Módulo 04 - Implementación, evaluación y mejora

Introducción

Tema 01

Tema 02

Tema 03

Actividad
Lección 1 de 5

Introducción

Propósito de formación
Comprender las etapas necesarias y los elementos que deben tenerse en cuenta para el diseño de un plan de gestión
de continuidad del negocio.
Componentes del aula
Video Tutor, multimedia y descargables
Lección 2 de 5

Tema 01

Esta debe asegurar que todos los planes y estrategias para dar tratamiento a los riesgos identificados de la
continuidad del negocio, se han puesto en marcha y se cumplen fielmente.

Estos planes deben ser seguidos por los líderes de los procesos con responsabilidades asignadas y deben dar cuenta
de las mismas.

Una agenda de compromisos, actividades, tareas, responsables, recursos, es necesaria para que los compromisos se
lleven a feliz término.
La implementación, va de la mano de la evaluación y seguimiento al desempeño con indicadores claves de éxito.

Según el modelo básico de ISO 22301 de 2019, se destacan los siguientes aspectos a tener en cuenta:
Lección 3 de 5

Tema 02

Los indicadores de gestión son claves al momento de la hacer las mediciones periódicas de su sistema de gestión de
continuidad del negocio

Para que las empresas puedan escoger el indicador idóneo, lo primero que deben hacer es:

Entender cuál es el motor económico de la empresa y qué no debe ser interrumpido

Decidir cuáles son los factores claves del éxito en cada área, frente a la continuidad de operaciones

Elegir resultados importantes, para hacer seguimiento

 Obtener datos históricos de las fuentes que estén disponibles

Analizar de manera estadística esos datos y definir las métricas para cada indicador

Aquellas empresas que diseñan e implementan indicadores de gestión, son más propensas a adaptarse rápidamente a
los cambios del mercado y las circunstancias de interrupción, porque logran detectar oportunamente las desviaciones
que estén afectando negativamente el rendimiento de su negocio, lo que les permite tomar decisiones que garanticen
la continuidad del negocio y su crecimiento.

Estos son algunos beneficios puntuales de los indicadores de gestión:

Permiten evaluar si la organización está logrando efectivamente sus objetivos estratégicos.

Determinan el desempeño de la organización con relación a sus metas y objetivos.

Producen suficiente información para analizar el desempeño de cualquier área de la organización y verificar el
cumplimiento de los objetivos de continuidad del negocio.

Detectan y prevén desviaciones que afecten el desempeño de la empresa.

Gracias a estas ventajas y al valor agregado que pueden aportar a una empresa, los indicadores, son fundamentales
para determinar qué tan efectivos son sus procesos, de cara a los desafíos que deben enfrentar a diario y que llevan a
impedir interrupciones de todo tipo.
Auditoría interna
Al igual que las evaluaciones, la organización también deberá realizar auditorías internas planeadas en intervalos de
tiempo con el propósito de proporcionar información sobre el SGCN. Además, las auditorías internas también sirven
para comprobar que se ajusta a los propios requisitos de su SGCN y los requisitos de la norma en sí y también si se
ha implementado y se mantiene de forma efectiva.

Para conseguirlo, la organización deberá cumplir los siguientes requisitos:

Definir los criterios y alcance de auditoría para cada una que se realice, de acuerdo con lo que se había
planificado.

Planear, establecer, implementar y mantener un programa de auditoría incluyendo la frecuencia, métodos,

responsabilidades, requisitos del plan e informes. El programa de auditoría deberá considerar la importancia de
los resultados obtenidos en auditorías previas. Este puede ser independiente o en conjunto con los demás
sistemas de gestión de la organización. ISO 9001, ISO 14001, ISO 45001 y otros.

Seleccionar los auditores adecuados para conseguir objetividad e imparcialidad en el proceso o contratar
servicios de auditorías.

Asegurar que los resultados obtenidos se transfieran a las partes relevantes de la dirección.

Mantener la información documentada como prueba de la implementación del programa de auditoría y los
resultados de la auditoría.
Revisión por parte de la dirección
La función de la alta dirección en los SGCN consiste en asegurar la continuidad, adecuación y efectividad del
mismo. Todo ello en intervalos de tiempo planeados.

Se puede hacer sólo para SGCN, o en conjunto con los demás sistemas de gestión.

Esto indica que la organización debe tener en cuenta:

El estado de las acciones revisadas anteriormente por la dirección.

Retroalimentación de las partes interesadas.

La necesidad de los cambios del SGCN incluyendo la política y objetivos de la organización.

Información sobre el desempeño de la continuidad de negocio que incluya: acciones correctivas y no

conformidades, seguimiento, medida y evaluación de resultados y resultados de auditoría.

Cambios tanto internos como externos que afecten al SGCN.

Procedimientos y recursos que la organización podría utilizar para mejorar el desempeño y la efectividad del
SGCN.

Oportunidades para la mejora continua.

Resultados de ejercicios y test.

Riesgos que no se tratan en ninguna evaluación de riesgos anterior.

Lecciones aprendidas de las disrupciones.

Información de la evaluación de riesgos y del análisis de impacto de negocio.

También los resultados de la revisión de la gestión, deberán incluir las decisiones relacionadas con las oportunidades
de mejorar y la posible necesidad de cambios del SGCN para mejorar su eficiencia y efectividad. A todo esto,
también debemos añadir:

Variaciones para el alcance del SGCN.

Modificación de procedimientos para responder a los aspectos internos y externos que podrían tener impacto
en el SGCN.

Cómo se mide la efectividad de los controles.

Actualización del análisis de impacto de negocio, evaluación de riesgos, estrategias y soluciones de

continuidad de negocio y planes de continuidad de negocio.

Como ocurre en otras normas, la información documentada es un factor muy importante. Por ello, la organización
debe conservar la información para que pueda consultarse en cualquier momento. También debe facilitársela a las
partes interesadas y tomar acciones apropiadas basándose en los resultados obtenidos.
Las principales diferencias entre la auditoría interna y la
evaluación del riesgo
Una de las principales diferencias es el modo de pensar: la evaluación del riesgo está pensada para cosas pueden
suceder en el futuro, mientras que la auditoría interna se ocupa de cómo se hacían las cosas en el pasado.

La segunda gran diferencia es que la auditoría interna se centra en el cumplimiento de diferentes normas y
requisitos, mientras que la evaluación de riesgos no es más que un análisis que proporciona una base para la
construcción de ciertas reglas.

La tercera diferencia es que la evaluación de riesgos se realiza antes de iniciar la aplicación de los controles de
seguridad, mientras se realiza la auditoría interna una vez que estos ya están implementados.

No decimos que uno es más importante que el otro, ambos son muy importantes para construir un Sistema de
Gestión de Continuidad del Negocio. Sin embargo, si tienen una cosa en común: ambos son muy descuidados en
las organizaciones porque se perciben como sólo un ejercicio burocrático; pero esto es un tema diferente.
No conformidades y acciones correctivas
Este requisito nos indica cuáles son las pautas que debemos seguir para realizar una correcta gestión de la norma ISO
DIS 22301.

En caso de que una no conformidad ocurra, la organización deberá actuar realizando las siguientes acciones:

En primer lugar, si sucede una no conformidad, la organización deberá reaccionar ante ella siempre que sea posible.
Existen dos posibles acciones, poner en práctica medidas para controlar y corregir la situación en la medida de
lo posible, o, gestionar consecuencias de forma que causen el menor impacto posible en la organización.

En segundo lugar, nos indica que es necesario evaluar y examinar la necesidad de las acciones que ayuden a eliminar
las causas de la no conformidad. Esto se hace con el objetivo de evitar que dicha no conformidad se repita u ocurra
en otro lugar. Para conseguirlo, hay que seguir los siguientes pasos:

Revisar la no conformidad: esto se utiliza para conocer información (cómo ha sucedido, por qué, dónde…).

Determinar las causas de la no conformidad: es importantísimo conocer las causas para analizarlas, evitar que
vuelva a suceder una no conformidad por el mismo motivo.

Investigar si existen no conformidades similares o aquellas que potencialmente podrían darse.

Estos tres puntos se podrían resumir en realizar un concienzudo análisis de la no conformidad para determinar las
causas de la misma e investigar si existen similares.

El siguiente punto que nos encontramos nos indica que es necesario implementar cualquier acción que se necesite.
Este punto es bastante lógico. Si nuestro Sistema de Gestión de Continuidad de Negocio basado en la norma ISO DIS
22301 presenta una no conformidad y conocemos que medida podría ayudar a evitarla, debemos implementarla lo
antes posible.

A continuación, debemos evaluar la efectividad de las acciones correctivas que tomamos o implementamos en el
punto anterior. El objetivo es determinar si estas han sido útiles o no a la hora de tratar con la no conformidad.

Información documentada
La información documentada es uno de los puntos que la norma ISO DIS 22301 tiene en común con muchas otras
normas ISO actualizadas.

Es muy importante que la organización conserve la información documentada y así poder tener pruebas y
respaldar la información sobre la naturaleza de la no conformidad y las acciones que se han tomado como
consecuencia de la misma y, al mismo tiempo también de los resultados de esas acciones correctivas que se han
tomado para analizar los resultados.
Lección 4 de 5

Tema 03

Al igual que sucede con la información documentada, la mejora continua es un punto que se ha vuelto imprescindible
y que comparten la mayoría de sistemas de gestión basados en normas ISO.

Este punto nos indica que la organización, deberá mejorar continuamente la sostenibilidad y adecuación de la
efectividad del Sistema de Gestión de Continuidad de Negocio. Es decir, es posible que nuestro sistema sea
efectivo y no presente no conformidades frecuentemente y sea efectivo. Sin embargo, si existe la posibilidad de
mejorarlo con determinadas acciones o procesos a seguir, debemos tomar la decisión de ponerlas en prácticas y así
seguir mejorándolo.
La organización deberá considerar los resultados del análisis y evaluación de la revisión realizada por la
organización. Todo esto con el objetivo de determinar si existen necesidades u oportunidades que se deban tener en
cuenta como parte de la mejora continua.
Lección 5 de 5

Actividad

Seleccione falso o verdadero según corresponda

Pregunta

01/03

La auditoría interna se centra en el cumplimiento de diferentes normas y requisitos, mientras que la

evaluación de riesgos es un análisis que proporciona una base para la construcción de ciertas reglas.

Verdadero

Falso
Pregunta

02/03

Los indicadores de gestión proporcionan suficiente información para analizar el desempeño de

cualquier área de la organización y verificar el cumplimiento de los objetivos de continuidad del
negocio.

Verdadero

Falso
Pregunta

03/03

Las auditorías internas no son relevantes en el proceso de implementación del SGCN.

Verdadero

Falso