente cómo realizan su trabajo conforme a los procedimientos y dónde encuentran la documentación que usan. No se espera que reciten cláusulas ISO, sino que demuestren conciencia y competencia en el sistema. Por ejemplo, un empleado podría decir ante un auditor: “Conozco la política de calidad que enfatiza satisfacción del cliente; en mi puesto sigo el procedimiento OP-10 para gestión de quejas, y registro cada queja en el formato F-10, cuyos resultados revisamos mensualmente”. Esto evidencia tanto conocimiento como cumplimiento.

En síntesis, cualquier empleado debe entender que el sistema documental es parte integral de su trabajo. Debe conocer los lineamientos generales (políticas y objetivos), cumplir los procedimientos e instrucciones al desempeñar sus tareas, manejar correctamente los registros, y estar atento a mantener la información actualizada y confiable. Esta toma de conciencia del personal es un requisito explícito de ISO 9001 y otras normas, ya que un sistema de gestión solo es efectivo si las personas lo implementan en la práctica. Cuando los empleados comprenden su rol dentro del sistema documental, se logra no solo cumplir con las normas, sino también una operación más ordenada, transparente y eficaz, donde la calidad, la seguridad de la información y el cuidado ambiental se vuelven parte de la cultura diaria de la organización.