Acciones Correctivas.
Las acciones correctivas deben ser adecuadas a los efectos de las no conformidades encontradas.
La organización debe conservar información documentada, como evidencia de:
- La naturaleza de las no conformidades y cualquier acción posterior llevada a cabo.
- Los resultados de cualquier acción correctiva.
Las acciones correctivas pueden ocurrir después o en paralelo con las correcciones. Se deben seguir los siguientes pasos del proceso:
1. Decidir si es necesario realizar una acción correctiva, de acuerdo con los criterios establecidos (por ejemplo, impacto de la no conformidad, repetitividad);
2. Revisión de la inconformidad, considerando:
- Si se han registrado no conformidades similares;
- Todas las consecuencias y efectos secundarios causados por la inconformidad; y
- Las correcciones tomadas.
3. Realizar un análisis de causa en profundidad de la no conformidad, considerando:
- Qué salió mal, el desencadenante específico o la situación que llevó a la no conformidad (por ejemplo, errores determinados por personas, métodos, procesos o procedimientos, herramientas de hardware o software, mediciones incorrectas, entorno); y
- Patrones y criterios que pueden ayudar a identificar situaciones similares en el futuro.
4. Realizar un análisis de las posibles consecuencias, considerando:
- Si sus no conformidades similares existen en otras áreas, utilizando los patrones y criterios encontrados durante el análisis de la causa y
- Si otras áreas coinciden con los patrones o criterios identificados, de modo que es sólo cuestión de tiempo antes de que ocurra una no conformidad similar.
5. Determinar las acciones necesarias para corregir la causa, evaluando si son proporcionales a las consecuencias y el impacto de la no conformidad, y verificando que no tengan efectos secundarios que puedan dar lugar a otras no conformidades o nuevos riesgos importantes para la seguridad de la información;
6. Planificar las acciones correctivas, dando prioridad, si es posible, a las áreas donde hay mayor probabilidad de recurrencia y consecuencias más significativas de la no conformidad. La planificación debe incluir una persona responsable de una acción correctiva y una fecha límite para la implementación;
7. Implementar las acciones correctivas de acuerdo con el plan; y
8. Evaluar las acciones correctivas para determinar si realmente han manejado la causa de la no conformidad y si ha evitado que ocurran las no conformidades relacionadas. Esta evaluación debe ser imparcial, basada en pruebas y documentada. También debe comunicarse a los roles apropiados y las partes interesadas.
Como resultado de las correcciones y acciones correctivas, es posible que se identifiquen nuevas oportunidades de mejora. Estos deben tratarse en consecuencia (ver 10.2).