Unidad 14 Auditor Interno 22301 Parte II

Área de Auditoría de Sistemas
Curso de Auditor Interno

Requisitos específicos ISO 22301:2019 – Parte II
Sistema de Gestión de la Continuidad del Negocio
Versión internacional
Abril 2020 - Rev.00
(ISO 22301:2019)
Curso Auditor Interno ISO 22301:2019
CLAUSULA 7 Requisitos Específicos - Parte II

Abril 2020 - Rev.00
SOPORTE
▪ 7.1 Recursos
▪ 7.2 Competencia
▪ 7.3 Toma de conciencia
▪ 7.4 Comunicación
▪ 7.5 Información Documentada


Abril 2020 - Rev.00
COMPETENCIA
el auditor debe poder evidenciar la competencia definida y necesaria
de todos los cargos relacionados con el sistema de gestión.
EDUCACIÓN
LA COMPETENCIA ES BÁSICA PARA

LOS PROCESOS DE MANEJO DE CRISIS
FRENTE A UN EVENTO DISRUPTIVO
EXPERIENCIA FORMACIÓN

Abril 2020 - Rev.00
SOPORTE – Toma de Conciencia

Para la creación de conciencia, generalmente las organizaciones elaboran
distintos programas o actividades de inducción que son difundidos entre
las diferentes partes interesadas. Como auditores debemos estar atentos.

Abril 2020 - Rev.00
SOPORTE - Comunicación
La Comunicación es un proceso de intercambio de información, en el
que un emisor transmite a un receptor algo a través de un canal
esperando que, posteriormente, se produzca una respuesta de dicho
receptor, en un contexto determinado.
La Noma ISO 22301 busca estandarizar este concepto con el fin de

minimizar o eliminar fallos que puedan afectar el proceso de toma de
decisión frente a las distintas etapas del manejo de una crisis.
Muy importante y siempre generalmente se nos pasa, DEFINIR EL

(LOS) IDIOMA (S).
La comunicación ANTES, DURANTE Y DESPUES de un evento

disruptivo debe estar claramente definida en cuanto a su contenido
así como en cuanto a los responsables. En un proceso de
auditoría esta información debe ser presentada ante el
equipo de auditoria.

Abril 2020 - Rev.00
SOPORTE - Información Documentada

Los controles a realizar sobre la información documentada son:
▪ Identificar la información documentada

▪ Elegir un soporte adecuado para su uso
▪ Revisar y aprobar la información documentada antes de su distribución
▪ Asegurar que está disponible para quien la necesita
▪ Protegerla respecto a su confidencialidad
▪ Asegurar una distribución y acceso
▪ Preservarla en condiciones adecuadas
▪ Controlar los cambios
▪ Identificar y controlar la información documentada de carácter externo
Son las reglas de control de los documentos del sistema de Gestión.

Es la tarea de estandariza los formatos, códigos, almacenamientos,
tipo y otros criterios de la información documentada.
Esta información debe estar disponible para verificar su

implementación en un proceso de auditoría.

Abril 2020 - Rev.00
OPERACIÓN
▪ 8.1 Planificación y control operacional

▪ 8.2 Análisis de impacto de negocio y
evaluación de riesgos
▪ 8.3 Estrategias y soluciones de continuidad
de negocio
EL CONTENIDO ▪ 8.4 Planes y procedimientos de continuidad
DE ESTA de negocio
CLAUSULA ▪ 8.5 Programa de ejercicios
▪ 8.6 Evaluación de la documentación y
capacidades de continuidad de negocio

Abril 2020 - Rev.00
OPERACIÓN - Planificación y Control Operacional
El ciclo operativo de ISO 22301

Buscar las evidencias de concreción de cada etapa

Abril 2020 - Rev.00
OPERACIÓN - Análisis de Impacto de Negocio y Evaluación de riesgos
De acuerdo a la naturaleza y Eelmentos para poder definir una

duración del evento, pueden CLASIFICACIÓN del riesgo que
haber diferentes niveles de representa el evento para la
impacto que afecten a la organización, se evalua el
organización. IMACTO
Por cada Nivel existen criterios

ELEMENTOS ECENCIALES que permiten definir la
MINIMOS QUE UN AUDITOR magnitud del impacto
DEBE PODER EVIDENCIAR
DURANTE UNA EVALUACIÓN Cada orgnización debe
DE LA CONFORMIDAD definir estos criterios.

Abril 2020 - Rev.00
OPERACIÓN - Estrategia y soluciones de continuidad del negocio


Abril 2020 - Rev.00
OPERACIÓN - Planes y procedimientos de continuidad del negocio
Clientes
El Auditor debe poder evidencia un método para
evaluar posibles eventos y el nivel de riesgo, el
impacto sobre las operaciones y la evaluación de
tareas.
Proveedores BUSCAR EVIDENCIAS DE QUE LOS

PLANES Y PROCEDIMIENTOS SON
ADECUADOS
Trabajadores LA ORGANIZACIÓN TIENE QUE

PRESENTAR PLANES Y
PROCEDIMIENTOS DE CONTINUIDAD
DEL NEGOCIO
Terceros

Abril 2020 - Rev.00
OPERACIÓN - Programa de ejercicios
ISO 22301 pide ▪ ENSAYO

expresamente que los
planes y acciones de
▪ PUESTOS DE MANDO
continuidad de negocio ▪ PRUEBAS UNITARIAS
estén relacionados con el INFRAESTRCTURA
contexto, se prueben y
verifiquen y se adapten de ▪ SIMULACROS
ser necesario
Si no surge algún evento Cambios y

Contexto
adaptación
disruptivo que permita
verificar los planes, estos
deben ser probados. Prueba y
verificación

Abril 2020 - Rev.00
EVALUACIÓN DE DESEMPEÑO
▪ 9.1 Seguimiento, medición análisis y evaluación

▪ 9.2 Auditoría Interna
EL CONTENIDO ▪ 9.3 Revisión por la dirección
DE ESTA
CLAUSULA

Abril 2020 - Rev.00
Seguimiento, medición, análisis y evaluación
▪ El establecimiento de métricas adecuadas a las necesidades de la

organización (indicadores de gestión)
▪ Limitar el alcance del seguimiento y medición a la extensión cubierta
por la política y los objetivos de continuidad
▪ Obtener información sobre el desempeño de los procesos,
procedimientos y funciones que protegen a las actividades priorizadas
▪ Monitorización de la conformidad con la norma ISO 22301 y con los
objetivos de continuidad de negocio
▪ Monitorización de la evidencia histórica de la deficiencia del desempeño
del SGCN
▪ Registro de datos y resultados del seguimiento y medición para facilitar
las posteriores acciones correctivas.

Abril 2020 - Rev.00
Seguimiento, medición, análisis y evaluación
La Utilización de INDICADORES DE
PROCESO relacionados con las no
conformidades detectadas, efectividad de
los planes de recuperación, manejo de los
tiempos, mejoras, o de la eficacia de las
acciones tomadas para abordar riesgos y
oportunidades
La evidencia presentada puede ser el

calculo del INDICADOR DE GESTIÓN así
como sus resultados y seguimiento.

Abril 2020 - Rev.00
EVALUACIÓN DE DESEMPEÑO - Auditoría Interna
Consideraciones generales para

Recuerde que el trabajo del auditor el SGCN:
Auditor es revisar evidencias
▪ Los auditores no pueden auditar
objetivas, con el fin de
su propio trabajo
compáralas con los criterios de
auditoria con el fin de establecer ▪ Las correcciones y acciones
conformidad. correctivas necesarias para
eliminar las no conformidades y
Debemos ser capaces de emitir sus causas deben llevarse a
juicios profesionales y razonados cabo sin demora
sobre el cumplimiento de
▪ Deben llevarse a cabo acciones
criterios, pero nunca juicios de
de seguimiento y medición
valor. posteriores, para verificar la
eficacia de las acciones tomadas
y los resultados obtenidos

Abril 2020 - Rev.00
EVALUACIÓN DE DESEMPEÑO - Revisión por la dirección
ENTRADAS
▪ el estado de las acciones de revisiones administrativas anteriores
▪ cambios en asuntos externos e internos que son relevantes para el SGCN
▪ información sobre el desempeño del SGCN y feedback de las partes interesadas
▪ la necesidad de cambios en el SGCN, incluida la política y los objetivos
▪ procedimientos y recursos que podrían usarse en la organización para mejorar
el desempeño y la efectividad del SGCN
▪ información del análisis de impacto de negocio y evaluación de riesgos
▪ resultados de la evaluación de la documentación y las capacidades de
continuidad del negocio
▪ riesgos o problemas no abordados adecuadamente en cualquier evaluación de
riesgos previa
▪ lecciones aprendidas y acciones derivadas de casi accidentes y perturbaciones
▪ oportunidades de mejora continua

Abril 2020 - Rev.00
EVALUACIÓN DE DESEMPEÑO - Revisión por la dirección
SALIDAS
▪ variaciones en el alcance del SGCN
▪ actualización del análisis de impacto comercial, evaluación de riesgos,
estrategias y soluciones de continuidad de negocio, y planes de
continuidad de negocio
▪ modificación de procedimientos y controles para responder a problemas
internos o externos que pueden afectar el SGCN
▪ cómo se medirá la efectividad de los controles
Los resultados de la revisión por la dirección debe ser

información documenta que debe estar al alcance del equipo
auditor con el fin de poder establecer conformidad.

Abril 2020 - Rev.00
MEJORA
▪ 10.1 No conformidad y acción correctiva

EL CONTENIDO
▪ 10.2 Mejora continua
DE ESTA
CLAUSULA

Abril 2020 - Rev.00
MEJORA - No Conformidad y acción correctiva

Evidencias de un modelo o método para tratar NC
Detección de una Adopción NO

INICIO FIN
No conformidad de AC?
SI
Tomar acciones Registro
Plan de acción:
inmediatas
➢ Tareas
➢ Responsables Actualización de
➢ Plazos Planes y
Investigación de ➢ Costes Estrategias SGCN
las causas ➢ Otros
Registro NO Plan de SI
acción FIN
eficaz?

Abril 2020 - Rev.00
MEJORA - Mejora Continua

Área de Auditoría de Sistemas
Curso de Auditor Interno
Requisitos específicos ISO 22301:2019 – Parte II
Sistema de Gestión de la Continuidad del Negocio
Abril 2020 - Rev.00
(ISO 22301:2019)

Unidad 14 Auditor Interno 22301 Parte II

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Unidad 14 Auditor Interno 22301 Parte II

Cargado por

Copyright:

Formatos disponibles

Área de Auditoría de Sistemas

Curso de Auditor Interno

CLAUSULA 7 Requisitos Específicos - Parte II

▪ 7.3 Toma de conciencia

▪ 7.5 Información Documentada

CLAUSULA 7 Requisitos Específicos - Parte II

LA COMPETENCIA ES BÁSICA PARA

CLAUSULA 7 Requisitos Específicos - Parte II

SOPORTE – Toma de Conciencia

CLAUSULA 7 Requisitos Específicos - Parte II

La Noma ISO 22301 busca estandarizar este concepto con el fin de

Muy importante y siempre generalmente se nos pasa, DEFINIR EL

La comunicación ANTES, DURANTE Y DESPUES de un evento

CLAUSULA 7 Requisitos Específicos - Parte II

SOPORTE - Información Documentada

▪ Identificar la información documentada

Son las reglas de control de los documentos del sistema de Gestión.

Esta información debe estar disponible para verificar su

CLAUSULA 8 Requisitos Específicos - Parte II

▪ 8.1 Planificación y control operacional

CLAUSULA 8 Requisitos Específicos - Parte II

OPERACIÓN - Planificación y Control Operacional

El ciclo operativo de ISO 22301

CLAUSULA 8 Requisitos Específicos - Parte II

OPERACIÓN - Análisis de Impacto de Negocio y Evaluación de riesgos

De acuerdo a la naturaleza y Eelmentos para poder definir una

Por cada Nivel existen criterios

CLAUSULA 8 Requisitos Específicos - Parte II

OPERACIÓN - Estrategia y soluciones de continuidad del negocio

CLAUSULA 8 Requisitos Específicos - Parte II

OPERACIÓN - Planes y procedimientos de continuidad del negocio

Proveedores BUSCAR EVIDENCIAS DE QUE LOS

Trabajadores LA ORGANIZACIÓN TIENE QUE

CLAUSULA 8 Requisitos Específicos - Parte II

OPERACIÓN - Programa de ejercicios

ISO 22301 pide ▪ ENSAYO

Si no surge algún evento Cambios y

CLAUSULA 9 Requisitos Específicos - Parte II

▪ 9.1 Seguimiento, medición análisis y evaluación

CLAUSULA 9 Requisitos Específicos - Parte II

▪ El establecimiento de métricas adecuadas a las necesidades de la

CLAUSULA 9 Requisitos Específicos - Parte II

La evidencia presentada puede ser el

CLAUSULA 9 Requisitos Específicos - Parte II

EVALUACIÓN DE DESEMPEÑO - Auditoría Interna

Consideraciones generales para

CLAUSULA 9 Requisitos Específicos - Parte II

EVALUACIÓN DE DESEMPEÑO - Revisión por la dirección

CLAUSULA 9 Requisitos Específicos - Parte II

EVALUACIÓN DE DESEMPEÑO - Revisión por la dirección

Los resultados de la revisión por la dirección debe ser

CLAUSULA 10 Requisitos Específicos - Parte II

▪ 10.1 No conformidad y acción correctiva

CLAUSULA 10 Requisitos Específicos - Parte II

MEJORA - No Conformidad y acción correctiva

Detección de una Adopción NO

CLAUSULA 10 Requisitos Específicos - Parte II

MEJORA - Mejora Continua

También podría gustarte