Clase Iso22301

La Norma ISO 22301
Continuidad de Negocio
© 2018 Instituto Europeo de Posgrado
1
La Norma ISO 22301 Continuidad de Negocio
2
Índice
1 Introducción ............................................................................................................................................................ 3
2 Continuidad de Negocio ................................................................................................................................. 4
3 Instituto de Continuidad de Negocio ....................................................................................................... 5
4 Norma ISO 22301 (Requisitos)...................................................................................................................... 9
5 Cumplimiento de los Requisitos Legales. Normas del Sistemas de Gestión................ 10
6 Norma ISO 22301 (Implantación) ............................................................................................................... 12
7 Norma ISO 22301 (Auditoria) ....................................................................................................................... 29
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
3
1 Introducción
Según el glosario de términos de la Norma ISO 22301, la continuidad del negocio es la

Capacidad de la organización para continuar realizando la entrega de productos o servicios
a niveles predefinidos aceptables después de un incidente disruptivo.
En otras palabras, la Continuidad de Negocio, es la disciplina que toma el control de la

situación cuando han fallado todos los sistemas de control, nuestra actividad esta
interrumpida y el negocio está en peligro de morir. Un Sistema de Gestion de la Continuidad
de Negocio (Business Continuity Management Sistem BCMS), debe de estar preparado para
tomar el control de la situación cuando el resto de salvaguardas de la organización se ven
impotentes para resolver la situación disruptiva y reanudar la actividad.
El primer nivel de control es nuestro Sistema de Gestión de Calidad (Quality Management

Sistem QMS), que se preocupa de que nuestra actividad de negocio cumpla con los
requisitos del cliente y se gestione de forma adecuada la cadena de suministro para que
nuestra actividad de negocio fluya hacia nuestros clientes sin interrupción.
El segundo nivel de control lo defiende nuestro Sistema de Gestión de Riesgos (Risk

Management Sistem RMS) que, en base a las amenazas y vulnerabilidades identificadas en
los procesos de nuestro negocio, analiza los riesgos y establece unos controles para evitar
que estos riesgos se realicen y puedan afectar a la continuidad del flujo de la actividad del
negocio. Este análisis se basa en el concepto de probabilidad de ocurrencia / Impacto en
caso de ocurrir.
El tercer nivel de defensa debe de ser el Sistema de Gestion de la Continuidad de Negocio

(Business Continuity Management Sistem BCMS) que tomara el control de la situación
cuando los anteriores niveles fallen. Esto ocurrirá cuando el incidente disruptivo venga
producido por un riesgo de muy alto nivel de impacto en la actividad y muy baja
probabilidad de ocurrencia, como por ejemplo un incendio que afecte de forma grave a las
infraestructuras en las que se base la actividad del negocio. Será un incidente al que ni el
QMS ni el RMS podrán hacer frente y en ese momento tomara el control la estructura del
BCMS.
Si, el BCMS toma el control del negocio cuando se activan los planes de respuesta a
incidentes del mismo, esto no ocurre ni el QMS ni en el RMS. Cuando se activan los planes
de contingencia la actividad del negocio está detenida en todo o en parte y el objetivo es
reanudarla y para eso hay que confiar en todo el trabajo realizado en la construcción del
BCMS y permitir que su estructura de respuesta tome el control , en esta situación la
representación del negocio (CEO, Consejero delegado, …) quedan relegados a las funciones
®
4
que el BCMS les marca, como por ejemplo elegir entre las estrategias de recuperación que
definieron previamente o representar la imagen de marca frente a la opinión pública.
Existe una norma internacional ISO 22301, que sirve para que las organizaciones puedan
utilizarla como guía de implantación de un BCMS y que les permita obtener un certificado
que acredite su cumplimiento. Ésta norma evoluciono de una norma anterior BS 27999 y
ambas están basadas en los principios del Instituto de Continuidad de Negocio (Business
Continuity Institute, BCI).
2 Continuidad de Negocio
La Gestión de Continuidad del Negocio (Business Continuity Management, BCM) abarca el

manejo de la recuperación o la continuación de las actividades empresariales en el caso de
cualquier interrupción de negocios, tales como las que causan las inundaciones, los
incendios, las enfermedades pandémicas o las actividades terroristas.
Sin embargo, la BCM no se refiere únicamente a la recuperación de desastres, sino que

trata de evitar el daño a la reputación que puede surgir de cualquier interrupción de
funcionamiento, incumplimiento de los plazos de entrega, clientes insatisfechos y pérdida
financiera directa, que resultan de cualquier interrupción, sin importar cuál sea la causa.
Una de las principales características de los programas de BCM exitosos es que son
propiedad y están totalmente integrados en un proceso de gestión integrado en la
organización. Las consecuencias de BCM se consideran en todas las etapas del proceso de
desarrollo de nuevos proyectos y son parte del proceso de control de cambios.
La BCM no es Planificación para casos de emergencia ni tampoco para Recuperación de

desastres. Es algo que las organizaciones deben realizar como una cuestión de buenas
prácticas comerciales. De hecho, todo el proceso de BCM está diseñado en torno a la
comprensión del negocio de la organización. ¿Cuáles son los riesgos? ¿Cómo afectan a la
empresa y qué puede hacer una organización para manejarlos?
La Gestión de Continuidad del Negocio (BCM) se basa en el principio de que es

responsabilidad fundamental de los directores de la organización asegurar la continuidad
de sus operaciones comerciales en todo momento. Se define en la norma ISO 22301 de la
manera siguiente:
"Un proceso de gestión integral que identifica las amenazas potenciales a la organización y
el impacto de las operaciones comerciales que dichas amenazas, si se realizan, pueden
causar y que proporciona un marco para crear flexibilidad organizativa y la capacidad para
®
5
dar una respuesta efectiva que protege los intereses de las principales partes interesadas, la
reputación, y las actividades de creación de valor y marca.
3 Instituto de Continuidad de Negocio
El Instituto de Continuidad de Negocio (Business Continuity Institute, BCI) se estableció en

1994 para permitir a los miembros individuales obtener orientación y apoyo de sus colegas
profesionales de continuidad de negocio.
La Alianza BCI (BCI Partnership) se inició en 2007 para permitir a las organizaciones trabajar
más estrechamente con el Instituto de Continuidad de Negocio para transmitir la misión
general de BCI de:
Promover el arte y la ciencia de la gestión de continuidad del negocio a nivel mundial
La función más amplia del BCI y la Alianza BCI es promover los más altos estándares de
competencia profesional y ética comercial en la prestación y el mantenimiento de los
servicios y planificación de continuidad del negocio.
Los objetivos principales de BCI son:
 Establecer, mantener y promover altos estándares para la práctica ética de BCM,

incluyendo el suministro de bienes y servicios.
 Establecer y promover una educación de alta calidad y el desarrollo personal de

los profesionales de todos los niveles.
 Definir las competencias profesionales que se esperan de los profesionales de

continuidad del negocio.
 Proporcionar un sistema de certificación reconocido a nivel internacional para los

profesionales de continuidad del negocio.
 Iniciar, desarrollar, evaluar y comunicar las ideas, los estándares y buenas

prácticas de BCM.
 Influir en los encargados de formular políticas, formadores de opinión y otros

interesados en el mundo entero en BCM.
A través de su Sistema de Certificación, el Instituto proporciona estatus reconocidos a nivel

internacional para sus miembros como miembros profesionales del BCI, que demuestra la
competencia de los miembros para llevar a cabo la Gestión de Continuidad del Negocio
®
6
(BCM) a un nivel alto y consistente. El BCI tiene más de 4500 miembros en más de 85
países.
La Gestión de continuidad del negocio (BCM), es un proceso propiedad del negocio y

orientado al negocio que establece un marco estratégico y operativo apto para cada
propósito, que:
 Mejora de forma proactiva, la resistencia de la organización a esa interrupción de

su capacidad para alcanzar objetivos.
 Proporciona un método ensayado de restablecer la capacidad de una organización

para suministrar sus productos y servicios clave a un nivel acordado dentro de un
plazo acordado después de la interrupción.
 Proporciona una capacidad demostrada para gestionar una interrupción del

negocio y proteger la reputación y la marca de la organización.
Si bien los procesos de continuidad del negocio pueden cambiar dependiendo del tamaño,
las estructuras y las responsabilidades de la organización, los principios básicos siguen
siendo exactamente los mismos para las organizaciones voluntarias, privadas o del sector
público, independientemente de su tamaño, alcance o complejidad.
Una BCM sana se asegurará de que las metas y objetivos comerciales de la organización no
se vean afectados debido a interrupciones inesperadas. La BCM es complementaria a un
marco de gestión de riesgos. Mientras que la gestión de riesgos pretende gestionar el
riesgo en torno a productos y servicios clave, la BCM identifica aquellos productos y
servicios de los que depende la organización para su supervivencia y puede identificar lo
que es necesario para que la organización continúe cumpliendo con sus obligaciones. La
BCM puede reconocer qué es lo que hay que hacer antes de que ocurra un incidente para
proteger:
 personas;
 Instalaciones;
 Tecnología;
 Información;
 Cadena de suministro;
 Partes interesadas,
 Y reputación.
®
7
Con este reconocimiento, la organización puede tener una visión realista de las respuestas
que puedan ser necesarias cómo y cuando se produce una interrupción sin un retraso
inaceptable en la entrega de sus productos o servicios.
Toda actividad empresarial está sujeta a interrupciones como fallas en la tecnología,

interrupciones de servicios públicos, incendios, inundaciones y el terrorismo. BCM
proporciona la capacidad de reaccionar adecuadamente ante las interrupciones operativas,
mientras que protege el bienestar y la seguridad.
Una BCM eficaz:
 es capaz de identificar de forma proactiva los efectos de una interrupción de las

operaciones;
 tiene una respuesta eficaz a las interrupciones, lo que minimiza el impacto en la

organización;
 mantiene una capacidad de gestión de riesgos que no pueden asegurarse;
 estimula el trabajo entre equipos;
 puede demostrar una respuesta creíble a través de un proceso de ejercicios;
 puede mejorar su reputación y
 podría obtener una ventaja competitiva, a pesar de la capacidad de mantener la

entrega.
Además, las organizaciones pueden disfrutar de muchos otros beneficios importantes:
 Identificación de toda la organización y la comprensión del proceso crítico del

negocio y el efecto de la interrupción.
 Aumento de los niveles de resistencia y capacidad de recuperación, y la

supervivencia continua de la organización.
 Ventaja sobre los competidores menos flexibles.
 Mensaje positivo comunicado a los medios y a los interesados en condiciones de

crisis.
 Un mejor perfil de riesgo para las aseguradoras, lo que resulta en una reducción
de las primas de seguros.
 Gobierno corporativo del riesgo demostrable.
 Cumplimiento de las expectativas de los organismos reguladores, las

aseguradoras, los socios comerciales y otras partes interesadas.
®
8
 Impacto financiero reducido de los incidentes.
 Activos de información garantizados.
 Mantiene su reputación, o incluso la mejora, al demostrar un enfoque profesional

para gestionar las interrupciones.
 Los servicios esenciales permanecen sin interrupciones, por lo que se mantiene

la experiencia de atención al cliente.
 Los objetivos de la organización se cumplen a través de la capacidad de

gestionar incidentes y evitar las interrupciones en los procesos clave.
 La seguridad laboral se incrementa a través de la creación de una organización

sostenible.
Los resultados de un BCM eficaz son:
 Los productos y servicios más importantes se identifican y protegen para

garantizar su continuidad.
 Se habilita una capacidad de gestión de incidentes para proporcionar una

respuesta eficaz.
 La comprensión que tiene la organización de sí misma y de sus relaciones con

otras organizaciones, los reguladores y los departamentos gubernamentales
correspondientes, las autoridades locales y los servicios de emergencia están
bien desarrollados, documentados y entendidos.
 El personal está capacitado para responder eficazmente a un incidente o

interrupción a través de ejercicios adecuados.
 Se entienden los requisitos de las partes interesadas y se cumplen.
 El personal recibe apoyo y comunicaciones adecuadas en caso de una

interrupción.
 Se garantiza la cadena de suministro de la organización.
 Se protege la reputación de la organización.
 La organización cumple con sus obligaciones jurídicas y reglamentarias.
®
9
4 Norma ISO 22301 (Requisitos)
ISO 22301:2012 establece los requisitos necesarios para un Sistema de Gestión de

Continuidad de Negocio (BCMS) que permiten a una organización establecer, implementar,
operar, supervisar, revisar, ejercer, mantener y mejorar un BCMS documentado dentro del
contexto de los riesgos generales de negocios de la organización.
Es aplicable a cualquier organización, independientemente del tipo, el tamaño y la

naturaleza del negocio. Pero la manera en que se aplica exactamente dentro de una
organización depende de las circunstancias y el entorno.
Una de las fortalezas de la norma ISO 22301 es que la estructura de la Norma se asemeja
mucho a la de las normas internacionales vigentes.
El Conjunto de normas ISO 9000 del Sistema de Gestión de Calidad establece los requisitos
y directrices fundamentales para la implementación, operación y mejora del rendimiento de
los sistemas de gestión de calidad eficaz.
Sistemas de gestión ambiental ISO 14001. La especificación con orientación para su uso
establece los requisitos para los sistemas de gestión ambiental y contiene una guía para la
aplicación de los requisitos.
Tecnología de la información ISO/IEC 27001. Técnicas de seguridad. Sistemas de gestión de

seguridad de la Información. Requisitos. Establece los requisitos para que las organizaciones
desarrollen, establezcan, implementen, operen y supervisen, revisen y mejoren el Sistema
de Gestión de Seguridad de la Información.
Otras normas relevantes incluyen:
 ISO 19011 Directrices para la auditoría de los sistemas de gestión.
 ISO 19011 proporciona información detallada sobre la planificación y ejecución de

la auditoría efectiva. Este Curso se basa en los principios contenidos en las
presentes Directrices.
 ISO/IEC 17021 Evaluación de la conformidad. Requisitos para los organismos que

realizan la auditoría y certificación de sistemas de gestión.
Se trata de una Norma a ser utilizada por los organismos de acreditación (por ejemplo:
UKAS), con el fin de evaluar los organismos de certificación de los sistemas de gestión (SGS,
BSI, BVQI, LRQA, etcétera).
®
10
5 Cumplimiento de los Requisitos Legales. Normas del

Sistemas de Gestión
El desarrollo progresivo de las normas basadas en el cliente y el aumento de la legislación

mundial que involucra al BCMS, así como la calidad, el medio ambiente y los sistemas de
gestión de salud y seguridad ocupacional, centra a las organizaciones en el desarrollo de
sistemas integrados de gestión para abordar los requisitos legales y los sistemas de gestión
basados en procesos.
La aplicación de estos sistemas no conferirá inmunidad respecto a la prosecución o la

responsabilidad de la empresa, pero reducirá significativamente los riesgos si los sistemas
se mantienen de forma eficaz.
Los auditores que realizan las auditorías sobre BCMS y los sistemas integrados de gestión
tendrán que ser conscientes de las normas apropiadas y los requisitos legales de los
respectivos países donde se lleven a cabo los controles. En este sentido, hay una diferencia
significativa entre el cumplimiento de los requisitos legales y la conformidad con las
normas.
Cuando una organización no cumple con los requisitos legales, esta podrá ser objeto de
enjuiciamiento. Si la BCMS de una organización no cumple con la norma ISO 22301, la
certificación de terceros podrá retirarse, pero la organización no estará sujeta a
enjuiciamiento.
Los auditores que realizan las auditorías de BCMS identifican, mediante pruebas, las áreas
de conformidad e inconformidad con la norma ISO 22301, a través de sus sistemas de
información formales. Si existen pruebas de inconformidad respecto a los requisitos legales,
se recomienda informarlo a la dirección de la organización, que tiene la responsabilidad de
tomar las medidas apropiadas a través de sus controles del sistema de gestión
correspondiente.
Cuando los auditores están debidamente capacitados y realizan las auditorías del sistema
de gestión integrado, tienen la obligación de informar sobre el cumplimiento de los
requisitos legales y la conformidad con las normas respecto a las pruebas de auditoría.
Es evidente que la naturaleza cíclica dinámica de BCM especificada en la norma ISO 22301
conducirá a la mejora continua de la eficacia de la BCM de una organización. Este proceso
interactivo se encuentra en el esquema del sistema establecido en la norma ISO 22301 y se
basa en el ciclo de calidad de Deming.
"Planificar / hacer / verificar y actuar”
Planificar
®
11
Establecer una política de continuidad de negocio, los objetivos, metas, controles, procesos
y procedimientos pertinentes para mejorar la continuidad del negocio con el fin de ofrecer
resultados que coincidan con las organizaciones políticas y los procedimientos generales.
Hacer
Implementar y operar la continuidad de las actividades, estrategias y procedimientos del

negocio.
Verificar
Supervisar y evaluar el desempeño respecto a la política de continuidad del negocio,

actividades, estrategias, informe de los resultados a la gerencia para su revisión y
determinar y autorizar las acciones para el saneamiento y mejora.
Actuar
Mantener y mejorar el BCMS, tomando las acciones correctivas y preventivas basadas en

los resultados de la revisión de gestión y volver a evaluar el alcance del BCMS y los
objetivos y la política de continuidad del negocio.
Esta metodología se aborda explícitamente dentro de las cláusulas y los requisitos de la

norma ISO 22301. El Apéndice 3 muestra un diagrama del ciclo PDCA y la mejora continua.
Cuando se obtiene la certificación ISO 22301:2012 de un organismo independiente como

SGS, BVQI o Lloyds Register, la organización obtiene beneficios como:
 Mejora de la imagen y la credibilidad;
 Ventaja competitiva en el mercado;
 Disminución de la amenaza de la "imagen de la BCM" de los competidores;
 Valiosa aportación de auditores de terceros;
 Orgullo y motivación de los empleados;
 Reducción del riesgo de las barreras no arancelarias;
 Cumplimiento de las demandas esperadas presentes o futuras de los clientes;
 niveles potencialmente más bajos de informes reglamentarios.
®
12
6 Norma ISO 22301 (Implantación)
Para establecer un BCMS basado en la norma ISO 22301, la organización debe seguir el
ciclo Planificar, Hacer, Verificar y Actuar:
El primer paso es que la organización determine los asuntos internos y externos que son
relevantes para su propósito y que afectan la capacidad de la organización para lograr el
resultado esperado de su BCM.
En particular, la organización necesitará:
Planificar
 Comprender las necesidades de continuidad del negocio.
 Demostrar compromiso por parte de la gerencia.
 Determinar el alcance del BCMS.
 Establecer las políticas y los objetivos para la gestión de continuidad del negocio.
 Determinar los recursos necesarios.
 Desarrollar la información documentada y los controles.
Hacer
 Analizar el impacto de los incidentes y las interrupciones en el negocio.
 Identificar los riesgos.
 Evaluar los riesgos.
 Identificar y evaluar las opciones para el tratamiento de los riesgos.
 Seleccionar objetivos de control y los controles para el tratamiento de los

riesgos.
 Preparar planes de continuidad de negocio.
 Desarrollar una estrategia de BCM.
 Elaborar planes de manejo de incidentes.
 Desarrollar planes de recuperación comercial (estos no tienen que ser formales;

estos planes pueden ser solo una explicación de cómo la organización volverá a
la normalidad o a la "nueva normalidad”).
 Desarrollar programas de ejercicios e informes.
®
13
Verificar
 Supervisar, medir, analizar y evaluar el desempeño respecto a las políticas y los

objetivos del BCMS, así como la eficacia de cada proceso.
 Evaluar los procedimientos de continuidad del negocio.
 Realización de auditorías internas.
 Establecer un proceso de revisión de la gestión.
Actuar
 Identificar las disconformidades e implementar las medidas correctivas apropiadas.
 Mejorar continuamente la conveniencia, adecuación y eficacia del BCMS.
El BCMS debería proporcionar un marco para la mejora continua de la eficacia de la

continuidad del negocio dentro de la organización, en el contexto de sus actividades
comerciales generales y los riesgos.
El modelo Planificar, Hacer, Verificar y Actuar descrito anteriormente se aborda en las

cláusulas de la norma ISO 22301:
 La Cláusula 4 es un componente del Plan. Introduce los requisitos necesarios

para establecer el contexto del BCMS que se aplica a la organización, así como
las necesidades, las exigencias y el alcance.
 La Cláusula 5 es un componente del Plan. Resume los requisitos específicos de

la función de la alta dirección en el BCMS y cómo la dirección comunica sus
expectativas a la organización a través de una declaración de política.
 La Cláusula 6 es un componente del Plan. Esta cláusula describe los requisitos

en lo que se refiere a establecer objetivos estratégicos y los principios rectores
para el BCMS en su conjunto. El contenido de la cláusula 6 difiere del
establecimiento de oportunidades para tratar los riesgos derivados de la
evaluación de riesgos, así como el análisis de impacto en el negocio (Business
Impact Analysis, BIA) que se derivan de los objetivos de recuperación.
 La Cláusula 7 es un componente del Plan. Es compatible con las operaciones del

BCMS, ya que se refieren al establecimiento de la competencia y la
comunicación sobre una base recurrente/en función de las necesidades con las
partes interesadas, a la vez que documentan, controlan, mantienen y conservan
la documentación requerida.
®
14
 La Cláusula 8 es un componente de Hacer. Esta cláusula define los requisitos de

continuidad del negocio, determina cómo abordarlos y desarrolla los
procedimientos para gestionar un incidente perjudicial.
 La Cláusula 9 es un componente de Verificar. En él se resumen los requisitos

necesarios para medir el desempeño de la gestión de continuidad del negocio, el
cumplimiento del BCMS con esta norma internacional y las expectativas de la
administración, y busca la retroalimentación de la dirección con respecto a las
expectativas.
 La Cláusula 10 es un componente de Actuar. La cláusula identifica y actúa

respecto a la inconformidad del BCMS, mediante medidas correctivas.
La norma ISO 22301:2012 establece los requisitos para que un BCMS permita a una
organización controlar su gestión de continuidad del negocio y mejorar su eficacia.
La Norma establece las especificaciones de una organización para el diseño de un BCMS

que sea apropiado a sus necesidades y se adapte a las necesidades de los interesados.
Estas necesidades pueden moldearse por:
 La regularidad, los requisitos del cliente y empresariales,
 Los productos y servicios,
 Los procesos empleados,
 El tamaño y la estructura de la organización,
 Los requisitos de las partes interesadas.
La norma ISO 22301 también pueden utilizarla partes internas y externas, incluyendo
organismos de certificación para evaluar la capacidad de una organización para cumplir sus
propias necesidades de continuidad del negocio, así como las necesidades legales o
reglamentarias de cualquier cliente.
Comprensión de la organización y su contexto
La organización tendrá que determinar las cuestiones internas y externas que son
relevantes para su propósito y que afectan su capacidad de lograr los resultados previstos
de su BCMS y para asegurar que la BCM está alineada con los objetivos, las obligaciones
legales y estatutarias de la organización.
Requisitos legales y reglamentarios
La organización debe:
®
15
 Haber identificado las obligaciones legales y reglamentarias aplicables, los

derechos legales y el entorno en el que actúa la organización; esto también debe
incluir los requisitos legales y reglamentarios de todas las partes interesadas
pertinentes.
 Haber establecido, implementado y mantenido el BCMS, teniendo en cuenta

todas las obligaciones a las que se suscribe.
Alcance del programa de continuidad del negocio
La determinación del alcance del BCMS es muy importante para la realización de la

auditoría y, por consiguiente, para el alcance de la auditoría.
Al determinar el alcance de la auditoría, se tendrá en cuenta:
 La naturaleza del negocio y los riesgos asociados.
 La actividad comercial central o crítica.
 La protección de cualquier proceso de valor añadido.
 Las limitaciones y exclusiones dentro de la gama de actividades empresariales

autorizadas.
El ámbito de aplicación debe ser coherente con el análisis de impacto realizado por la
organización y adecuada al tamaño, la naturaleza y el grado de complejidad de la
organización.
Política del BCMS
La alta dirección y otros directivos deben demostrar su liderazgo con respecto al BCMS y
en particular, su compromiso con la mejora continua de la BCM. Una forma de hacerlo es
mediante el establecimiento de una política del BCMS.
La norma ISO 22301 hace hincapié en que la organización debe desarrollar una política de
continuidad del negocio, que establezca los objetivos de la BCM. En un principio, esta
puede ser una declaración de intención de alto nivel que se mejora y aumenta a medida
que se desarrolla la capacidad.
La política debe proporcionar a la organización los principios documentados a los que se

aspirará y contra los cuales deberá medirse su capacidad de continuidad del negocio. La
política de la BCM debe ser "propiedad" al más alto nivel, por ejemplo, de un director de la
junta o un representante electo.
La política debe revisarse periódicamente, junto con las estrategias, los planes y la solución
a las necesidades de la organización.
®
16
La política define el compromiso de gestión para cuestiones clave del BCMS y, al hacerlo,
no solo proporciona orientación para el sistema, sino que también proporciona una
"responsabilidad final".
La política debe establecer el sentido general de la dirección y los principios de acción.

Debe establecer los medios por los que se fijan los objetivos, las responsabilidades y el
desempeño necesarios para el BCMS. La política debe demostrar el compromiso formal de
la dirección con la continuidad del negocio.
La política es probablemente el paso más importante en la aplicación de un BCMS eficaz.

La política es una declaración documentada, que está a disposición del público y que indica
el compromiso y las intenciones de la organización en relación con las cuestiones de
continuidad del negocio.
La política debe proporcionar el marco para la mejora continua del BCMS. Por lo general, la
política indica las áreas específicas o críticas donde se busca la mejora continua.
Funciones y responsabilidades
La Norma requiere que las responsabilidades y autoridades, y la interrelación entre ellas se

defina y comunique dentro de la organización (cláusula 5.4).
Una forma de hacerlo es mediante los organigramas y los alcances de responsabilidad, y

estos bien pueden presentarse en un Manual de BCMS.
Si el BCMS va a funcionar correctamente, todos dentro de la organización deben ser

conscientes de sus responsabilidades particulares con respecto a los procesos de
continuidad del negocio dentro de la organización. Por tanto, el organigrama debe
elaborarse para incluir la calidad, así como las demás responsabilidades empresariales.
Deben incluirse todos los niveles de administración y de mano de obra, ya que, al igual que
las cuestiones de salud y de seguridad, el personal de todos los niveles puede generar
inconformidad si no funcionan de acuerdo con los procesos establecidos.
Junto con la autoridad definida y las responsabilidades asociadas, debe incluir la capacidad
de actuar cuando sea necesario. Esto también se definirá dentro del BCMS, tanto en
términos de la organización como de los recursos disponibles.
También es útil definir un plan de las zonas geográficas de responsabilidad para ciertos
administradores, con el fin de asegurarse de que todo el sitio está cubierto. Esto será
especialmente útil cuando se define el programa de auditoría de la organización.
Recursos (cláusula 7.1)
Los recursos necesarios para el BCMS deben determinarse y establecerse.
®
17
Entre ellos se incluyen los recursos necesarios para determinar, establecer, implementar y
mantener el BCMS, teniendo en cuenta la necesidad de que el BCMS incluya los requisitos
legales y reglamentarios, y las obligaciones y compromisos contractuales con los clientes y
las partes interesadas.
Deben proporcionarse los recursos para identificar y abordar los requisitos legales y
reglamentarios y las obligaciones contractuales; mantener una adecuada continuidad del
negocio por la correcta aplicación de todos los controles.
Deben proporcionarse los recursos para llevar a cabo las revisiones del BCMS, a fin de
reaccionar de manera adecuada a los resultados de estas revisiones y mejorar
continuamente la eficacia del BCMS.
Competencia (cláusula 7.2)
Deben definirse y documentarse las funciones, las responsabilidades y las competencias de

todas las personas que participan en la aplicación del BCMS. El personal debe ser
competente para realizar las tareas que se le asignan en el BCMS.
La Norma exige que se determinen las competencias para dicho personal. En los casos que
se identifique, debe proporcionarse capacitación para asegurar que se logra la competencia
necesaria, así como los registros de educación, formación, habilidades, experiencia y
certificaciones.
Los programas de capacitación deben, por lo tanto:
 crear conciencia y establecer apoyo dentro de la organización para el BCMS y los

problemas de continuidad específicos;
 ayudar en la planificación y la preparación de las comunicaciones precisas y

dirigidas al nivel y la audiencia adecuados.
Conocimiento (cláusula 7.3)
Esta cláusula tiene por objeto garantizar que la organización incorpora la continuidad del
negocio en las operaciones de rutina y los procesos de gestión. Esto es
independientemente del tamaño de la organización o el sector en el que opera.
Comunicación (cláusula 7.4)
Esta cláusula requiere que la organización determine qué y cómo se administrarán las
comunicaciones del BCMS, tanto para las partes internas como externas.
Se requiere que los procedimientos documentados cubran: las comunicaciones internas y

externas para las diversas partes, incluidos los medios de comunicación, la gestión de la
recepción y el envío de comunicaciones de las partes interesadas, así como identificar y
®
18
asegurar los medios de comunicación disponibles durante una interrupción y la realización

de pruebas de los mismos. También se requiere que los procedimientos cubran cualquier
sistema de asesoramiento en caso de amenaza a nivel regional o nacional, que pueda ser
relevante para la organización.
Información documentada (cláusula 7.5)
El objetivo de esta cláusula es proporcionar evidencia clara de la operación eficaz para la

aplicación del BCMS.
La información documentada dependerá del tamaño, la naturaleza y la complejidad de la

organización. Los registros deben establecerse, mantenerse y controlarse para proporcionar
evidencia de la operación eficaz del BCMS.
Documentación del BCM
La norma ISO 22301 requiere que la documentación del BCMS incluya:
 una política de BCM;
 Declaración del alcance y los términos de referencia y los procedimientos de

apoyo y control del BCMS;
 El Análisis del Impacto en el Negocio (BIA);
 La evaluación de riesgos y amenazas;
 La estrategia de BCM;
 Programa de sensibilización;
 Programas de formación;
 Planes de continuidad del negocio;
 Planes de gestión de incidentes;
 Planes de recuperación del negocio;
 Programas de ejercicios e informes;
 Acuerdos de nivel de servicio e informes;
 Informes de auditoría interna;
 Informes de la revisión de la gestión del BCMS.
La información documentada dependerá del tamaño, la naturaleza y la complejidad de la

organización. Los registros deben establecerse, mantenerse y controlarse para proporcionar
evidencia de la operación eficaz del BCMS.
®
19
Documentación del BCM
La norma ISO 22301 requiere que la documentación del BCMS incluya:
 una política de BCM;
 Declaración del alcance y los términos de referencia y los procedimientos de

apoyo y control del BCMS;
 El Análisis del Impacto en el Negocio (BIA);
 La evaluación de riesgos y amenazas;
 La estrategia de BCM;
 Programa de sensibilización;
 Programas de formación;
 Planes de continuidad del negocio;
 Planes de gestión de incidentes;
 Planes de recuperación del negocio;
 Programas de ejercicios e informes;
 Acuerdos de nivel de servicio e informes;
 Informes de auditoría interna;
 Informes de la revisión de la gestión del BCMS.
El enfoque flexible de la Norma tiene por objeto mejorar la implementación, mantenimiento

y mejora del sistema. Si este es el caso, la administración debe decidir sobre la estructura y
el formato de la documentación que se necesita para apoyar el BCMS. La naturaleza y el
alcance de la documentación dependerán y deberán satisfacer las necesidades de la
organización.
Información documentada como evidencia (registros)
La norma ISO 22301 define un registro como:
 "estado de los resultados o pruebas de las actividades realizadas"
La organización debe mantener los registros de las pruebas de conformidad con los
requisitos y para determinar la eficacia del BCMS.
Control de información documentada (cláusula 7.5.3)
®
20
Todos los documentos del sistema de gestión deben ser controlados. Debe existir un
procedimiento documentado para asegurar esto.
La siguiente información es esencial para el control de un documento:
 título;
 número;
 estado de emisión;
 número de página y número total de páginas;
 autoridad de la aprobación;
 autoridad emisora;
 fecha de emisión.
En algunas organizaciones, las autoridades de emisión y homologación pueden ser la

misma persona.
Un documento y registro "controlado" debe ser:
 identificable: título, número;
 actualizado (documentos);
 legible;
 comprensible;
 trazado lógicamente;
 claro en cuanto a significado;
 adecuado;
 completo;
 auto-compatible, dentro de los objetivos y el alcance del sistema o el proceso;
 Compatible con otros documentos;
 disponible (documentos);
 recuperable (registros).
Para que cumpla con la norma ISO 22301, la organización debe proporcionar evidencia de la
eficacia del BCMS. Como se señaló anteriormente, es posible que esto no dependa
necesariamente de procedimientos y registros documentados, salvo cuando la Norma lo
®
21
requiera específicamente. Las organizaciones, en particular las organizaciones pequeñas,

pueden demostrar conformidad sin necesidad de una documentación extensa.
Operación
Las principales actividades operacionales del BCMS están cubiertos en virtud de la cláusula
8, Operación. Este es el componente Hacer del ciclo PDCA.
La organización controlará los cambios programados y revisará las consecuencias de los

cambios fortuitos, la adopción de medidas de mitigación y los efectos adversos de los
riesgos.
La organización también debe garantizar que se controlan los procesos subcontratados.
Análisis de impacto en el negocio (BIA) (cláusula 8.2.2)
El BIA es un componente esencial de cualquier plan de continuidad del negocio. Una de las
premisas básicas del BIA es que cada uno de los componentes de la organización depende
de la continuación del funcionamiento de cada uno de los otros componentes, pero que
algunos de ellos son más importantes que otros y requieren una mayor asignación de
fondos a raíz de un desastre.
Por ejemplo, una organización puede continuar más o menos normalmente si la cafetería
tiene que cerrar, pero quedaría completamente inactiva si se bloquea el sistema de
información.
Un profesional experto de BIA profundizará y llegará al núcleo de la empresa para

determinar el impacto de una interrupción de las actividades de soporte de los servicios y
productos clave de la misma. El BIA resultante:
 Identifica las actividades que apoyan los principales productos y servicios.
 Permite una evaluación preliminar de los recursos necesarios para la

recuperación o el mantenimiento.
 Establece el intervalo de tiempo en que ocurre la recuperación.
 Identifica el Objetivo de tiempo de recuperación y el objetivo de punto de

recuperación (el tiempo en que las transacciones o los datos tiene que
recuperarse).
 Identifica los materiales esenciales y registros necesarios para la recuperación o

el mantenimiento.
El objetivo de BIA es determinar y documentar el impacto que una interrupción podría tener
sobre los productos y servicios más importantes de la organización.
®
22
La organización debe:
 evaluar, con el paso del tiempo, los efectos que se producirían si se interrumpe
una actividad;
 establecer el período máximo tolerable de interrupción de cada actividad;
 identificar las actividades interdependientes, los activos y la infraestructura de

apoyo o los recursos que se deben mantener continuamente o recuperarse con
el tiempo;
 documentar el enfoque adoptado para evaluar el impacto, los resultados y la

conclusión del Análisis.
Aunque la organización desee centrar su BCM en actividades críticas, también debe

reconocer que podría ser necesario recuperar otras actividades con un período
determinado.
El BIA debe incluir una estimación de los recursos que cada actividad debe recuperar o que
necesitan "volver a agilizarse".
Pasos del BIA
Los pasos que la organización debe seguir para poner en marcha el BIA. Estos son:
1 Recopilación de datos
 Cuestionario
 Entrevistas
 Taller
2 Análisis de datos
Realizar un análisis de los datos para establecer la criticidad y las prioridades, etcétera.
3 Informe del BIA / Conclusiones
Elaborar un informe que deberá identificar las conclusiones y recomendaciones.
Resultados del BIA
Los resultados principales y más importantes de un proceso de BIA son:
 La identificación de las funciones empresariales que respaldan los productos y

servicios.
 La evaluación del impacto que apoya estas actividades a través del tiempo.
®
23
 El establecimiento de los plazos para que estas actividades vuelvan a tener un

nivel mínimo aceptable.
 La identificación de las dependencias internas y externas.
 Establecimiento de prioridades de las funciones / procesos / aplicaciones /

sistemas.
 Necesidades de recursos.
 Requisitos de recuperación.
Evaluación del riesgo (cláusula 8.2.3)
La organización tendrá que definir y documentar un método adecuado para la evaluación

de riesgos. Esto es para que la organización pueda entender las amenazas y las
vulnerabilidades de sus actividades críticas y recursos de soporte. Esto debe incluir los que
proporcionan los proveedores y los socios externos.
BCM, técnica de gestión del riesgo
Se debe desarrollar una metodología de evaluación de riesgos de la organización, teniendo

en cuenta su apetito por el riesgo; es decir, el nivel de riesgo que la organización está
dispuesta a aceptar, antes de que se considere necesario tomar una acción para reducirlo.
Hay tres aspectos de la gestión del riesgo en la continuidad del negocio:
 El Análisis del Impacto en el Negocio (BIA) y la Evaluación de Riesgos (RA)
 Apetito de Riesgo y Tratamiento de Riesgo
 Estrategias de continuidad del negocio, opciones y decisiones
Apetito de Riesgo
El apetito de riesgo de la organización representa un equilibrio entre los beneficios

potenciales de innovación y las amenazas que inevitablemente surgen del cambio.
Tratamiento del Riesgo
Los tratamientos de riesgos no son necesariamente excluyentes entre sí o apropiados en

todas las circunstancias.
Las opciones pueden incluir los siguientes:
 evitar el riesgo de decidir no iniciar o continuar con la actividad que da lugar al

riesgo;
 tomar o aumentar el riesgo con el fin de perseguir una oportunidad;
®
24
 eliminar la fuente de riesgo;
 cambiar la probabilidad;
 cambiar las consecuencias;
 compartir el riesgo con la otra parte o partes (incluidos los contratos y la

financiación del riesgo), y
 conservar el riesgo por decisión informada.
Determinación de la estrategia de continuidad del negocio (cláusula 8.3.1)
Después de realizar el BIA, la organización estará en condiciones de elegir la estrategia de

continuidad adecuada para alcanzar sus objetivos.
La estrategia de la organización debe ser la aplicación de medidas adecuadas para reducir

la posibilidad de incidentes o reducir los posibles efectos del incidente que afectan sus
actividades críticas.
Las opciones dependerán del período máximo tolerable de interrupción de las actividades
críticas y los gastos de ejecución de las estrategias contra el costo de no hacer nada.
La expectativa es que la organización debe identificar las estrategias adecuadas para

mantener la eficacia de los siguientes durante una interrupción:
 personas;
 datos e información;
 edificios, el entorno laboral y las utilidades asociadas;
 instalaciones, equipos y consumibles;
 sistemas de información y tecnología de comunicación (TIC)
 transporte,
 finanzas,
 socios y proveedores
La alta dirección deberá aprobar cualquier estrategia apropiada para lograr los objetivos de
la organización para una interrupción particular.
Desarrollo e implementación de una respuesta de BCM
Planes
®
25
El BCMS puede requerir dos tipos de planes para reanudar o recuperar las operaciones a un
estado "normal":
 los planes de gestión de incidentes (IMP)
 los planes de continuidad del negocio (BCP)
Los planes deben ser concisos y accesibles, y contendran:
 objetivo;
 alcance;
 funciones y responsabilidades;
 un proceso de activación de la respuesta;
 detalles para gestionar las consecuencias inmediatas de un incidente perjudicial;
 detalles sobre cómo y en qué circunstancias la organización se comunicará con

los empleados y sus familiares, las principales partes interesadas y los contactos
de emergencia;
 de qué manera la organización continuará o recuperará sus actividades

prioritarias dentro de los plazos determinados previamente;
 detalles de la respuesta de los medios de la organización después de un

incidente, incluyendo:
 Un proceso para poner fin al estado de alerta una vez que el incidente ha
finalizado.
Plan de gestión de incidentes (IMP)
La organización puede diseñar un IMP para gestionar la fase inicial de un incidente. Si este
es el caso, el IMP debe:
 ser flexible;
 factible;
 pertinente;
 fácil de leer y comprender.
 servir de base para la gestión de todas las cuestiones posibles;
 tener el apoyo de la alta dirección;
 tener un presupuesto adecuado para el mantenimiento y la capacitación.
®
26
Plan de continuidad del negocio (BCP) (cláusula 8.4.4)
El propósito de un BCP es permitir a una organización recuperar o mantener sus

actividades, en el caso de una interrupción de las operaciones normales de la empresa.
Los BCP se aplican, en su totalidad o en parte, para apoyar las actividades críticas
necesarias para cumplir los objetivos de la organización, en cualquier etapa de la respuesta
a un incidente.
Un buen BCP debe contener un plan de acción o en la lista de tareas, que incluye:
 cómo o cuándo se invoca el BCP;
 persona responsable designada para invocar el BCP;
 procedimiento que debe adoptarse para tomar esa decisión;
 las medidas que deben adoptarse;
 servicios disponibles para su uso;
 comunicación de la información;
 procedimientos detallados para el trabajo o recuperación del sistema;
 requisitos de recursos.
Pruebas y ejercicios, mantenimiento y revisión de acuerdos de BCM (cláusula 8.5)
Los acuerdos de BCM deben validarse a través del ejercicio y revisarse para asegurarse de
que están al día y son relevantes.
Los planes no pueden considerarse fiables hasta que se realizan las pruebas y ejercicios y
se ha demostrado que son viables. Realizar los ejercicios debe incluir: validación de los
planes; ensayar con todo el personal (con el tiempo) para que sea totalmente eficaz, y los
sistemas de evaluación, que se recurre para ofrecer resistencia (p.ej. alimentación eléctrica
ininterrumpida). La frecuencia de los ejercicios dependerá de la organización, pero debe
tener en cuenta que la tasa de cambio (en la organización o el perfil de riesgo), y los
resultados de los ejercicios anteriores (si se han identificado debilidades propias y se han
realizado cambios).
Ejercicios y pruebas
Los ejercicios y las actividades de prueba deben:
 ser planificados;
 ser realistas;
®
27
 acordarse con las partes interesadas;
 minimizar los riesgos que se producen como consecuencia del ejercicio;
 tener metas y objetivos definidos;
 llevarse a cabo correctamente;
 incluir suficientes detalles y las instrucciones de los mismos;
 incluyen una reunión para comentar incidencias después de la realización del

ejercicio y análisis;
 generar un informe del ejercicio posterior que contiene recomendaciones para la

mejora.
Evaluación del desempeño (cláusula 9)
Es responsabilidad de la administración supervisar y evaluar la eficacia y la eficiencia del

BCMS. La dirección debe examinar la conveniencia de la política de continuidad del
negocio, el alcance y los planes, y determinar y autorizar las acciones para el saneamiento y
mejora. Los requisitos de la cláusula 5 especifican cómo debe hacerse.
Supervisar y actuar con base en la información recibida es la manera principal de garantizar

que el BCMS funciona correctamente y cumple con el requisito de mejora continua. Los
registros permiten a la organización demostrar que el sistema cumple con sus procesos
determinados.
La organización debe utilizar métodos adecuados para supervisar los procesos del BCMS.
Estos métodos deben demostrar la capacidad de los procesos para alcanzar los resultados
planificados.
Evaluación de los procedimientos de continuidad del negocio (cláusula 9.1.2)
Cuando se produce un incidente perturbador y resulta en la activación de sus

procedimientos de continuidad del negocio, la organización tendrá que realizar una revisión
posterior al incidente y registrar los detalles. Este proceso debe incluir:
 las evaluaciones de los procedimientos y capacidades de continuidad del

negocio;
 revisiones periódicas, ejercicios, pruebas, informes posteriores al incidente y las

evaluaciones de desempeño que conducen a una reflexión en los procedimientos;
 evaluación del cumplimiento de requisitos legales y reglamentarios, mejores

prácticas de la industria y de la conformidad con su propia política y objetivos de
continuidad del negocio y cuando se producen cambios significativos.
®
28
Auditoría interna (cláusula 9.2)
La organización debe llevar a cabo auditorías internas a intervalos planificados para

proporcionar información sobre si el sistema de gestión de continuidad del negocio se
ajusta y se implementa y mantiene de manera efectiva en las organizaciones y los requisitos
de la norma ISO 22301.
El programa de auditoría se basa en los resultados de la evaluación de riesgos y en

auditorías anteriores. La dirección responsable del área auditada debe asegurarse de que
las correcciones que sean necesarias y las acciones correctivas se adoptan tan pronto
como sea posible. Las actividades de seguimiento incluirán la verificación de las medidas
adoptadas y los informes de los resultados de la verificación.
Revisión de la gestión
La alta dirección de la organización debe revisar el BCMS, a intervalos planificados para

asegurar la conveniencia, adecuación y eficacia del BCMS.
Por lo general, las actividades de revisión de la gestión comprenden una reunión para
revisar los datos y los temas que prepara el representante de la dirección (ver cláusula 5.2
de la Norma ISO 2301), aunque la Norma no requiere la realización de una "reunión". El
proceso de revisión suele tratar temas tales como:
 periodicidad de la revisión;
 responsabilidades;
 métodos;
 enlaces de comunicación de los resultados de la revisión interna de la gestión y

con las "partes interesadas".
Mejora (cláusula 10)
Esta cláusula se refiere a la parte final del ciclo PDCA.
Inconformidad y acciones correctivas
Mediante el uso de las medidas correctivas para abordar la inconformidad, la organización

es capaz de mejorar la eficacia y la eficiencia del BCMS. En los casos en que se han
producido disconformidades, las medidas correctivas adoptadas deben ser objeto de una
investigación adicional a fin de garantizar que han sido eficaces y no han causado que
surjan otros problemas complementarios.
®
29
La aplicación de los resultados de la revisión de las medidas correctivas adoptadas debe

dar impulso a la mejora continua de la conveniencia, adecuación y eficacia del BCMS
(cláusula 10.2).
La cláusula 10 de la Norma ISO 22301 requiere que la mejora continua de la eficacia del
BCMS tenga lugar a través de:
 la ejecución de los procedimientos de vigilancia;
 el examen de la eficacia del BCMS, por medio de la política y los planes de

continuidad del negocio;
 el análisis de los eventos supervisados;
 los resultados de las auditorías internas;
 la revisión de la dirección;
 el registro de las acciones tomadas.
7 Norma ISO 22301 (Auditoria)
Proceso de certificación
La certificación de un sistema de gestión proporciona una demostración independiente de

que el sistema de gestión de la organización:
 Cumple con los requisitos específicos;
 Es capaz de lograr sistemáticamente su política y objetivos declarados, y
 Se aplica de manera efectiva.
Auditoría de certificación inicial
La auditoría de la certificación inicial del sistema de gestión se lleva a cabo en dos etapas:
Etapa 1 y Etapa 2.
Etapa 1 de Auditoría
El objetivo de la Etapa 1 de auditoría es:
 Auditar la documentación del sistema de gestión del cliente.
®
30
 Evaluar la ubicación del cliente y las condiciones específicas de cada sitio e

iniciar conversaciones con el personal del cliente para determinar su grado de
preparación para la Etapa 2 de auditoría.
 Revisar la situación del cliente y entender los requisitos de la Norma, en

particular con respecto a la identificación de los principales aspectos de
rendimiento o aspectos importantes, procesos, objetivos y funcionamiento del
sistema de gestión.
 Recopilar la información necesaria sobre el alcance del sistema de gestión, los

procesos y ubicación del cliente, y los aspectos legales y reglamentarios
relacionados y el cumplimiento (por ejemplo, los aspectos legales de la
operación del cliente, los riesgos asociados, etc.).
 Revisar la asignación de recursos para la Etapa 2 de auditoría y acordar con el

cliente los detalles de la Etapa 2 de auditoría.
 Proporcionar un enfoque para la planificación de la Etapa 2 de auditoría al

obtener una comprensión suficiente del sistema de gestión del cliente y las
operaciones del sitio en el contexto de posibles aspectos significativos.
 Evaluar si las auditorías internas y la revisión de la dirección se planificaron y

llevaron a cabo, y que el nivel de aplicación del sistema de gestión demuestra
que el cliente está listo para la Etapa 2 de auditoría.
Para la mayoría de los sistemas de gestión, por lo menos una parte de la auditoría Etapa 1
debe llevarse a cabo en las instalaciones del cliente, con el fin de lograr los objetivos
mencionados anteriormente.
Los resultados de la Etapa 1 de auditoría se documentan y envían al cliente. Estos deben

incluir la notificación de todas las áreas de interés que pueden clasificarse como
inconformidad durante la Etapa 2 de auditoría.
Etapa 2 de Auditoría
El objetivo de la Etapa 2 de auditoría es evaluar la aplicación y la eficacia del sistema de

gestión del cliente. La Etapa 2 de auditoría se llevará a cabo en el sitio del cliente. Las áreas
cubiertas durante la Etapa 2 de auditoría incluirán:
 Información y pruebas sobre la conformidad con los requisitos de la norma de

sistemas de gestión aplicable u otro documento normativo.
 Supervisión del desempeño, medición, presentación de informes y revisión de

los principales objetivos de desempeño y metas.
®
31
 El sistema de gestión y ejecución del cliente, en relación con el cumplimiento de

los requisitos legales.
 Control operacional de los procesos del cliente.
 Auditoría interna y revisión de la dirección.
 Responsabilidad de gestión de las políticas del cliente.
 Vínculos entre los requisitos normativos, las políticas, planes y estrategias, los
requisitos legales aplicables, las responsabilidades, las competencias del personal,
las operaciones, los procedimientos, los datos de rendimiento y resultados y las
conclusiones de la auditoría interna.
Conclusiones de la auditoría de certificación inicial
Se espera que el equipo de auditoría analice toda la información y la evidencia de auditoría

obtenida durante la Etapa 1 y Etapa 2 de auditoría para revisar los resultados de las
auditorías y llegar a un acuerdo sobre las conclusiones de las mismas.
Auditoría de vigilancia
Estas son "mini" auditorías para revisar la eficacia continua del sistema de gestión de una
organización registrada. Las visitas de vigilancia se celebran de forma regular durante el
período en que una organización está registrada. La duración de la auditoría es más corta
que una auditoría inicial y tiende a centrarse en una parte determinada del sistema global.
Por lo tanto, un organismo de certificación es capaz de observar los procesos o áreas
específicos con mayor profundidad. Durante el período de inscripción, la intención es que
el conjunto del sistema de gestión de una organización se haya auditado de esta manera.
El programa de auditoría de vigilancia debe incluir, por lo menos:
 auditorías internas y revisión de la dirección,
 una revisión de las medidas adoptadas respecto a las disconformidades

identificadas durante la auditoría previa,
 tratamiento de las quejas,
 eficacia del sistema de gestión con respecto a la consecución de los objetivos

del cliente certificado,
 los avances de las actividades programadas destinadas a la mejora continua,
 control operativo continuo,
 revisión de los cambios y
®
32
 uso de marcas o cualquier otra referencia a la certificación.
Las auditorías de seguimiento se llevan a cabo al menos una vez al año. La fecha de la
primera auditoría de seguimiento después de la certificación inicial es al menos 12 meses a
partir del último día de la Etapa 2 de auditoría.
Las visitas de seguimiento también pueden formar parte de un programa de auditoría del
proveedor.
CERTIFICACIÓN DE LOS AUDITORES
Para garantizar la independencia del proceso de certificación, la organización que certifica a

los auditores es independiente de la que certifica las organizaciones.
Un esquema de certificación de auditores es uno de los medios para proporcionar

coherencia y precisión en la interpretación de la Norma por parte de los auditores.
El objetivo de los Esquemas de certificación de auditores es certificar que un auditor es

competente, que los auditores son calificados y están entrenados sobre los principios y
prácticas de auditoría de los Sistemas de gestión de continuidad del negocio respecto a la
Norma ISO 22301 y las normas equivalentes aceptables.
COMPETENCIA DE LOS AUDITORES
Tanto la Norma ISO/IEC 17021 como la Norma ISO 19011 establecen el comportamiento
personal y las competencias que necesita un auditor.
Atributos personales
El auditor debe ser:
 ético;
 con mente abierta;
 diplomático;
 colaborador;
 observador;
 perceptivo;
 versátil;
 tenaz;
 decidido;
 autosuficiente;
®
33
 profesional;
 moralmente valiente;
 susceptibles a la mejora;
 culturalmente sensible;
 colaborador.
Además, el auditor debe estar debidamente capacitado y contar con experiencia,
Competencia
Conocimientos genéricos y habilidades de los auditores del sistema de gestión
Los auditores deberían tener conocimientos y habilidades en las áreas descritas a

continuación.
A) Principios, procedimientos y métodos de auditoría: los conocimientos y las habilidades en

esta área permitirán al auditor aplicar los principios pertinentes, los procedimientos y los
métodos de diferentes auditorías, y para garantizar que las auditorías se llevan a cabo de
una manera sistemática y coherente. El auditor debería ser capaz de hacer lo siguiente:
 Aplicar los principios, los procedimientos y los métodos de auditoría.
 Planificar y organizar el trabajo de manera eficiente.
 Realizar la auditoría dentro del calendario acordado.
 Priorizar y centrar su atención en cuestiones de importancia.
 Recopilar información a través de entrevistas eficaces, escuchando, observando

y revisando los documentos, registros y datos.
 Comprender y considerar las opiniones de los expertos.
 Comprender la conveniencia y las consecuencias de utilizar técnicas de

muestreo para la auditoría.
 Verificar la pertinencia y exactitud de la información recabada.
 Confirmar la suficiencia e idoneidad de las pruebas de auditoría para respaldar

los resultados de auditoría y las conclusiones.
 Evaluar los factores que pueden afectar la fiabilidad de los resultados de la

auditoría y las conclusiones.
 Utilizar los documentos de trabajo para registrar las actividades de auditoría.
®
34
 Documentar los resultados de la auditoría y preparar los informes de auditoría

correspondientes.
 Mantener la confidencialidad y la seguridad de la información, datos,

documentos y registros.
 Comunicarse de manera eficaz, en forma oral y por escrito (ya sea

personalmente, o por medio del uso de intérpretes y traductores).
 Entender los tipos de riesgos asociados con la auditoría.
B) Documentos del sistema de gestión y de referencia: los conocimientos y las habilidades en

esta área permiten al auditor comprender el alcance y aplicar los criterios de auditoría, y
deben abarcar los siguientes:
 Las normas del sistema de gestión u otros documentos utilizados como criterios
de auditoría.
 La aplicación de las normas de sistemas de gestión de la entidad auditada y otras

organizaciones, según corresponda.
 Interacción entre los componentes del sistema de gestión.
 Reconocimiento de la jerarquía de documentos de referencia.
 Aplicación de los documentos de referencia para diferentes situaciones de

auditoría.
C) Contexto organizacional: los conocimientos y las habilidades en esta área permiten al

auditor comprender las prácticas de gestión, la estructura y el negocio del auditado, y
deben abarcar los siguientes:
 tipos de organización, gestión, el tamaño, la estructura, las funciones y las

relaciones de la organización;
 conceptos generales de gestión y de negocios, procesos y terminología

relacionada, incluyendo la planificación, preparación de presupuestos y
administración de personal;
 aspectos culturales y sociales de la entidad auditada.
D) Requisitos legales y contractuales aplicables y otros requisitos que se aplican a la entidad

auditada: los conocimientos y habilidades en esta área permiten al auditor estar conscientes
de ello y trabajar dentro de los requisitos legales y contractuales de la organización. Los
conocimientos y las habilidades específicas de la jurisdicción o de las actividades y
productos de la entidad auditada deben abarcar los siguientes:
®
35
 las leyes y los reglamentos, y sus organismos rectores;
 terminología jurídica básica;
 contratación y responsabilidad.
BCMS y conocimientos y habilidades específicos del sector de los auditores del sistema de
gestión
Los auditores deben tener el BCMS apropiado y los conocimientos y destrezas específicas
del sector para la auditoría.
No es necesario que cada auditor en el equipo de auditoría tenga las mismas capacidades;
sin embargo, la competencia general del equipo de auditoría debe ser suficiente para lograr
los objetivos de la auditoría.
El BCMS y los conocimientos y habilidades específicos del sector para los auditores
incluyen los siguientes:
 Requisitos y principios del sistema de gestión específico del BCMS, y su

aplicación.
 Requisitos legales relacionados con el sector, de tal forma que el auditor esté
consciente de los requisitos propios de la jurisdicción y las obligaciones,
actividades y productos de la entidad auditada.
 Requisitos de las partes interesadas pertinentes al BCMS.
 Fundamentos de la continuidad del negocio, la aplicación de métodos

específicos técnicos y de negocios, técnicas, procesos y prácticas, suficientes
para permitir que el auditor examine el sistema de gestión y genere resultados y
conclusiones adecuadas.
 Conocimientos específicos relacionados con el sector de que se trate, la

naturaleza de las operaciones o el lugar de trabajo que es objeto de una
auditoría, suficiente para que el auditor evalúe las actividades, los procesos y
productos (bienes y servicios) de la entidad auditada.
 Principios de gestión de riesgos, métodos y técnicas pertinentes para el sector,

de manera que el auditor puede evaluar y controlar los riesgos asociados con el
programa de auditoría.
Los detalles y requisitos de la evaluación inicial y continua de los auditores y los jefes del
equipo de auditoría se presentan en las normas ISO 17021 e ISO 19011.
Auditorías: definición, principios y tipos
®
36
DEFINICIÓN
La norma ISO 19011 define la auditoría como:
El proceso sistemático, independiente y documentado para obtener evidencias de la

auditoría y evaluarlas de manera objetiva con el fin de determinar el grado en que se
cumplen los criterios de auditoría.
En otras palabras, una verificación de que el BCMS está funcionando eficazmente, de

conformidad con los criterios del sistema.
La Norma ISO 19011, Directrices para la auditoría de sistemas de gestión, establece el

proceso por el cual se llevan a cabo las auditorías.
La Norma ISO 19011 contiene información sobre:
 los principios de la auditoría;
 gestión de un programa de auditoría;
 realización de una auditoría;
 la competencia y evaluación de los auditores.
La Norma ISO/IEC 17021 Evaluación de la conformidad: los requisitos para los organismos
que realizan la auditoría y proporcionan la certificación de los sistemas de gestión establece
los requisitos para que los organismos de certificación evalúen los sistemas de gestión.
La Norma ISO/IEC 17021 incluye requisitos relativos a:
 los principios de auditoría;
 cuestiones jurídicas y contractuales;
 requisitos estructurales;
 necesidades del recurso;
 requisitos de información;
 requisitos del proceso;
 requisitos del sistema de gestión.
PRINCIPIOS DE AUDITORÍA
A fin de garantizar que la auditoría es una herramienta de gestión eficaz y fiable, esta se
basa en una serie de principios fundamentales. Comprender y seguir estos principios
garantizará que las conclusiones de la auditoría son pertinentes y suficientes, y que los
®
37
auditores que trabajan por separado, llegan a conclusiones similares en circunstancias

similares.
Principios de auditoría
Tres de los principios se refieren a las características personales de los auditores:
Integridad
La norma ISO 19011 establece que este es el fundamento de la profesionalidad. Los

auditores deben llevar a cabo su trabajo con honestidad, diligencia y responsabilidad.
Deben presentar su solicitud y cumplir con los requisitos legales y demostrar su
competencia. Deben realizar su trabajo de una manera imparcial, justa y objetiva en todas
sus conclusiones. También deben ser sensibles a cualquier influencia que se ejerce en su
juicio cuando realizan la auditoría. Los auditores certificados están sujetos a códigos de
conducta estrictos.
Presentación razonable
Esto obliga a los auditores a presentar informes con veracidad y exactitud. Los hallazgos,
las conclusiones y los informes de auditoría reflejan con veracidad, precisión y
completamente las actividades de auditoría. Cualquier opinión no resuelta o divergente
entre el equipo de auditoría y la entidad auditada y los obstáculos encontrados. La
comunicación debe ser veraz, precisa, objetiva, oportuna, clara y completa.
Debido cuidado profesional
Esta es la aplicación de diligencia y juicio en la auditoría. Los auditores deben ejercer un

grado de atención adecuada a la importancia de la tarea y la confianza que los clientes y
otras partes interesadas depositan en ellos. Tener la competencia necesaria es una parte
importante de esto.
Confidencialidad
Esto se refiere al ejercicio de la discreción y el manejo adecuado y la protección de la

información confidencial. La información obtenida en el curso de la auditoría no debe
utilizarse de manera inadecuada o para obtener beneficios personales por parte del auditor
ni se utiliza de una manera que sea perjudicial para los intereses legítimos de la empresa
auditada.
Otros dos principios se refieren al proceso de auditoría:
Independencia
La independencia es la base para la imparcialidad de la auditoría y la objetividad de las

conclusiones de la misma. Los auditores deben ser independientes de la organización o
®
38
actividad objeto de la auditoría. Deben permanecer libres de prejuicios y conflictos de

interés.
Enfoque basado en la evidencia
Este es el método racional para alcanzar conclusiones de auditoría confiables y

reproducibles. La evidencia de la auditoría es verificable. Se basa en muestras de la
información disponible, ya que la auditoría se realiza durante un período determinado de
tiempo y con recursos finitos. Sin embargo, el uso del muestreo debe ser apropiado a la
confianza que se deposita en las conclusiones de la auditoría.
TIPOS DE AUDITORÍA
Hay tres tipos de auditoría:
 Primera parte
 Segunda parte
 Tercera parte
Primera parte (Auditoría Interna)
Definición:
Una auditoría de la organización de sus propios sistemas y procedimientos.
Objetivo:
Garantizar el mantenimiento, desarrollo y mejora del sistema de continuidad del negocio.
Requisito:
Norma ISO 22301, cláusula 9.2.
Uso de la auditoría interna del BCMS que realizan auditores externos
Los organismos de certificación siempre han emitido certificados, en el entendido de que

significan la competencia de las organizaciones para gestionar de forma eficaz sus propios
asuntos (en lugar del organismo de certificación que supervisa cada detalle de un sistema).
Debido a que la auditoría interna ha sido reconocida durante mucho tiempo como un
componente integral de la gestión efectiva del sistema, el auditor externo deberá evaluar
los mecanismos de auditoría interna del BCMS y los resultados para determinar su eficacia.
En otras palabras, un auditor puede (y, de hecho, debería), como resultado directo de los
resultados y las oportunidades de mejora en relación con la eficacia del sistema de auditoría
interna de una organización, modificar la planificación de una auditoría que se adapte a
estas conclusiones. El auditor puede obtener información durante una auditoría previa o
®
39
revisión de documentos. Por ejemplo, si la auditoría previa reveló que el personal de

auditoría de la organización no había auditado adecuadamente ciertas operaciones clave
dentro de la organización, durante las auditorías anteriores; el auditor externo "planifica"
estas operaciones durante su auditoría con el fin de garantizar que estaban "controlados".
Por supuesto, lo contrario podría aplicarse; el muestreo podría reducirse si el sistema de
auditoría interna demostró la auditoría completa y exhaustiva de determinadas operaciones.
Básicamente, el auditor externo debe determinar si el programa de auditoría y la

metodología se basan en:
 la política actual, los planes y las estrategias de la organización;
 los programas de gestión actuales de la organización;
 los controles operacionales de la organización.
Para lograrlo, es esencial que el auditor externo esté completamente informado en cuanto
al alcance y la aplicación del BCMS de la organización para mantener un "punto de
referencia" constante respecto a las preguntas que realiza. El auditor externo también
requiere del conocimiento de la política, planes y estrategias como un "punto de referencia"
durante el examen del desempeño de la auditoría interna.
Ciertos principios fundamentales deben aplicarse sin importar qué circunstancias de la

organización se aplican:
 evaluar la formación de auditores internos:
- ¿es adecuada en su enfoque de las cuestiones de continuidad de negocio de

la organización?
- ¿es adecuado su "conocimiento básico" de la metodología de la auditoría?
 examinar el programa de auditoría:
- ¿es exhaustivo en cuanto a la cobertura del sistema?
- ¿es capaz de cambiar si las circunstancias lo exigen?
- ¿demuestra que se utilizan las anteriores conclusiones de la auditoría?
- ¿es relevante en cuanto a los aspectos esenciales de la organización?
 examinar la planificación y preparación de la auditoría:
- ¿demuestra la asignación de auditores capacitados con imparcialidad y

objetividad?
®
40
- ¿demuestra el uso de listas de verificación preparadas para evaluar el

sistema, no solo la norma?
 examinar los resultados de la auditoría:
- ¿documentan toda la actividad de auditoría, el registro de lo "bueno" y lo

"malo"?
- ¿demuestran que la formación del auditor fue eficaz?
 examinar las Declaraciones de resultados/CAR:
- ¿cumplen con los criterios de clasificación identificados?
- ¿demuestran que la formación del auditor fue eficaz?
- ¿forman una base desde la cual se pueden tomar medidas correctivas?
- ¿demuestran una revisión eficaz de la aplicación exitosa de las acciones

correctivas y medidas preventivas "oportunas" que se han logrado?
 examinar los resultados de la auditoría:
- ¿proporcionan una herramienta adecuada para la revisión por parte de la

dirección con base en la determinación de la mejora y la eficacia del sistema?
Todos estos principios requieren que las auditorías internas que realiza una organización se
centren en el BCMS y las actividades que controlan los niveles de servicio. En
consecuencia, esto también significa que una organización debe asegurarse de que el
personal que se utiliza para la realización de auditorías internas está capacitado en asuntos
relacionados con la continuidad del negocio en las áreas y actividades que serán
responsables de la auditoría. De lo contrario, es poco probable que el auditor interno pueda
juzgar adecuadamente la eficacia.
Segunda parte (Auditoría externa)
Definición:
Una auditoría que realiza la organización a sus proveedores y subcontratistas.
Objetivo:
 determinar la idoneidad de los proveedores;
 valorar el desempeño de los proveedores y los subcontratistas;
 determinar que los proveedores tienen la capacidad de suministrar el producto

para satisfacer las necesidades de compra.
®
41
Auditoría de terceros (Auditoría externa)
Definición:
Una auditoría que realiza un organismo que es comercial y contractualmente independiente

de la organización, sus proveedores y clientes. En este contexto, la auditoría que realiza un
organismo de certificación respecto a una organización del sistema BCM, según lo que
establece la Norma ISO 22301:2012.
Objetivo:
Determinar si se ha establecido, documentado, implementado y mantenido el BCMS de la

organización, de acuerdo con un procedimiento determinado.
PROGRAMAS DE AUDITORÍA
Para cualquier organización, los programas de auditoría deben determinarse, gestionarse y

controlarse con el fin de ser eficaces y de demostrar una mejora continua.
PLANIFICACIÓN DE LA AUDITORÍA
GENERAL
Para la primera auditoría de certificación, el proceso de planificación se iniciará con la

recepción de una solicitud de un cliente de auditoría.
Para una auditoría de segunda parte, este proceso de planificación puede iniciar a través de
un proceso de licitación o antes de que se adjudique un contrato, o como parte de un
contrato vigente.
Un programa de auditoría interna se planificará teniendo en cuenta el estado y la

importancia de los procesos y las áreas a auditar, así como los resultados de las auditorías
previas.
Objetivos de auditoría
Dentro del programa general de la auditoría, cada auditoría individual debe basarse en los
objetivos documentados, el alcance y los criterios.
Los objetivos de una auditoría pueden incluir uno o todos los siguientes:
 Confirmar que el sistema de gestión cumple con todos los elementos de la

'Norma'.
 Determinar si el sistema de gestión está diseñado para lograr y está logrando, el

cumplimiento de la normativa y la mejora continua en el desempeño de los
procesos del sistema.
®
42
 Confirmar que la organización cumple con sus propias políticas y procedimientos.
 Evaluar la capacidad del sistema de gestión para garantizar el cumplimiento de

los requisitos legales y contractuales.
 Evaluar la eficacia del sistema de gestión implementado en el cumplimiento de

los objetivos.
 Identificar áreas de mejora potencial del sistema de gestión.
Alcance de la auditoría
El alcance de la auditoría describe el alcance y los límites de la auditoría en lo que se

refiere a factores tales como:
 ubicaciones físicas;
 unidades de la organización;
 las actividades y los procesos para ser auditados;
 la duración de la auditoría.
Los criterios de auditoría
Los criterios de auditoría aplicables pueden incluir:
 los requisitos de la norma del sistema de gestión;
 las políticas;
 los procedimientos;
 reglamentos;
 leyes;
 requisitos del sistema de gestión;
 requisitos del contrato;
 códigos de conducta del sector industrial.
Los objetivos, el alcance y los criterios de la auditoría
Debe definirlos la organización que está siendo auditada.
Como consecuencia, cualquier cambio posterior debe acordarse con el cliente, la gestión
del programa de auditoría, y en su caso, la entidad auditada, previa consulta con el auditor.
Muestreo en distintos sitios
®
43
Para un cliente importante, con varios o muchos sitios, puede ser apropiado realizar
muestras en los sitios que cubren la misma actividad en diferentes lugares. La razón para el
plan de muestreo debe documentarse para cada cliente.
EL EQUIPO DE AUDITORÍA
Selección del equipo de auditoría
Tan pronto como la auditoría se declara viable, debe establecerse la composición del
equipo de auditoría:
El director del programa de auditoría debe nombrar a un jefe del equipo de auditoría con los
conocimientos y habilidades necesarias para alcanzar los objetivos de la auditoría.
El equipo de auditoría estará integrado por un jefe del equipo de auditoría y puede incluir
auditores, auditores en formación y expertos técnicos que trabajan bajo la dirección del jefe
del equipo de auditoría.
Sin embargo, si solo hay un auditor, este debe realizar todas las funciones del jefe del
equipo de auditoría.
Debe prestarse atención a los siguientes aspectos al decidir el tamaño y la composición del
equipo de auditoría:
 Los objetivos de la auditoría, el alcance, los criterios, la ubicación y la duración

estimada.
 Si la auditoría es una auditoría combinada, integrada o conjunta.
 La competencia general necesaria para alcanzar los objetivos de la auditoría.
 Los requisitos de los organismos de certificación o acreditación, según corresponda.
 El idioma de la auditoría y la comprensión del entorno social y cultural de la

entidad auditada.
 La necesidad de asegurar la independencia del equipo de auditoría de las

actividades que se van a auditar y evitar los conflictos de interés.
 La capacidad de los miembros del equipo de auditoría para interactuar de forma

efectiva con la entidad auditada y trabajar juntos.
El cliente de la auditoría y la entidad auditada individual tienen el derecho de solicitar la

sustitución de determinados miembros del equipo por motivos razonables; dichas
solicitudes deben presentarse a la dirección del programa de auditoría. Algunos ejemplos
de motivos razonables pueden ser los conflictos de intereses (como un miembro del equipo
®
44
de auditoría que fue empleado de la entidad auditada o prestó servicios de consultoría) o la

anterior conducta inmoral.
Los auditores del equipo seleccionado deben tener conocimiento del sector de actividad en
que se realiza la auditoría y de las cuestiones clave de la organización. Deben ser
conscientes de la cultura y la ética de la organización a ser auditada. Esto es importante
cuando se evalúa el papel proactivo de la integración de la gestión respecto a los objetivos
empresariales, la política y los requisitos del sistema de gestión de continuidad del negocio.
Funciones y responsabilidades del auditor
Conocimientos y habilidades del jefe del equipo
El jefe del equipo de auditoría debe tener los conocimientos y las aptitudes y proporcionar
liderazgo para el equipo de auditoría, a fin de facilitar la realización eficaz y eficiente de la
auditoría. El jefe del equipo de auditoría debe tener los conocimientos y habilidades
necesarias para realizar las siguientes acciones:
a) Equilibrar las fortalezas y debilidades de los distintos miembros del equipo de auditoría.
b) Desarrollar una relación de trabajo armoniosa entre los miembros del equipo de auditoría.
c) Administrar el proceso de auditoría, incluyendo:
 Planificación de la auditoría y uso eficaz de los recursos durante la auditoría.
 Gestionar la incertidumbre de lograr los objetivos de la auditoría.
 Proteger la salud y la seguridad de los miembros del equipo de auditoría durante

la auditoría, incluida la tarea de garantizar el cumplimiento de los auditores con
los requisitos en materia de salud y seguridad pertinentes.
 Organizar y dirigir a los miembros del equipo de auditoría.
 Proporcionar dirección y orientación a los auditores en formación.
 Prevenir y resolver conflictos, según sea necesario.
d) Representar al equipo de auditoría en las comunicaciones con la persona que administra el

programa de auditoría, el cliente de la auditoría y la entidad auditada.
e) Dirigir al equipo de auditoría para llegar a las conclusiones de la auditoría.
c) Preparar y completar el informe de auditoría.
Tareas del equipo de auditoría
®
45
El jefe del equipo de auditoría debe asignar a cada uno de los miembros del equipo de
auditoría, los procesos, las funciones, sitios, áreas y actividades de los sistemas de gestión
específicos.
Dichas asignaciones deben tener en cuenta la necesidad de mantener la independencia del

auditor, la competencia y el uso eficiente de los recursos.
La asignación de tareas debe darse a conocer a la organización que está siendo objeto de
una auditoría. El equipo de auditoría:
 Examinará y verificará la estructura, las políticas, los procesos, los procedimientos,

registros y documentos relacionados de la organización, en lo que se refiere al
sistema de gestión.
 Determinará que estas cumplan todos los requisitos pertinentes al alcance

previsto de la certificación.
 Determinar que los procesos y procedimientos se establecen, implementan y

mantienen de manera eficaz, a fin de proporcionar una base para la confianza en el
sistema de gestión de la entidad auditada.
 Comunicar a la entidad auditada, para tomar acción, cualquier incoherencia entre

las políticas y los objetivos y metas, así como los resultados.
Las responsabilidades de los miembros del equipo
Los miembros del equipo deben:
 Revisar toda la información relevante relacionada con sus tareas asignadas.
 Elaborar los documentos de trabajo (incluidas las listas de verificación) necesarios

para llevar a cabo esas tareas.
 Cumplir con los requisitos de la auditoría.
 Llevar a cabo las tareas asignadas con eficiencia y eficacia.
 Informar las disconformidades y los resultados de la auditoría al Jefe de Equipo.
 Cooperar y apoyar al Líder del Equipo.
 Durante la auditoría, los miembros del equipo deben:
 Permanecer dentro del alcance de la auditoría.
 Comunicar los requisitos de la auditoría a la entidad auditada.
®
46
 Recopilar la evidencia de la auditoría tanto a favor como en contra de la

conformidad.
 Documentar cualquier Solicitud de acción correctiva (CAR, por sus siglas en

inglés).
 Informar los resultados de la auditoría a la entidad auditada.
 Verificar las medidas correctivas adoptadas en respuesta a las CAR.
 Conservar y salvaguardar todos los documentos relativos a la auditoría.
Comunicación durante la auditoría
Durante la auditoría, el equipo de auditoría debe evaluar el progreso y el intercambio de

información. Es posible que el jefe del equipo deba reasignar el trabajo, según sea
necesario, entre los miembros del equipo de auditoría y comunicar periódicamente el
avance de la auditoría y cualquier inquietud a la empresa auditada.
Si el equipo descubre evidencia que indica que no pueden cumplirse los objetivos de la
auditoría o sugiere la presencia de un riesgo inmediato y significativo (por ejemplo,
seguridad), el jefe del equipo debe informar a la entidad auditada. Es preciso tomar
medidas que pueden incluir la confirmación o modificación del plan de auditoría, los
cambios en los objetivos de la misma o el alcance de la auditoría o su terminación.
El Jefe del equipo debe revisar con el cliente cualquier necesidad de cambio en el alcance
de la auditoría, que se hace evidente a medida que progresan las actividades de auditoría
en el sitio.
BUENAS PRÁCTICAS EN LAS REUNIONES
En las reuniones, los auditores deben seguir siendo educados, tranquilos y profesionales en
todo momento.
Deben:
 presentarse;
 asegurarse de que se conoce y entiende la agenda;
 cumplir la agenda;
 mantener el control;
 respetar los tiempos;
 evitar discusiones;
®
47
 escuchar a los demás;
 mantener registros adecuados.
AUDITORÍA DE CERTIFICACIÓN INICIAL
La auditoría de la certificación inicial del sistema de gestión se lleva a cabo en dos etapas:
Etapa 1 y Etapa 2.
Etapa 1 de auditoría
La norma ISO 17021 establece la función de la Etapa 1 de auditoría:
a) Auditar la documentación del sistema de gestión del cliente.
b) Evaluar la ubicación del cliente y las condiciones específicas de cada sitio e iniciar
conversaciones con el personal del cliente para determinar su grado de preparación
para la Etapa 2 de auditoría.
c) Revisar la situación del cliente y entender los requisitos de la Norma, en particular

con respecto a la identificación de los principales aspectos de rendimiento o
aspectos importantes, procesos, objetivos y funcionamiento del sistema de gestión.
d) Recopilar la información necesaria sobre el alcance del sistema de gestión, los

procesos y ubicación del cliente, y los aspectos legales y reglamentarios
relacionados y el cumplimiento (por ejemplo, los aspectos legales de la operación
del cliente, los riesgos asociados, etc.).
e) Revisar la asignación de recursos para la Etapa 2 de auditoría y acordar con el cliente

los detalles de la Etapa 2 de auditoría.
f) Proporcionar un enfoque para la planificación de la Etapa 2 de auditoría al obtener

una comprensión suficiente del sistema de gestión del cliente y las operaciones del
sitio en el contexto de posibles aspectos significativos.
g) Evaluar si las auditorías internas y la revisión de la dirección se planificaron y llevaron

a cabo, y que el nivel de aplicación del sistema de gestión demuestra que el cliente
está listo para la Etapa 2 de auditoría.
Para la mayoría de los sistemas de gestión, la norma ISO 17021 recomienda que por lo
menos una parte de la Etapa 1 de auditoría deba llevarse a cabo en las instalaciones de la
entidad auditada, con el fin de lograr los objetivos mencionados anteriormente.
Los resultados de la Etapa 1 de auditoría se documentan y envían a la entidad auditada.

Estos deben incluir la notificación de todas las áreas de interés que pueden clasificarse
como inconformidad durante la Etapa 2 de auditoría. Los resultados de la Etapa 1 de
®
48
auditoría se documentan y envían al cliente. Estos deben incluir la notificación de todas las
áreas de interés que pueden clasificarse como inconformidad durante la Etapa 2 de
auditoría.
Los resultados de la Etapa 1 de auditoría se documentan y envían al cliente. Estos deben

incluir la notificación de todas las áreas de interés que pueden clasificarse como
inconformidad durante la Etapa 2 de auditoría.
La auditoría no debe continuar hasta que las deficiencias se resuelvan a satisfacción de la

dirección del programa de auditoría, en consulta con el cliente de auditoría, el jefe del
equipo de auditoría y, en su caso, la entidad auditada.
EL PLAN DE AUDITORÍA
El jefe del equipo de auditoría debe preparar un plan para las actividades de auditoría en el
sitio. El plan debe proporcionar la información necesaria para el equipo de auditoría, la
entidad auditada y el cliente de auditoría. Debe permitir la planificación y la coordinación de
las actividades de auditoría. Un ejemplo de un plan de auditoría proforma se establece en
el Apéndice 9.
El nivel de detalle debe adaptarse para satisfacer el alcance y la complejidad de la auditoría.

Los detalles pueden diferir entre la auditoría inicial y las auditorías de vigilancia y entre las
auditorías internas y externas.
En la elaboración del plan, el jefe del equipo de auditoría debe considerar:
 las técnicas de muestreo apropiadas;
 la composición del equipo de auditoría y su competencia colectiva;
 los riesgos para la organización creada por la auditoría; por ejemplo, la presencia
del equipo de auditoría influye en la salud y la seguridad, el medio ambiente y la
amenaza a los productos, servicios, el personal o a la infraestructura de la
entidad auditada.
El plan de auditoría debe incluir:
 los objetivos de la auditoría y el alcance;
 los criterios de auditoría y los documentos de referencia;
 las fechas y los lugares donde se realizan las actividades de auditoría en el sitio;
 la identificación de las unidades funcionales y de la organización, así como los

procesos que se van a auditar;
®
49
 la hora prevista y la duración de las actividades en el sitio de la auditor ía,

incluidas las reuniones con la dirección de la entidad auditada y las reuniones del
equipo de auditoría.
 El plan también podría incluir, según proceda:
 La identificación de los sitios, actividades y procesos del sistema de gestión que

son esenciales para cumplir los objetivos de la auditoría con el fin de asignar los
recursos adecuados en las zonas críticas de la auditoría;
 la identificación de los representantes principales de la entidad auditada que

participan en la auditoría;
 el idioma de trabajo y presentación de informes de la auditoría, cuando es

diferente del idioma de los auditor(s) o la entidad auditada;
 la identificación de las funciones y responsabilidades de los miembros del

equipo de auditoría y sus acompañantes;
 los temas del informe de auditoría (incluidos los métodos de clasificación de

disconformidades), formato y estructura, fecha prevista de emisión y distribución;
 preparativos logísticos (viajes, instalaciones en el sitio, etcétera);
 cuestiones relacionadas con la confidencialidad;
 los arreglos para las acciones de seguimiento de auditoría.
En la planificación de auditorías en el sitio, los auditores deben estar conscientes y tener en

cuenta cualquier asunto cultural o de la aduana local que influye en la realización de la
auditoría. Pueden estar relacionados con el idioma, la vestimenta y el comportamiento
personal del auditor. Los auditores deben ser sensibles a las necesidades y expectativas de
las entidades auditadas.
El cliente de la auditoría debe revisar y aceptar el plan y se presenta a las entidades

auditadas, antes de la auditoría.
Las objeciones por parte de la entidad auditada deben resolverse entre el jefe del equipo
de auditoría, la entidad auditada y el cliente de auditoría antes de continuar con la auditoría.
El plan de auditoría debe ser lo suficientemente flexible para permitir cambios, tales como
los cambios en el énfasis que pueden ser necesarios a medida que avanzan las actividades
de auditoría en el sitio. Cualquier itinerario de auditoría revisado será acordado entre las
partes interesadas, antes de continuar con la auditoría.
SITIOS, TURNOS Y PLAN DE MUESTREO
®
50
Los siguientes puntos deben abordarse en la planificación de la auditoría del BCMS:
 la sede del cliente de auditoría debe auditarse en todas las visitas;
 el sitio de Recuperación de desastres (DR, por sus siglas en inglés) debe visitarse
durante la auditoría inicial y al menos una vez durante cada ciclo de certificación;
 debe prepararse un plan de muestreo o plan del proyecto para múltiples sitios;
 el alcance de la auditoría debe identificar las funciones, los procesos, patrones

de cambio y el número de empleados;
 debe asignarse suficiente tiempo de auditoría a los sitios remotos identificados

en el plan de muestreo;
 para los sistemas de varios turnos de operación de la organización, el turno

nocturno se auditará durante la auditoría inicial y una vez durante cada ciclo de
certificación.
ETAPA 2 DE AUDITORÍA
El objetivo de la Etapa 2 de auditoría es evaluar la aplicación y la eficacia del sistema de

gestión del cliente. La Etapa 2 de auditoría se llevará a cabo en el sitio del cliente. Las áreas
cubiertas durante la Etapa 2 de auditoría incluirán:
 Información y pruebas sobre la conformidad con los requisitos de la norma de

sistemas de gestión aplicable u otro documento normativo;
 supervisión del desempeño, medición, presentación de informes y revisión de

los principales objetivos de desempeño y metas;
 el sistema de gestión y ejecución del cliente, en relación con el cumplimiento

de los requisitos legales;
 control operacional de los procesos del cliente;
 auditoría interna y revisión de la dirección;
 responsabilidad de gestión de las políticas del cliente;
 vínculos entre los requisitos normativos, la política, los objetivos de desempeño

y metas, los requisitos legales aplicables, las responsabilidades, la competencia
del personal, las operaciones, los procedimientos, los datos de rendimiento y
los resultados y las conclusiones de la auditoría interna.
Proceso de la auditoría en el sitio
®
51
La auditoría en el sitio se conoce como Etapa 2 de Auditoría en una auditoría de certificación

inicial.
La información recopilada durante la auditoría será verificada por los auditores y luego
puede considerarse como "evidencia de auditoría".
Evidencia de auditoría
La norma ISO 19011 define la evidencia de auditoría como:
Registros, declaraciones de hechos o cualquier otra información que sea pertinente para los
criterios de auditoría y pueda verificarse.
La evidencia de auditoría debe identificarse, documentarse y registrarse.
El auditor debe obtener información sobre:
 personas;
 procesos;
 equipo, herramientas, materiales;
 documentación.
Esto se hace de varias maneras, tales como:
 entrevistas;
 observaciones de las actividades y el entorno y las condiciones de trabajo

circundantes;
 los documentos, por ejemplo: política, objetivos, planes, procedimientos,

instrucciones, licencias y permisos, especificaciones, dibujos, contratos, pedidos;
 los documentos tales como: registros de inspección, actas de reuniones,

informes o registros de las quejas de los clientes y otras comunicaciones
relevantes de partes interesadas externas, los informes de auditoría, programas
de supervisión y resultados de las mediciones;
 resúmenes de datos, análisis, estadísticas e indicadores de desempeño;
 registros de la base de los programas de muestreo y los procedimientos

pertinentes para garantizar un control eficaz de la calidad de los procesos de
medición y muestreo;
 informes de otras fuentes, por ejemplo, retroalimentación del cliente, informes

externos y calificación de los proveedores;
®
52
 bases de datos informáticos y sitios web.
También debe recopilarse información relacionada con las interfaces entre las funciones,
actividades y procesos.
El proceso paso a paso de las actividades de seguimiento, siguiendo pistas y verificando la

evidencia para obtener la información se llama "pista de auditoría".
La evidencia de auditoría obtenida durante una auditoría inevitablemente será solo una
muestra de la información disponible, ya que una auditoría se lleva a cabo durante un
periodo limitado de tiempo y con recursos limitados. Existe, pues, un elemento de
incertidumbre inherente en todas las auditorías, y la atención de los usuarios de las
conclusiones de la auditoría deben dirigirse a esta incertidumbre.
Muestreo
Un auditor no puede entrevistar a cada persona, observar cada actividad o tarea, examinar
todos los documentos y registros; simplemente no hay tiempo para ello. Una auditoría
debe basarse en el muestreo de evidencia suficiente para poder establecer, con confianza,
el grado de conformidad demostrado en el proceso de revisión.
El objetivo del muestreo de auditoría es proporcionar información para que el auditor tenga
confianza de que los objetivos de la auditoría pueden alcanzarse o se alcanzarán.
El riesgo asociado con el muestreo es que las muestras pueden no ser representativas de la
población de la cual se seleccionan, y por lo tanto, la conclusión del auditor puede estar
sesgada y ser diferente a la que se alcanzaría si se examinara toda la población. Puede
haber otros riesgos en función de la variabilidad dentro de la población objeto de muestreo
y el método elegido.
El muestreo de auditoría normalmente implica los siguientes pasos:
 establecer los objetivos del plan de muestreo;
 seleccionar la extensión y la composición de la población objeto de muestreo;
 seleccionar un método de muestreo;
 determinar el tamaño de la muestra a tomar;
 llevar a cabo la actividad de muestreo;
 recopilar, evaluar, informar y documentar los resultados.
En la toma de muestras, se debe tener en cuenta la calidad de los datos disponibles, ya que
el muestreo de datos insuficientes y la inexactitud de los datos no proporcionan un
resultado útil. La selección de una muestra adecuada debe basarse en el método de
®
53
muestreo y el tipo de información requerida, por ejemplo, para inferir un patrón de

comportamiento particular o hacer inferencias de una población.
Los informes sobre la muestra seleccionada puede tener en cuenta el tamaño de la

muestra, el método de selección y las estimaciones realizadas a partir de la muestra y el
nivel de confianza.
Las auditorías pueden utilizar el muestreo basado en juicio o el muestreo estadístico.
El muestreo basado en juicio se basa en el conocimiento, las habilidades y la experiencia

del equipo de auditoría.
Si se toma la decisión de utilizar el muestreo estadístico, el plan de muestreo debe basarse

en los objetivos de la auditoría y lo que se conoce sobre las características de la población
en general de la que se tomarán las muestras.
SESIÓN DE APERTURA
Se celebrará una reunión de apertura con la dirección de la organización que es objeto de la

auditoría o, en su caso, los responsables de las funciones o procesos a ser auditados.
Deben mantenerse registros de asistencia en la sesión de apertura.
El objetivo de la reunión es:
 presentar o confirmar el plan de auditoría;
 aclarar cómo se llevarán a cabo las actividades de auditoría;
 establecer comunicación.
La reunión será presidida por el Jefe del equipo de auditoría y los siguientes elementos se
considerarán, según proceda:
 Introducción de los delegados, incluyendo una breve descripción de sus

funciones.
 Confirmación de los objetivos, el alcance y los criterios de la auditoría.
 Confirmación del plan de auditoría y otros mecanismos pertinentes con la

entidad auditada, tales como la fecha y la hora de la sesión de clausura, las
reuniones intermedias entre el equipo de auditoría y la dirección de la entidad
auditada, y los cambios de última hora.
 Los métodos y procedimientos que se utilizarán para llevar a cabo la auditoría, el

asesoramiento a la entidad auditada solo será una muestra de la información
disponible y del elemento de incertidumbre inherente a todas las auditorías.
®
54
 Confirmación de vínculos formales de comunicación entre el equipo de auditoría

y la entidad auditada.
 Confirmación de que durante la auditoría, se informará a la entidad auditada

sobre el progreso de la misma.
 Confirmación de que los recursos y las instalaciones necesarias para el equipo

de auditoría están disponibles.
 Confirmación de las cuestiones relacionadas con la confidencialidad.
 Confirmación de los procedimientos pertinentes de seguridad en el trabajo, de

emergencia y procedimientos de seguridad para el equipo de auditoría.
 Confirmación de la disponibilidad, las funciones y la identidad de las guías.
 Método de presentación de informes, incluso la clasificación de disconformidades.
 Información acerca de cualquier sistema de recursos de auditoría.
Al cierre de la sesión de apertura, se debe dar oportunidad a la entidad auditada de

formular preguntas.
Las reglas de oro son:
 ser breve y conciso;
 mantener el control.
Después de la sesión de apertura, los auditores podrán solicitar un breve recorrido por las
instalaciones para familiarizarse con el diseño de la organización.
Las sesiones de apertura de las auditorías internas pueden ser menos formales. Las guías,
los representantes, las sesiones formales de apertura y clausura pueden no ser necesarios
para la realización de auditorías internas.
REALIZACIÓN DE LA AUDITORÍA
Auditoría: los problemas de las personas
Una auditoría eficaz incluye:
 buena planificación;
 preparación.
¿Cuáles son los riesgos de las relaciones interpersonales de una auditoría?
 la entidad auditada no coopera por cualquier motivo;
®
55
 la entidad auditada considera realmente que el proceso no es justo;
 hay una causa justa para la queja sobre la conducta del auditor;
 el auditor no obtiene información eficaz sobre el estado del proceso de auditoría.
Las auditorías siempre implican la realización de entrevistas y, por tanto, es una experiencia
personal para ambas partes.
La entidad auditada puede sentirse:
 atacada;
 aprensiva;
 nerviosa;
 amenazada;
 enojada;
 con ganas de desahogarse.
La entidad auditada debe sentirse relajado y feliz de hablar con el auditor.
El auditor puede sentirse:
 estresado;
 irritable;
 cómodo;
 cortante;
 curioso;
 presionados por el tiempo;
 relajado con suficiente tiempo;
 cansado;
 que esto será un problema.
Sea como fuere, el auditor debe estar:
 alerta y relajado: comprender rápidamente la condición o actitud de la entidad

auditada;
 amable y educado;
®
56
 no amenazante;
 atento a las necesidades y la actitud de la entidad auditada;
 capaz de ser suavemente persistente;
 capaz de darse cuenta cuando la entidad/persona auditada está desconcertado

por la pregunta que se le hace;
 capaz de escuchar.
Todo el proceso depende del auditor. La entidad/persona auditada no solicitó al auditor

estar allí, por lo que el auditor debe manejar toda la situación para asegurarse de que:
 se cubran todos los aspectos que estaban previstos;
 se hacen frente a cualquier cambio;
 las situaciones se controlan sin ser agresivo;
 la entidad/persona auditada se siente cómoda, relajada y comunicativa;
 nadie tiene causa justa para examinar un reclamo;
 se considera que el proceso es de valor;
 se respetan los plazos acordados.
La interacción humana es muy importante, especialmente la primera impresión. El auditor

debe pensar en:
 la vestimenta: de conformidad con la auditoría;
 las presentaciones;
 la sonrisa de saludo;
 el lenguaje que utiliza;
 la charla;
 dónde y cómo se lleva a cabo la auditoría, por ejemplo:
 ¿el auditor debe sentarse o estar de pie?
 cómo debe utilizarse la lista de verificación;
 el número de personas que rodean a la entidad/persona auditada.
El auditor debe tratar a la entidad/persona auditada como les gustaría ser tratados.
®
57
El lenguaje corporal es muy importante y ¡el auditor debe confiar en su intuición!
 Si la gente parece nerviosa, ¡lo está!
 Si parece molesta, ¡lo está!
 Si parece evasiva, ¡lo es!
El auditor debe tratar de entender por qué se sienten de esa manera, por ejemplo:
 ¿No entendieron la pregunta?
 ¿Tienen algo que ocultar?
 ¿Se siente incómodo con este interrogatorio?
 ¿Están en desacuerdo con los resultados, pero no lo dicen?
 ¿Hay alguna razón externa? ¿Posiblemente algo de su vida?
 ¿Es el auditor sensible a sus necesidades?
En estas circunstancias, el auditor debe:
 Evaluar rápidamente la situación y, si es necesario, ¿desactivarla?
 ¿Tomar un descanso?
 Indagar sobre el "problema";
 ¿Entendió mal?
 ¿Es el auditor demasiado pedante?
El resultado correcto es que:
 La entidad/empresa auditada considera que el proceso fue justo y no le molesta

su actitud.
 El proceso se auditó de manera efectiva.
 Las conclusiones fueron justas, precisas y aceptadas.
CONTROL DE LA AUDITORÍA
El auditor debe controlar la auditoría.
NO:
 no se desvíe del tema;
 no deje que lo guíen o lo engañen;
®
58
 no permita que lo confundan;
 no permita que la entidad/persona auditada dicte el ritmo de la auditoría;
 no haga suposiciones o presunciones.
SÍ:
 esté preparado;
 sea puntual;
 insista en que la persona a la que se pregunta debe responder por sí misma;
 hable lo menos posible;
 evite malos entendidos;
 asegúrese de hacer preguntas claras y concisas;
 sea educado y tranquilo;
 felicite.
El auditor debe estar preparado y ser conscientes de una serie de posibles incidencias en el
curso de la auditoría. Por ejemplo:
 entidades/personas auditadas agresivas;
 entidades/personas auditadas tímidas;
 faltan personas;
 faltan documentos;
 muestras preparadas anticipadamente (siempre las suyas);
 casos especiales;
 asuntos locales y costumbres culturales;
 chantaje emocional.
Cuando se enfrenta a estas situaciones, el auditor debe actuar con decisión,

profesionalmente y de manera justa, teniendo en cuenta los objetivos y el propósito de la
auditoría en el sitio.
REUNIÓN DE REVISIÓN DE AUDITORÍA
Cuando la auditoría se completa, el Jefe del equipo de auditoría debe llevar a cabo una
revisión privada de los resultados con los miembros del equipo de auditoría. También
®
59
puede ser necesario realizar revisiones provisionales o al final del día. La revisión incluirá a
todos los miembros del equipo de auditoría.
La revisión incluirá:
 Un estudio de las notas y/o la comparación de las notas con los miembros del
equipo.
 Una revisión de las listas de verificación.
 El listado de resultados, junto con cualquier evidencia de auditoría.
 Las decisiones sobre las disconformidades y las oportunidades de mejora.
 La redacción y la clasificación de las Solicitudes de medidas correctivas (CAR).
RESULTADOS DE LA AUDITORÍA
Hasta que esté clasificado, un resultado de la auditoría puede ser:
 inconformidad;
 no conformidad;
 incumplimiento;
 Oportunidad de mejora u "observación".
Una inconformidad (no conformidad o incumplimiento) se produce cuando el proceso o el

procedimiento que se audita no se está llevando a cabo o completando como se debe.
La inconformidad se define como:
 El incumplimiento de un requisito.
Por lo tanto, la inconformidad puede ser un fracaso para:
 cumplir con la norma aplicable a la organización;
 aplicar la política de continuidad del negocio, los requisitos documentados o del

proceso que especifica la organización;
 Implementar un requisito legal o contractual.
Si no se ha especificado ninguna condición, no puede haber inconformidad. Lo que el

auditor considera que se debe hacer no es un requisito especificado.
Las disconformidades deben ser registrados y apoyada por evidencia de auditoría. Las
disconformidades deben revisarse con un representante apropiado de la entidad/persona
auditada para obtener el reconocimiento de la evidencia de auditoría. El reconocimiento del
®
60
representante de la entidad/persona auditada indica que la evidencia de auditoría es exacta

y que la disconformidad se entiende. Debe hacerse todo lo posible para solucionar
cualquier divergencia de opinión en cuanto a la evidencia de auditoría, y deben registrarse
los puntos pendientes.
A veces, durante una auditoría, el auditor puede identificar una deficiencia que luego la
dirección resuelve de manera efectiva, antes de la sesión de clausura. En una situación
como esta, siempre y cuando el auditor está convencido de que la cuestión ha sido
resuelta, no debe plantearse formalmente en la sesión de clausura. El auditor debe hacer
un registro para verificar que las acciones emprendidas se han completado y son
aceptables.
DECLARACIÓN DE RESULTADOS
Una "declaración de resultados" es un relato escrito de la disconformidad.
Algunas organizaciones de auditoría insisten en que las declaraciones de resultados deben

escribirse inmediatamente cuando se identifica una deficiencia y se obtiene la firma del
representante. Sin embargo, el auditor debe asegurarse de que se recolectaron todas las
pruebas pertinentes antes de tomar una decisión.
La práctica recomendada es:
 repasar los hechos verbalmente y acordar con la entidad/empresa auditada

sobre la naturaleza de la disconformidad, detallando la evidencia de auditoría;
 tomar nota y consultar posteriormente, a fin de hacer una declaración;
 preparar un borrador de las declaraciones de resultados durante un alm uerzo de

trabajo o al final del día, luego finalizarlas en la revisión privada.
Cuando trabaja como miembro de un equipo de auditoría, el auditor debe revisar la

evidencia con el equipo, antes de decidir la redacción de una declaración de resultados y
su clasificación.
La declaración de resultados debe contener:
 visión general de resultados;
 descripción de la disconformidad;
 ejemplo de evidencia de auditoría;
 resumen de las necesidades.
A continuación se presentan ejemplos de las declaraciones de resultados:
®
61
Ejemplo 1:
No hay evidencia de que los empleados sean competentes para llevar a cabo sus tareas de
BCM. Los empleados no recibieron capacitación sobre los PIM y BCP para realizar las tareas
necesarias. El procedimiento ABC-OO-XX indica diversos requisitos de formación para
diferentes funciones, sujeto a su papel en el sistema de gestión de continuidad del negocio
y responsabilidad, estos aún no se han implementado.
Ejemplo 2:
La determinación de la estrategia de continuidad del negocio no está completa, ya que la

lista maestra de los interesados no muestra los proveedores o socios subcontratados.
Como distribuidor de alimentos congelados, la organización utiliza proveedores externos
para abastecer las cinco plantas de almacenamiento en frío y los muchos vehículos
pesados de transporte de mercancías que son esenciales para mantener el negocio.
Un número similar de inconformidades puede agruparse por proceso, función,

procedimiento o cláusula de la Norma en una sola declaración de resultados.
SOLICITUD DE ACCIÓN CORRECTIVA (CAR)
Este es un formulario que utilizan muchas organizaciones. Se utiliza para describir una
disconformidad o incumplimiento y solicitar una acción. También puede conocerse como
Informe de disconformidades, Aviso de incumplimiento, etcétera.
Se presenta una CAR, después de una cuidadosa consideración en la revisión de auditoría,

antes de la sesión de clausura con la organización.
El formulario de CAR se utiliza para:
 informar disconformidades;
 mostrar el nivel o la clasificación de esas disconformidades.
 registrar la aceptación de la disconformidad de la entidad auditada (por lo

general, el representante de la organización auditada);
 registrar las acciones adoptadas para corregir la disconformidad;
 registrar la aceptación del auditor de las medidas correctivas adoptadas para

resolver la disconformidad.
La CAR debe incluir referencias a:
 El proceso, función o procedimiento aplicable;
 norma y número de cláusula;
®
62
 nombre del auditor;
 declaración de resultados.
CLASIFICACIÓN DE LAS CAR
La clasificación de una disconformidad puede variar de una organización a otra, pero lo

siguiente es un ejemplo típico:
 Mayor
 Menor
CAR Mayor
Se plantea cuando existe:
 incumplimiento de uno o más de los requisitos de la Norma, o
 una situación que plantea una duda importante sobre la capacidad del sistema
de gestión para lograr sus resultados previstos.
En términos generales, esto sería el punto donde la disconformidad puede resultar en un

riesgo inmediato para la eficacia del BCP, tales como:
 la ausencia o el incumplimiento sustancial para cumplir con los requisitos de la

Norma, o
 cuando la disconformidad indica un total fracaso de un proceso o un procedimiento

crítico para la continuidad del negocio, o para el funcionamiento eficaz del
sistema de gestión de la organización;
 El cliente no ha resuelto una disconformidad SECUNDARIA en el tiempo

especificado. La disconformidad SECUNDARIA debe indicarse en la nueva
disconformidad PRINCIPAL;
 hay una aparición significativa de disconformidades SECUNDARIAS respecto a un

determinado elemento del sistema de gestión o dentro de un mismo departamento
o actividad;
 el cliente hace mal uso de la Marca de certificación o una marca de acreditación

que tergiversa su certificación.
CAR Menor
Surge cuando se identifica una deficiencia (o deficiencias) en el proceso de funcionamiento

del sistema de gestión de la organización, pero es menos grave que una CAR Mayor.
®
63
La clasificación de las CAR se basa en el buen juicio, la práctica y la experiencia del auditor
y puede tener consecuencias de gran alcance.
Consecuencias de las CAR
Si se plantea una CAR Mayor durante la primera auditoria de terceros, la disconformidad

debe corregirse y la corrección se verifica antes de poder recomendar el Certificado.
Si surge durante la auditoría de vigilancia, la CAR Mayor puede dar lugar a que se retire el
Certificado si no se corrige el problema.
Una CAR menor permite proceder con el certificado. La medida correctiva adoptada, por lo
general, se verifica en la siguiente visita de vigilancia.
Si no se ha cerrado, la CAR menor se reclasifica como mayor.
En las auditorías de segunda parte, una CAR mayor puede derivar en que se retiren, no se
concedan o dejen de renovarse los contratos.
Las CAR menores suelen corregirse y verificarse según lo acordado entre las dos
organizaciones.
La clasificación de las disconformidades no es necesaria para la realización de auditorías

internas. Las CAR tienen el propósito de ayudar a la dirección en la mejora del sistema y en
la auditoría interna, y pueden apoyarse con recomendaciones para corregir y mejorar el
BCMS. Las auditorías, por lo tanto, deben ser positivas y constructivas. Es más importante
una acción correctiva efectiva.
OPORTUNIDADES DE MEJORA
Los resultados de la auditoría también pueden tomar la forma de "oportunidades de

mejora", "observaciones" o "comentarios".
En muchos sentidos, las "oportunidades de mejora" son el valor agregado de la auditoría.

Son los puntos sobre los cuales el auditor puede hacer un comentario, pero por una razón u
otra, no se reportan como CAR.
Las oportunidades de mejora pueden incluir:
 buenas prácticas que podrían beneficiar a otros procesos dentro de la organización;
 las áreas de preocupación que aún no son lo suficientemente graves como para
justificar las CAR;
 las situaciones que si no se resuelven puede dar lugar a las CAR en una fecha
posterior;
®
64
 las deficiencias para las que el auditor está dispuesto a dar el "beneficio de la duda" a
la organización;
 y las propuestas de acciones para mejorar la eficacia del sistema de gestión.
Las oportunidades de mejora proporcionan un método flexible de informes para el auditor y

aunque no tienen carácter oficial, las oportunidades de mejora pueden hacer la diferencia
entre positivo y negativo.
Debido a que las oportunidades de mejora pueden agregar valor a una auditoría, muchas
organizaciones las consideran de la misma manera que las CAR; es decir, las medidas
adoptadas en respuesta a las oportunidades de mejora se revisan y evalúan durante futuras
auditorías.
Conclusión de la auditoría
Habiendo examinado y analizado toda la información y evidencia de la auditoría recopilada

durante las Etapas 1 y 2 de auditoría, el equipo de auditoría estará de acuerdo con la
conclusión de la auditoría que se ha de presentar a la dirección de la organización que haya
sido auditada.
PRESENTACIÓN DE LOS RESULTADOS
Cuando se ha completado la revisión y el análisis de la información y de las pruebas y se

llegó a una conclusión, el auditor/equipo presentará los resultados a la dirección, en una
"sesión de cierre".
Sesión de clausura
Una sesión de clausura, presidida por el jefe del equipo de auditoría, debe realizarse con la
dirección de la entidad/persona auditada y los responsables de las funciones auditadas.
Deben mantenerse registros de asistencia en la sesión de clausura. El objetivo de esta
reunión es presentar los resultados y las conclusiones de la auditoría, de manera que se
garanticen que la entidad/persona auditada los entiende y reconoce, y para acordar el
tiempo en el que la entidad/persona auditada presentará un plan de acción correctiva.
Para la realización de auditorías internas, este puede ser un proceso informal. La reunión ha
de ser constructiva y encaminada a mejorar el sistema, especialmente debido a que el
auditor y la persona auditada trabajan para la misma organización y tienen los mismos
objetivos.
Para una sesión de clausura de una segunda parte se necesita mucho más cuidado, ya que
los contratos en juego y los informes se pueden utilizar como referencia en el futuro. Se
trata de una situación delicada y el auditor debe estar preparado para que la
entidad/persona auditada haga preguntas acerca de sus conclusiones.
®
65
Una sesión de clausura de una tercera parte es generalmente muy formal. El auditor debe
ser consciente de que la organización es el cliente y, por lo tanto, espera una presentación
de resultados amplia, detallada y constructiva.
Realización de la sesión de clausura
La agenda de una sesión de clausura variará según el tipo de auditoría realizada, pero la
siguiente lista, que no es ni exhaustiva ni prescriptiva, contiene los elementos típicos de una
sesión de clausura del programa:
 distribuir la lista de asistencia;
 replantear el objeto y el alcance, incluyendo las exclusiones;
 establecer la decisión y la conclusión;
 resumen de los puntos de las mercancías dentro del BCMS;
 explicar las CAR principales y secundarias;
 explicar cómo llenar el formulario de CAR;
 obtener la firma del representante del cliente en la CAR;
 explicar la importancia de la técnica de muestreo;
 Informe sobre las oportunidades de mejora;
 recalcar la confidencialidad;
 explicar la presentación de informes y seguimiento;
 obtener la firma del registro del auditor;
 obtener la lista de asistencia;
 agradecer al cliente;
 felicitarlo, cuando proceda.
Durante la sesión de clausura, el auditor/jefe de equipo debe:
 explicar todos los resultados y pruebas cuidadosamente y con precisión;
 estar dispuesto a apoyar y justificar las conclusiones;
 evitar que lo arrastren a una discusión;
 disculparse si surge un error y modificar o retirar la CAR, si es necesario;
®
66
 rechazar la "solución rápida" como una solución única para un hallazgo. La

dirección debe investigar y tratar de corregir la causa original del problema para
evitar que se repita.
INFORMES DE LA AUDITORÍA
Preparación del informe de auditoría y contenido
El jefe del equipo de auditoría es responsable de la preparación, la exactitud y la

exhaustividad del informe de auditoría.
El informe de auditoría debe presentar un registro exacto de la auditoría e incluir las

conclusiones de auditoría sobre cuestiones tales como las siguientes, si se encuentran
dentro de los objetivos y el alcance de la auditoría:
 grado de conformidad del sistema de gestión con los criterios de auditoría;
 la aplicación eficaz del sistema de gestión;
 la capacidad del proceso de revisión de la gestión para garantizar la adecuación

continua y la eficacia del sistema de gestión.
El informe de auditoría debe incluir también, o hacen referencia a:
 identificación de la organización o procesos auditados;
 identificación del cliente de auditoría;
 objetivos de la auditoría acordada, el alcance, las exclusiones y el plan;
 los criterios de la auditoría, incluyendo una lista de los documentos de referencia,

en contra de los cuales se llevó a cabo la auditoría;
 identificación de los miembros del equipo;
 fecha y lugar donde se llevó a cabo la auditoría;
 resultados de la auditoría.
El informe de auditoría también se puede incluir:
 la duración de la auditoría;
 la identificación de los representantes principales de la entidad auditada y guías

que participan en la auditoría;
 un resumen del proceso de auditoría incluyendo todos los obstáculos encontrados;
 una declaración del carácter confidencial de su contenido;
®
67
 una lista de distribución del informe de auditoría;
 confirmación de que los objetivos de la auditoría se han realizado en el ámbito de

la auditoría de conformidad con el plan de auditoría;
 los planes de acción de seguimiento acordados;
 Cualquier opinión no resuelta o divergente entre el equipo de auditorí a y la

entidad auditada, y
 recomendaciones de mejora.
FINALIZACIÓN DE LA AUDITORÍA
La auditoría ha terminado cuando se han concluido todas las actividades en el itinerario de

auditoría, incluso la distribución del informe de auditoría aprobado.
Información para la concesión inicial de la certificación
En la conclusión de la auditoría, el auditor o el equipo de auditoría harán una

recomendación al organismo de certificación respecto a la decisión sobre la certificación.
Esa decisión se basará en:
a) los informes de auditoría;
b) los comentarios sobre las disconformidades y, en su caso, la corrección y las

medidas correctivas adoptadas por el cliente;
c) confirmación de la información proporcionada al organismo de certificación y

utilizada en el proceso de revisión de la solicitud;
d) cualquier condición u observación.
®

Clase Iso22301

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Clase Iso22301

Cargado por

Copyright:

Formatos disponibles

La Norma ISO 22301

© 2018 Instituto Europeo de Posgrado

Según el glosario de términos de la Norma ISO 22301, la continuidad del negocio es la

En otras palabras, la Continuidad de Negocio, es la disciplina que toma el control de la

El primer nivel de control es nuestro Sistema de Gestión de Calidad (Quality Management

El segundo nivel de control lo defiende nuestro Sistema de Gestión de Riesgos (Risk

El tercer nivel de defensa debe de ser el Sistema de Gestion de la Continuidad de Negocio

La Gestión de Continuidad del Negocio (Business Continuity Management, BCM) abarca el

Sin embargo, la BCM no se refiere únicamente a la recuperación de desastres, sino que

La BCM no es Planificación para casos de emergencia ni tampoco para Recuperación de

La Gestión de Continuidad del Negocio (BCM) se basa en el principio de que es

3 Instituto de Continuidad de Negocio

El Instituto de Continuidad de Negocio (Business Continuity Institute, BCI) se estableció en

Promover el arte y la ciencia de la gestión de continuidad del negocio a nivel mundial

Los objetivos principales de BCI son:

 Establecer, mantener y promover altos estándares para la práctica ética de BCM,

 Establecer y promover una educación de alta calidad y el desarrollo personal de

 Definir las competencias profesionales que se esperan de los profesionales de

 Proporcionar un sistema de certificación reconocido a nivel internacional para los

 Iniciar, desarrollar, evaluar y comunicar las ideas, los estándares y buenas

 Influir en los encargados de formular políticas, formadores de opinión y otros

A través de su Sistema de Certificación, el Instituto proporciona estatus reconocidos a nivel

La Gestión de continuidad del negocio (BCM), es un proceso propiedad del negocio y

 Mejora de forma proactiva, la resistencia de la organización a esa interrupción de

 Proporciona un método ensayado de restablecer la capacidad de una organización

 Proporciona una capacidad demostrada para gestionar una interrupción del

Toda actividad empresarial está sujeta a interrupciones como fallas en la tecnología,

Una BCM eficaz:

 es capaz de identificar de forma proactiva los efectos de una interrupción de las

 tiene una respuesta eficaz a las interrupciones, lo que minimiza el impacto en la

 mantiene una capacidad de gestión de riesgos que no pueden asegurarse;

 estimula el trabajo entre equipos;

 puede demostrar una respuesta creíble a través de un proceso de ejercicios;

 puede mejorar su reputación y

 podría obtener una ventaja competitiva, a pesar de la capacidad de mantener la

Además, las organizaciones pueden disfrutar de muchos otros beneficios importantes:

 Identificación de toda la organización y la comprensión del proceso crítico del

 Aumento de los niveles de resistencia y capacidad de recuperación, y la

 Ventaja sobre los competidores menos flexibles.

 Mensaje positivo comunicado a los medios y a los interesados en condiciones de

 Gobierno corporativo del riesgo demostrable.

 Cumplimiento de las expectativas de los organismos reguladores, las

 Impacto financiero reducido de los incidentes.

 Activos de información garantizados.

 Mantiene su reputación, o incluso la mejora, al demostrar un enfoque profesional

 Los servicios esenciales permanecen sin interrupciones, por lo que se mantiene

 Los objetivos de la organización se cumplen a través de la capacidad de

 La seguridad laboral se incrementa a través de la creación de una organización

Los resultados de un BCM eficaz son:

 Los productos y servicios más importantes se identifican y protegen para

 Se habilita una capacidad de gestión de incidentes para proporcionar una

 La comprensión que tiene la organización de sí misma y de sus relaciones con

 El personal está capacitado para responder eficazmente a un incidente o

 Se entienden los requisitos de las partes interesadas y se cumplen.

 El personal recibe apoyo y comunicaciones adecuadas en caso de una

 Se garantiza la cadena de suministro de la organización.

 Se protege la reputación de la organización.

 La organización cumple con sus obligaciones jurídicas y reglamentarias.

4 Norma ISO 22301 (Requisitos)

ISO 22301:2012 establece los requisitos necesarios para un Sistema de Gestión de

Es aplicable a cualquier organización, independientemente del tipo, el tamaño y la

Tecnología de la información ISO/IEC 27001. Técnicas de seguridad. Sistemas de gestión de

Otras normas relevantes incluyen: