Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Continuidad de Negocio
1
La Norma ISO 22301 Continuidad de Negocio
2
Índice
1 Introducción ............................................................................................................................................................ 3
2 Continuidad de Negocio ................................................................................................................................. 4
3 Instituto de Continuidad de Negocio ....................................................................................................... 5
4 Norma ISO 22301 (Requisitos)...................................................................................................................... 9
5 Cumplimiento de los Requisitos Legales. Normas del Sistemas de Gestión................ 10
6 Norma ISO 22301 (Implantación) ............................................................................................................... 12
7 Norma ISO 22301 (Auditoria) ....................................................................................................................... 29
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
3
1 Introducción
Si, el BCMS toma el control del negocio cuando se activan los planes de respuesta a
incidentes del mismo, esto no ocurre ni el QMS ni en el RMS. Cuando se activan los planes
de contingencia la actividad del negocio está detenida en todo o en parte y el objetivo es
reanudarla y para eso hay que confiar en todo el trabajo realizado en la construcción del
BCMS y permitir que su estructura de respuesta tome el control , en esta situación la
representación del negocio (CEO, Consejero delegado, …) quedan relegados a las funciones
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
4
que el BCMS les marca, como por ejemplo elegir entre las estrategias de recuperación que
definieron previamente o representar la imagen de marca frente a la opinión pública.
Existe una norma internacional ISO 22301, que sirve para que las organizaciones puedan
utilizarla como guía de implantación de un BCMS y que les permita obtener un certificado
que acredite su cumplimiento. Ésta norma evoluciono de una norma anterior BS 27999 y
ambas están basadas en los principios del Instituto de Continuidad de Negocio (Business
Continuity Institute, BCI).
2 Continuidad de Negocio
Una de las principales características de los programas de BCM exitosos es que son
propiedad y están totalmente integrados en un proceso de gestión integrado en la
organización. Las consecuencias de BCM se consideran en todas las etapas del proceso de
desarrollo de nuevos proyectos y son parte del proceso de control de cambios.
"Un proceso de gestión integral que identifica las amenazas potenciales a la organización y
el impacto de las operaciones comerciales que dichas amenazas, si se realizan, pueden
causar y que proporciona un marco para crear flexibilidad organizativa y la capacidad para
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
5
dar una respuesta efectiva que protege los intereses de las principales partes interesadas, la
reputación, y las actividades de creación de valor y marca.
La Alianza BCI (BCI Partnership) se inició en 2007 para permitir a las organizaciones trabajar
más estrechamente con el Instituto de Continuidad de Negocio para transmitir la misión
general de BCI de:
La función más amplia del BCI y la Alianza BCI es promover los más altos estándares de
competencia profesional y ética comercial en la prestación y el mantenimiento de los
servicios y planificación de continuidad del negocio.
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
6
(BCM) a un nivel alto y consistente. El BCI tiene más de 4500 miembros en más de 85
países.
Si bien los procesos de continuidad del negocio pueden cambiar dependiendo del tamaño,
las estructuras y las responsabilidades de la organización, los principios básicos siguen
siendo exactamente los mismos para las organizaciones voluntarias, privadas o del sector
público, independientemente de su tamaño, alcance o complejidad.
Una BCM sana se asegurará de que las metas y objetivos comerciales de la organización no
se vean afectados debido a interrupciones inesperadas. La BCM es complementaria a un
marco de gestión de riesgos. Mientras que la gestión de riesgos pretende gestionar el
riesgo en torno a productos y servicios clave, la BCM identifica aquellos productos y
servicios de los que depende la organización para su supervivencia y puede identificar lo
que es necesario para que la organización continúe cumpliendo con sus obligaciones. La
BCM puede reconocer qué es lo que hay que hacer antes de que ocurra un incidente para
proteger:
personas;
Instalaciones;
Tecnología;
Información;
Cadena de suministro;
Partes interesadas,
Y reputación.
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
7
Con este reconocimiento, la organización puede tener una visión realista de las respuestas
que puedan ser necesarias cómo y cuando se produce una interrupción sin un retraso
inaceptable en la entrega de sus productos o servicios.
Un mejor perfil de riesgo para las aseguradoras, lo que resulta en una reducción
de las primas de seguros.
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
8
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
9
Una de las fortalezas de la norma ISO 22301 es que la estructura de la Norma se asemeja
mucho a la de las normas internacionales vigentes.
El Conjunto de normas ISO 9000 del Sistema de Gestión de Calidad establece los requisitos
y directrices fundamentales para la implementación, operación y mejora del rendimiento de
los sistemas de gestión de calidad eficaz.
Sistemas de gestión ambiental ISO 14001. La especificación con orientación para su uso
establece los requisitos para los sistemas de gestión ambiental y contiene una guía para la
aplicación de los requisitos.
Se trata de una Norma a ser utilizada por los organismos de acreditación (por ejemplo:
UKAS), con el fin de evaluar los organismos de certificación de los sistemas de gestión (SGS,
BSI, BVQI, LRQA, etcétera).
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
10
Los auditores que realizan las auditorías sobre BCMS y los sistemas integrados de gestión
tendrán que ser conscientes de las normas apropiadas y los requisitos legales de los
respectivos países donde se lleven a cabo los controles. En este sentido, hay una diferencia
significativa entre el cumplimiento de los requisitos legales y la conformidad con las
normas.
Cuando una organización no cumple con los requisitos legales, esta podrá ser objeto de
enjuiciamiento. Si la BCMS de una organización no cumple con la norma ISO 22301, la
certificación de terceros podrá retirarse, pero la organización no estará sujeta a
enjuiciamiento.
Los auditores que realizan las auditorías de BCMS identifican, mediante pruebas, las áreas
de conformidad e inconformidad con la norma ISO 22301, a través de sus sistemas de
información formales. Si existen pruebas de inconformidad respecto a los requisitos legales,
se recomienda informarlo a la dirección de la organización, que tiene la responsabilidad de
tomar las medidas apropiadas a través de sus controles del sistema de gestión
correspondiente.
Cuando los auditores están debidamente capacitados y realizan las auditorías del sistema
de gestión integrado, tienen la obligación de informar sobre el cumplimiento de los
requisitos legales y la conformidad con las normas respecto a las pruebas de auditoría.
Es evidente que la naturaleza cíclica dinámica de BCM especificada en la norma ISO 22301
conducirá a la mejora continua de la eficacia de la BCM de una organización. Este proceso
interactivo se encuentra en el esquema del sistema establecido en la norma ISO 22301 y se
basa en el ciclo de calidad de Deming.
Planificar
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
11
Establecer una política de continuidad de negocio, los objetivos, metas, controles, procesos
y procedimientos pertinentes para mejorar la continuidad del negocio con el fin de ofrecer
resultados que coincidan con las organizaciones políticas y los procedimientos generales.
Hacer
Verificar
Actuar
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
12
Para establecer un BCMS basado en la norma ISO 22301, la organización debe seguir el
ciclo Planificar, Hacer, Verificar y Actuar:
El primer paso es que la organización determine los asuntos internos y externos que son
relevantes para su propósito y que afectan la capacidad de la organización para lograr el
resultado esperado de su BCM.
Planificar
Establecer las políticas y los objetivos para la gestión de continuidad del negocio.
Hacer
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
13
Verificar
Actuar
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
14
La norma ISO 22301:2012 establece los requisitos para que un BCMS permita a una
organización controlar su gestión de continuidad del negocio y mejorar su eficacia.
La norma ISO 22301 también pueden utilizarla partes internas y externas, incluyendo
organismos de certificación para evaluar la capacidad de una organización para cumplir sus
propias necesidades de continuidad del negocio, así como las necesidades legales o
reglamentarias de cualquier cliente.
La organización tendrá que determinar las cuestiones internas y externas que son
relevantes para su propósito y que afectan su capacidad de lograr los resultados previstos
de su BCMS y para asegurar que la BCM está alineada con los objetivos, las obligaciones
legales y estatutarias de la organización.
La organización debe:
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
15
El ámbito de aplicación debe ser coherente con el análisis de impacto realizado por la
organización y adecuada al tamaño, la naturaleza y el grado de complejidad de la
organización.
La alta dirección y otros directivos deben demostrar su liderazgo con respecto al BCMS y
en particular, su compromiso con la mejora continua de la BCM. Una forma de hacerlo es
mediante el establecimiento de una política del BCMS.
La norma ISO 22301 hace hincapié en que la organización debe desarrollar una política de
continuidad del negocio, que establezca los objetivos de la BCM. En un principio, esta
puede ser una declaración de intención de alto nivel que se mejora y aumenta a medida
que se desarrolla la capacidad.
La política debe revisarse periódicamente, junto con las estrategias, los planes y la solución
a las necesidades de la organización.
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
16
La política define el compromiso de gestión para cuestiones clave del BCMS y, al hacerlo,
no solo proporciona orientación para el sistema, sino que también proporciona una
"responsabilidad final".
La política debe proporcionar el marco para la mejora continua del BCMS. Por lo general, la
política indica las áreas específicas o críticas donde se busca la mejora continua.
Funciones y responsabilidades
Junto con la autoridad definida y las responsabilidades asociadas, debe incluir la capacidad
de actuar cuando sea necesario. Esto también se definirá dentro del BCMS, tanto en
términos de la organización como de los recursos disponibles.
También es útil definir un plan de las zonas geográficas de responsabilidad para ciertos
administradores, con el fin de asegurarse de que todo el sitio está cubierto. Esto será
especialmente útil cuando se define el programa de auditoría de la organización.
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
17
Entre ellos se incluyen los recursos necesarios para determinar, establecer, implementar y
mantener el BCMS, teniendo en cuenta la necesidad de que el BCMS incluya los requisitos
legales y reglamentarios, y las obligaciones y compromisos contractuales con los clientes y
las partes interesadas.
Deben proporcionarse los recursos para identificar y abordar los requisitos legales y
reglamentarios y las obligaciones contractuales; mantener una adecuada continuidad del
negocio por la correcta aplicación de todos los controles.
Deben proporcionarse los recursos para llevar a cabo las revisiones del BCMS, a fin de
reaccionar de manera adecuada a los resultados de estas revisiones y mejorar
continuamente la eficacia del BCMS.
La Norma exige que se determinen las competencias para dicho personal. En los casos que
se identifique, debe proporcionarse capacitación para asegurar que se logra la competencia
necesaria, así como los registros de educación, formación, habilidades, experiencia y
certificaciones.
Esta cláusula tiene por objeto garantizar que la organización incorpora la continuidad del
negocio en las operaciones de rutina y los procesos de gestión. Esto es
independientemente del tamaño de la organización o el sector en el que opera.
Esta cláusula requiere que la organización determine qué y cómo se administrarán las
comunicaciones del BCMS, tanto para las partes internas como externas.
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
18
La estrategia de BCM;
Programa de sensibilización;
Programas de formación;
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
19
La estrategia de BCM;
Programa de sensibilización;
Programas de formación;
La organización debe mantener los registros de las pruebas de conformidad con los
requisitos y para determinar la eficacia del BCMS.
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
20
Todos los documentos del sistema de gestión deben ser controlados. Debe existir un
procedimiento documentado para asegurar esto.
título;
número;
estado de emisión;
autoridad de la aprobación;
autoridad emisora;
fecha de emisión.
actualizado (documentos);
legible;
comprensible;
trazado lógicamente;
adecuado;
completo;
disponible (documentos);
recuperable (registros).
Para que cumpla con la norma ISO 22301, la organización debe proporcionar evidencia de la
eficacia del BCMS. Como se señaló anteriormente, es posible que esto no dependa
necesariamente de procedimientos y registros documentados, salvo cuando la Norma lo
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
21
Operación
Las principales actividades operacionales del BCMS están cubiertos en virtud de la cláusula
8, Operación. Este es el componente Hacer del ciclo PDCA.
El BIA es un componente esencial de cualquier plan de continuidad del negocio. Una de las
premisas básicas del BIA es que cada uno de los componentes de la organización depende
de la continuación del funcionamiento de cada uno de los otros componentes, pero que
algunos de ellos son más importantes que otros y requieren una mayor asignación de
fondos a raíz de un desastre.
Por ejemplo, una organización puede continuar más o menos normalmente si la cafetería
tiene que cerrar, pero quedaría completamente inactiva si se bloquea el sistema de
información.
El objetivo de BIA es determinar y documentar el impacto que una interrupción podría tener
sobre los productos y servicios más importantes de la organización.
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
22
La organización debe:
evaluar, con el paso del tiempo, los efectos que se producirían si se interrumpe
una actividad;
El BIA debe incluir una estimación de los recursos que cada actividad debe recuperar o que
necesitan "volver a agilizarse".
Los pasos que la organización debe seguir para poner en marcha el BIA. Estos son:
1 Recopilación de datos
Cuestionario
Entrevistas
Taller
2 Análisis de datos
Realizar un análisis de los datos para establecer la criticidad y las prioridades, etcétera.
La evaluación del impacto que apoya estas actividades a través del tiempo.
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
23
Necesidades de recursos.
Requisitos de recuperación.
Apetito de Riesgo
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
24
cambiar la probabilidad;
Las opciones dependerán del período máximo tolerable de interrupción de las actividades
críticas y los gastos de ejecución de las estrategias contra el costo de no hacer nada.
personas;
datos e información;
transporte,
finanzas,
socios y proveedores
La alta dirección deberá aprobar cualquier estrategia apropiada para lograr los objetivos de
la organización para una interrupción particular.
Planes
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
25
El BCMS puede requerir dos tipos de planes para reanudar o recuperar las operaciones a un
estado "normal":
objetivo;
alcance;
funciones y responsabilidades;
Un proceso para poner fin al estado de alerta una vez que el incidente ha
finalizado.
La organización puede diseñar un IMP para gestionar la fase inicial de un incidente. Si este
es el caso, el IMP debe:
ser flexible;
factible;
pertinente;
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
26
Los BCP se aplican, en su totalidad o en parte, para apoyar las actividades críticas
necesarias para cumplir los objetivos de la organización, en cualquier etapa de la respuesta
a un incidente.
Un buen BCP debe contener un plan de acción o en la lista de tareas, que incluye:
comunicación de la información;
requisitos de recursos.
Los acuerdos de BCM deben validarse a través del ejercicio y revisarse para asegurarse de
que están al día y son relevantes.
Los planes no pueden considerarse fiables hasta que se realizan las pruebas y ejercicios y
se ha demostrado que son viables. Realizar los ejercicios debe incluir: validación de los
planes; ensayar con todo el personal (con el tiempo) para que sea totalmente eficaz, y los
sistemas de evaluación, que se recurre para ofrecer resistencia (p.ej. alimentación eléctrica
ininterrumpida). La frecuencia de los ejercicios dependerá de la organización, pero debe
tener en cuenta que la tasa de cambio (en la organización o el perfil de riesgo), y los
resultados de los ejercicios anteriores (si se han identificado debilidades propias y se han
realizado cambios).
Ejercicios y pruebas
ser planificados;
ser realistas;
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
27
La organización debe utilizar métodos adecuados para supervisar los procesos del BCMS.
Estos métodos deben demostrar la capacidad de los procesos para alcanzar los resultados
planificados.
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
28
Revisión de la gestión
Por lo general, las actividades de revisión de la gestión comprenden una reunión para
revisar los datos y los temas que prepara el representante de la dirección (ver cláusula 5.2
de la Norma ISO 2301), aunque la Norma no requiere la realización de una "reunión". El
proceso de revisión suele tratar temas tales como:
periodicidad de la revisión;
responsabilidades;
métodos;
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
29
La cláusula 10 de la Norma ISO 22301 requiere que la mejora continua de la eficacia del
BCMS tenga lugar a través de:
la revisión de la dirección;
Proceso de certificación
La auditoría de la certificación inicial del sistema de gestión se lleva a cabo en dos etapas:
Etapa 1 y Etapa 2.
Etapa 1 de Auditoría
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
30
Para la mayoría de los sistemas de gestión, por lo menos una parte de la auditoría Etapa 1
debe llevarse a cabo en las instalaciones del cliente, con el fin de lograr los objetivos
mencionados anteriormente.
Etapa 2 de Auditoría
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
31
Vínculos entre los requisitos normativos, las políticas, planes y estrategias, los
requisitos legales aplicables, las responsabilidades, las competencias del personal,
las operaciones, los procedimientos, los datos de rendimiento y resultados y las
conclusiones de la auditoría interna.
Auditoría de vigilancia
Estas son "mini" auditorías para revisar la eficacia continua del sistema de gestión de una
organización registrada. Las visitas de vigilancia se celebran de forma regular durante el
período en que una organización está registrada. La duración de la auditoría es más corta
que una auditoría inicial y tiende a centrarse en una parte determinada del sistema global.
Por lo tanto, un organismo de certificación es capaz de observar los procesos o áreas
específicos con mayor profundidad. Durante el período de inscripción, la intención es que
el conjunto del sistema de gestión de una organización se haya auditado de esta manera.
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
32
Las auditorías de seguimiento se llevan a cabo al menos una vez al año. La fecha de la
primera auditoría de seguimiento después de la certificación inicial es al menos 12 meses a
partir del último día de la Etapa 2 de auditoría.
Las visitas de seguimiento también pueden formar parte de un programa de auditoría del
proveedor.
Tanto la Norma ISO/IEC 17021 como la Norma ISO 19011 establecen el comportamiento
personal y las competencias que necesita un auditor.
Atributos personales
ético;
diplomático;
colaborador;
observador;
perceptivo;
versátil;
tenaz;
decidido;
autosuficiente;
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
33
profesional;
moralmente valiente;
susceptibles a la mejora;
culturalmente sensible;
colaborador.
Competencia
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
34
Las normas del sistema de gestión u otros documentos utilizados como criterios
de auditoría.
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
35
contratación y responsabilidad.
BCMS y conocimientos y habilidades específicos del sector de los auditores del sistema de
gestión
Los auditores deben tener el BCMS apropiado y los conocimientos y destrezas específicas
del sector para la auditoría.
No es necesario que cada auditor en el equipo de auditoría tenga las mismas capacidades;
sin embargo, la competencia general del equipo de auditoría debe ser suficiente para lograr
los objetivos de la auditoría.
El BCMS y los conocimientos y habilidades específicos del sector para los auditores
incluyen los siguientes:
Requisitos legales relacionados con el sector, de tal forma que el auditor esté
consciente de los requisitos propios de la jurisdicción y las obligaciones,
actividades y productos de la entidad auditada.
Los detalles y requisitos de la evaluación inicial y continua de los auditores y los jefes del
equipo de auditoría se presentan en las normas ISO 17021 e ISO 19011.
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
36
DEFINICIÓN
La Norma ISO/IEC 17021 Evaluación de la conformidad: los requisitos para los organismos
que realizan la auditoría y proporcionan la certificación de los sistemas de gestión establece
los requisitos para que los organismos de certificación evalúen los sistemas de gestión.
requisitos estructurales;
requisitos de información;
PRINCIPIOS DE AUDITORÍA
A fin de garantizar que la auditoría es una herramienta de gestión eficaz y fiable, esta se
basa en una serie de principios fundamentales. Comprender y seguir estos principios
garantizará que las conclusiones de la auditoría son pertinentes y suficientes, y que los
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
37
Principios de auditoría
Integridad
Presentación razonable
Esto obliga a los auditores a presentar informes con veracidad y exactitud. Los hallazgos,
las conclusiones y los informes de auditoría reflejan con veracidad, precisión y
completamente las actividades de auditoría. Cualquier opinión no resuelta o divergente
entre el equipo de auditoría y la entidad auditada y los obstáculos encontrados. La
comunicación debe ser veraz, precisa, objetiva, oportuna, clara y completa.
Confidencialidad
Independencia
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
38
TIPOS DE AUDITORÍA
Primera parte
Segunda parte
Tercera parte
Definición:
Objetivo:
Requisito:
En otras palabras, un auditor puede (y, de hecho, debería), como resultado directo de los
resultados y las oportunidades de mejora en relación con la eficacia del sistema de auditoría
interna de una organización, modificar la planificación de una auditoría que se adapte a
estas conclusiones. El auditor puede obtener información durante una auditoría previa o
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
39
Para lograrlo, es esencial que el auditor externo esté completamente informado en cuanto
al alcance y la aplicación del BCMS de la organización para mantener un "punto de
referencia" constante respecto a las preguntas que realiza. El auditor externo también
requiere del conocimiento de la política, planes y estrategias como un "punto de referencia"
durante el examen del desempeño de la auditoría interna.
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
40
Todos estos principios requieren que las auditorías internas que realiza una organización se
centren en el BCMS y las actividades que controlan los niveles de servicio. En
consecuencia, esto también significa que una organización debe asegurarse de que el
personal que se utiliza para la realización de auditorías internas está capacitado en asuntos
relacionados con la continuidad del negocio en las áreas y actividades que serán
responsables de la auditoría. De lo contrario, es poco probable que el auditor interno pueda
juzgar adecuadamente la eficacia.
Definición:
Objetivo:
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
41
Definición:
Objetivo:
PROGRAMAS DE AUDITORÍA
PLANIFICACIÓN DE LA AUDITORÍA
GENERAL
Para una auditoría de segunda parte, este proceso de planificación puede iniciar a través de
un proceso de licitación o antes de que se adjudique un contrato, o como parte de un
contrato vigente.
Objetivos de auditoría
Dentro del programa general de la auditoría, cada auditoría individual debe basarse en los
objetivos documentados, el alcance y los criterios.
Los objetivos de una auditoría pueden incluir uno o todos los siguientes:
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
42
Alcance de la auditoría
ubicaciones físicas;
unidades de la organización;
la duración de la auditoría.
las políticas;
los procedimientos;
reglamentos;
leyes;
Como consecuencia, cualquier cambio posterior debe acordarse con el cliente, la gestión
del programa de auditoría, y en su caso, la entidad auditada, previa consulta con el auditor.
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
43
Para un cliente importante, con varios o muchos sitios, puede ser apropiado realizar
muestras en los sitios que cubren la misma actividad en diferentes lugares. La razón para el
plan de muestreo debe documentarse para cada cliente.
EL EQUIPO DE AUDITORÍA
Tan pronto como la auditoría se declara viable, debe establecerse la composición del
equipo de auditoría:
El director del programa de auditoría debe nombrar a un jefe del equipo de auditoría con los
conocimientos y habilidades necesarias para alcanzar los objetivos de la auditoría.
El equipo de auditoría estará integrado por un jefe del equipo de auditoría y puede incluir
auditores, auditores en formación y expertos técnicos que trabajan bajo la dirección del jefe
del equipo de auditoría.
Sin embargo, si solo hay un auditor, este debe realizar todas las funciones del jefe del
equipo de auditoría.
Debe prestarse atención a los siguientes aspectos al decidir el tamaño y la composición del
equipo de auditoría:
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
44
Los auditores del equipo seleccionado deben tener conocimiento del sector de actividad en
que se realiza la auditoría y de las cuestiones clave de la organización. Deben ser
conscientes de la cultura y la ética de la organización a ser auditada. Esto es importante
cuando se evalúa el papel proactivo de la integración de la gestión respecto a los objetivos
empresariales, la política y los requisitos del sistema de gestión de continuidad del negocio.
El jefe del equipo de auditoría debe tener los conocimientos y las aptitudes y proporcionar
liderazgo para el equipo de auditoría, a fin de facilitar la realización eficaz y eficiente de la
auditoría. El jefe del equipo de auditoría debe tener los conocimientos y habilidades
necesarias para realizar las siguientes acciones:
a) Equilibrar las fortalezas y debilidades de los distintos miembros del equipo de auditoría.
b) Desarrollar una relación de trabajo armoniosa entre los miembros del equipo de auditoría.
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
45
El jefe del equipo de auditoría debe asignar a cada uno de los miembros del equipo de
auditoría, los procesos, las funciones, sitios, áreas y actividades de los sistemas de gestión
específicos.
La asignación de tareas debe darse a conocer a la organización que está siendo objeto de
una auditoría. El equipo de auditoría:
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
46
Si el equipo descubre evidencia que indica que no pueden cumplirse los objetivos de la
auditoría o sugiere la presencia de un riesgo inmediato y significativo (por ejemplo,
seguridad), el jefe del equipo debe informar a la entidad auditada. Es preciso tomar
medidas que pueden incluir la confirmación o modificación del plan de auditoría, los
cambios en los objetivos de la misma o el alcance de la auditoría o su terminación.
El Jefe del equipo debe revisar con el cliente cualquier necesidad de cambio en el alcance
de la auditoría, que se hace evidente a medida que progresan las actividades de auditoría
en el sitio.
En las reuniones, los auditores deben seguir siendo educados, tranquilos y profesionales en
todo momento.
Deben:
presentarse;
cumplir la agenda;
mantener el control;
evitar discusiones;
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
47
La auditoría de la certificación inicial del sistema de gestión se lleva a cabo en dos etapas:
Etapa 1 y Etapa 2.
Etapa 1 de auditoría
b) Evaluar la ubicación del cliente y las condiciones específicas de cada sitio e iniciar
conversaciones con el personal del cliente para determinar su grado de preparación
para la Etapa 2 de auditoría.
Para la mayoría de los sistemas de gestión, la norma ISO 17021 recomienda que por lo
menos una parte de la Etapa 1 de auditoría deba llevarse a cabo en las instalaciones de la
entidad auditada, con el fin de lograr los objetivos mencionados anteriormente.
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
48
auditoría se documentan y envían al cliente. Estos deben incluir la notificación de todas las
áreas de interés que pueden clasificarse como inconformidad durante la Etapa 2 de
auditoría.
EL PLAN DE AUDITORÍA
El jefe del equipo de auditoría debe preparar un plan para las actividades de auditoría en el
sitio. El plan debe proporcionar la información necesaria para el equipo de auditoría, la
entidad auditada y el cliente de auditoría. Debe permitir la planificación y la coordinación de
las actividades de auditoría. Un ejemplo de un plan de auditoría proforma se establece en
el Apéndice 9.
los riesgos para la organización creada por la auditoría; por ejemplo, la presencia
del equipo de auditoría influye en la salud y la seguridad, el medio ambiente y la
amenaza a los productos, servicios, el personal o a la infraestructura de la
entidad auditada.
las fechas y los lugares donde se realizan las actividades de auditoría en el sitio;
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
49
Las objeciones por parte de la entidad auditada deben resolverse entre el jefe del equipo
de auditoría, la entidad auditada y el cliente de auditoría antes de continuar con la auditoría.
El plan de auditoría debe ser lo suficientemente flexible para permitir cambios, tales como
los cambios en el énfasis que pueden ser necesarios a medida que avanzan las actividades
de auditoría en el sitio. Cualquier itinerario de auditoría revisado será acordado entre las
partes interesadas, antes de continuar con la auditoría.
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
50
el sitio de Recuperación de desastres (DR, por sus siglas en inglés) debe visitarse
durante la auditoría inicial y al menos una vez durante cada ciclo de certificación;
debe prepararse un plan de muestreo o plan del proyecto para múltiples sitios;
ETAPA 2 DE AUDITORÍA
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
51
La información recopilada durante la auditoría será verificada por los auditores y luego
puede considerarse como "evidencia de auditoría".
Evidencia de auditoría
Registros, declaraciones de hechos o cualquier otra información que sea pertinente para los
criterios de auditoría y pueda verificarse.
personas;
procesos;
documentación.
entrevistas;
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
52
También debe recopilarse información relacionada con las interfaces entre las funciones,
actividades y procesos.
La evidencia de auditoría obtenida durante una auditoría inevitablemente será solo una
muestra de la información disponible, ya que una auditoría se lleva a cabo durante un
periodo limitado de tiempo y con recursos limitados. Existe, pues, un elemento de
incertidumbre inherente en todas las auditorías, y la atención de los usuarios de las
conclusiones de la auditoría deben dirigirse a esta incertidumbre.
Muestreo
Un auditor no puede entrevistar a cada persona, observar cada actividad o tarea, examinar
todos los documentos y registros; simplemente no hay tiempo para ello. Una auditoría
debe basarse en el muestreo de evidencia suficiente para poder establecer, con confianza,
el grado de conformidad demostrado en el proceso de revisión.
El objetivo del muestreo de auditoría es proporcionar información para que el auditor tenga
confianza de que los objetivos de la auditoría pueden alcanzarse o se alcanzarán.
El riesgo asociado con el muestreo es que las muestras pueden no ser representativas de la
población de la cual se seleccionan, y por lo tanto, la conclusión del auditor puede estar
sesgada y ser diferente a la que se alcanzaría si se examinara toda la población. Puede
haber otros riesgos en función de la variabilidad dentro de la población objeto de muestreo
y el método elegido.
En la toma de muestras, se debe tener en cuenta la calidad de los datos disponibles, ya que
el muestreo de datos insuficientes y la inexactitud de los datos no proporcionan un
resultado útil. La selección de una muestra adecuada debe basarse en el método de
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
53
SESIÓN DE APERTURA
establecer comunicación.
La reunión será presidida por el Jefe del equipo de auditoría y los siguientes elementos se
considerarán, según proceda:
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
54
mantener el control.
Después de la sesión de apertura, los auditores podrán solicitar un breve recorrido por las
instalaciones para familiarizarse con el diseño de la organización.
Las sesiones de apertura de las auditorías internas pueden ser menos formales. Las guías,
los representantes, las sesiones formales de apertura y clausura pueden no ser necesarios
para la realización de auditorías internas.
REALIZACIÓN DE LA AUDITORÍA
buena planificación;
preparación.
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
55
hay una causa justa para la queja sobre la conducta del auditor;
Las auditorías siempre implican la realización de entrevistas y, por tanto, es una experiencia
personal para ambas partes.
atacada;
aprensiva;
nerviosa;
amenazada;
enojada;
estresado;
irritable;
cómodo;
cortante;
curioso;
cansado;
amable y educado;
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
56
no amenazante;
capaz de escuchar.
las presentaciones;
la sonrisa de saludo;
la charla;
El auditor debe tratar a la entidad/persona auditada como les gustaría ser tratados.
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
57
El auditor debe tratar de entender por qué se sienten de esa manera, por ejemplo:
¿Tomar un descanso?
¿Entendió mal?
CONTROL DE LA AUDITORÍA
NO:
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
58
SÍ:
esté preparado;
sea puntual;
felicite.
El auditor debe estar preparado y ser conscientes de una serie de posibles incidencias en el
curso de la auditoría. Por ejemplo:
faltan personas;
faltan documentos;
casos especiales;
chantaje emocional.
Cuando la auditoría se completa, el Jefe del equipo de auditoría debe llevar a cabo una
revisión privada de los resultados con los miembros del equipo de auditoría. También
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
59
puede ser necesario realizar revisiones provisionales o al final del día. La revisión incluirá a
todos los miembros del equipo de auditoría.
La revisión incluirá:
Un estudio de las notas y/o la comparación de las notas con los miembros del
equipo.
RESULTADOS DE LA AUDITORÍA
inconformidad;
no conformidad;
incumplimiento;
El incumplimiento de un requisito.
Las disconformidades deben ser registrados y apoyada por evidencia de auditoría. Las
disconformidades deben revisarse con un representante apropiado de la entidad/persona
auditada para obtener el reconocimiento de la evidencia de auditoría. El reconocimiento del
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
60
A veces, durante una auditoría, el auditor puede identificar una deficiencia que luego la
dirección resuelve de manera efectiva, antes de la sesión de clausura. En una situación
como esta, siempre y cuando el auditor está convencido de que la cuestión ha sido
resuelta, no debe plantearse formalmente en la sesión de clausura. El auditor debe hacer
un registro para verificar que las acciones emprendidas se han completado y son
aceptables.
DECLARACIÓN DE RESULTADOS
descripción de la disconformidad;
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
61
Ejemplo 1:
No hay evidencia de que los empleados sean competentes para llevar a cabo sus tareas de
BCM. Los empleados no recibieron capacitación sobre los PIM y BCP para realizar las tareas
necesarias. El procedimiento ABC-OO-XX indica diversos requisitos de formación para
diferentes funciones, sujeto a su papel en el sistema de gestión de continuidad del negocio
y responsabilidad, estos aún no se han implementado.
Ejemplo 2:
Este es un formulario que utilizan muchas organizaciones. Se utiliza para describir una
disconformidad o incumplimiento y solicitar una acción. También puede conocerse como
Informe de disconformidades, Aviso de incumplimiento, etcétera.
informar disconformidades;
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
62
declaración de resultados.
Mayor
Menor
CAR Mayor
una situación que plantea una duda importante sobre la capacidad del sistema
de gestión para lograr sus resultados previstos.
CAR Menor
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
63
La clasificación de las CAR se basa en el buen juicio, la práctica y la experiencia del auditor
y puede tener consecuencias de gran alcance.
Si surge durante la auditoría de vigilancia, la CAR Mayor puede dar lugar a que se retire el
Certificado si no se corrige el problema.
Una CAR menor permite proceder con el certificado. La medida correctiva adoptada, por lo
general, se verifica en la siguiente visita de vigilancia.
En las auditorías de segunda parte, una CAR mayor puede derivar en que se retiren, no se
concedan o dejen de renovarse los contratos.
Las CAR menores suelen corregirse y verificarse según lo acordado entre las dos
organizaciones.
OPORTUNIDADES DE MEJORA
las áreas de preocupación que aún no son lo suficientemente graves como para
justificar las CAR;
las situaciones que si no se resuelven puede dar lugar a las CAR en una fecha
posterior;
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
64
las deficiencias para las que el auditor está dispuesto a dar el "beneficio de la duda" a
la organización;
Debido a que las oportunidades de mejora pueden agregar valor a una auditoría, muchas
organizaciones las consideran de la misma manera que las CAR; es decir, las medidas
adoptadas en respuesta a las oportunidades de mejora se revisan y evalúan durante futuras
auditorías.
Conclusión de la auditoría
Sesión de clausura
Una sesión de clausura, presidida por el jefe del equipo de auditoría, debe realizarse con la
dirección de la entidad/persona auditada y los responsables de las funciones auditadas.
Deben mantenerse registros de asistencia en la sesión de clausura. El objetivo de esta
reunión es presentar los resultados y las conclusiones de la auditoría, de manera que se
garanticen que la entidad/persona auditada los entiende y reconoce, y para acordar el
tiempo en el que la entidad/persona auditada presentará un plan de acción correctiva.
Para la realización de auditorías internas, este puede ser un proceso informal. La reunión ha
de ser constructiva y encaminada a mejorar el sistema, especialmente debido a que el
auditor y la persona auditada trabajan para la misma organización y tienen los mismos
objetivos.
Para una sesión de clausura de una segunda parte se necesita mucho más cuidado, ya que
los contratos en juego y los informes se pueden utilizar como referencia en el futuro. Se
trata de una situación delicada y el auditor debe estar preparado para que la
entidad/persona auditada haga preguntas acerca de sus conclusiones.
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
65
Una sesión de clausura de una tercera parte es generalmente muy formal. El auditor debe
ser consciente de que la organización es el cliente y, por lo tanto, espera una presentación
de resultados amplia, detallada y constructiva.
La agenda de una sesión de clausura variará según el tipo de auditoría realizada, pero la
siguiente lista, que no es ni exhaustiva ni prescriptiva, contiene los elementos típicos de una
sesión de clausura del programa:
recalcar la confidencialidad;
agradecer al cliente;
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
66
INFORMES DE LA AUDITORÍA
resultados de la auditoría.
la duración de la auditoría;
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
La Norma ISO 22301 Continuidad de Negocio
67
recomendaciones de mejora.
FINALIZACIÓN DE LA AUDITORÍA
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.