| 25 años generando CONFIANZA
ISO DIS 22301
En el artículo de hoy, seguiremos explicando los puntos más importantes del borrador norma ISO DIS 22301. Hoy nos centramos en el punto 9 de la norma, que hace referencia a la evaluación del desempeño. Este punto de la norma, está a su vez divido en tres bloques, seguimiento, medición, análisis y evaluación, otro de auditoría interna y otro de revisión por parte de la dirección.
Seguimiento, medición, análisis y evaluación
En este primer bloque, la norma indica que la organización deberá determinar:
- Elementos que se deben controlar y medir.
- Cuándo y quién deberá realizar el seguimiento y la medición.
- Los métodos que se deben utilizar para asegurarse de obtener resultados válidos de los seguimientos, mediciones, análisis y evaluaciones realizadas.
- Cuándo y quién deberá analizar y evaluar los resultados del seguimiento y la medición.
Al mismo tiempo, la organización deberá conservar la información documentada como prueba de los resultados obtenidos. Entre algunos de los elementos que se deben controlar se encuentra todo el Sistema de Gestión de Continuidad de Negocio (SGCN), ya que se deberá evaluar la efectividad del mismo.
Como acabamos de comentar, se debe evaluar todo el SGCN. Esto quiere decir, que se debe realizar una evaluación de los procedimientos, capacidades y planes de continuidad de negocio.
La organización debe ser la encargada de evaluar la efectividad y adecuación de sus procedimientos, capacidades y planes de continuidad de negocio. Dichas evaluaciones se deberán realizar a través de revisiones periódicas, análisis, ejercicios, test, informes y evaluaciones de desempeño.
Otro punto que también deberá tener en cuenta es el cumplimiento legal, ya que deberá comprobar que su política de continuidad de negocio y objetivos estén en sintonía con la normativa aplicable.
La norma ISO DIS 22301, nos indica que las evaluaciones se deberán realizar con intervalos de tiempo planeados, después de un incidente, o cuando se produzca un cambio importante.
Auditoría interna
Al igual que las evaluaciones, la organización también deberá realizar auditorías internas planeadas en intervalos de tiempo con el propósito de proporcionar información sobre el SGCN . Además, las auditorías internas también sirven para comprobar que se ajusta a los propios requisitos de su SGCN y los requisitos de la norma en sí y también si se ha implementado y se mantiene de forma efectiva.
Para conseguirlo, la organización deberá cumplir los siguientes requisitos:
- Definir los criterios y alcance de auditoría para cada una que se realice.
- Planear, establecer, implementar y mantener un programa de auditoría incluyendo la frecuencia, métodos, responsabilidades, requisitos del plan e informes. El programa de auditoría deberá considerar la importancia de los resultados obtenidos en auditorías previas.
- Seleccionar los auditores adecuados para conseguir objetividad e imparcialidad en el proceso.
- Asegurar que los resultados obtenidos se transfieran a las partes relevantes de la dirección.
- Mantener la información documentada como prueba de la implementación del programa de auditoría y los resultados de la auditoría.
Revisión por parte de la dirección
La función de la alta dirección en los SGCN consiste en asegurar la continuidad, adecuación y efectividad del mismo. Todo ello en intervalos de tiempo planeados.
Esto indica que la organización debe tener en cuenta:
- El estado de las acciones revisadas anteriormente por la dirección.
- El feedback de las partes interesadas.
- La necesidad de los cambios del SGCN incluyendo la política y objetivos de la organización.
- Información sobre el desempeño de la continuidad de negocio que incluya: acciones correctivas y no conformidades, seguimiento, medida y evaluación de resultados y resultados de auditoría.
- Cambios tanto internos como externos que afecten al SGCN.
- Procedimientos y recursos que la organización podría utilizar para mejorar el desempeño y la efectividad del SGCN.
- Oportunidades para la mejora continua.
- Resultados de ejercicios y test.
- Riesgos que no se tratan en ninguna evaluación de riesgos anterior.
- Lecciones aprendidas de las disrupciones.
- Información de la evaluación de riesgos y del análisis de impacto de negocio.
También los resultados de la revisión de la gestión, deberán incluir las decisiones relacionadas con las oportunidades de mejorar y la posible necesidad de cambios del SGCN para mejorar su eficiencia y efectividad. A todo esto, también debemos añadir:
- Variaciones para el alcance del SGCN.
- Modificación de procedimientos para responder a los aspectos internos y externos que podrían tener impacto en el SGCN.
- Cómo se mide la efectividad de los controles.
- Actualización del análisis de impacto de negocio, evaluación de riesgos, estrategias y soluciones de continuidad de negocio y planes de continuidad de negocio.
Como ocurre en otras normas, la información documentada es un factor muy importante. Por ello, la organización debe conservar la información para que pueda consultarse en cualquier momento. También debe facilitársela a las partes interesadas y tomar acciones apropiadas basándose en los resultados obtenidos.
Software para Continuidad del Negocio
Mantener la información documentada, realizar un seguimiento adecuado, tratar no conformidades, duplicidad de documentos,etc. Esto es solo una pequeña parte de la gran cantidad de tareas que hay que realizar para llevar una correcta gestión de nuestro SGCN basado en la ISO 22301. En muchas ocasiones, estas tareas pueden ser muy laboriosas y requerir una gran cantidad de tiempo. Por ello, le ofrecemos ISOTools Excellence, que le ayudará a automatizar los procesos, disponer de toda la información a golpe de clic, trabajar con las no conformidades… en definitiva, le facilitará y optimizará la gestión de su sistema.
¿Desea saber más?
Entradas relacionadas
En el mundo empresarial actual, donde la integridad y la transparencia son esenciales para construir confianza, las organizaciones…
La gestión de investigaciones internas en las empresas es clave para proteger la integridad empresarial, prevenir los riesgos y fortalecer la...
La ISO 19011 es una norma internacional fundamental que establece directrices para la auditoría de sistemas de gestión. Esta norma...