ISO 22301
Dado los acontecimientos vividos y sufridos a nivel global por multitud de empresas en los últimos tiempos, se ha impulsado por parte de todas las organizaciones el desarrollo de una normativa coherente a nivel mundial para promover la toma de conciencia ante la necesidad de estar preparados para superar cualquier tipo de incidente que pueda llegar a interrumpir la actividad de la empresa. La normativa de la que estamos hablando es la norma internacional ISO 22301.
Los planes de recuperación del negocio tienen que revisarse y comprobarse con frecuencia para:
- Incluir y considerar cada uno de los tipos de amenazas posibles
- Analizar las interdependencias de nuestros procesos
- Incluir los factores clave
- Involucrar a toda la empresa teniendo en cuenta la relevancia que supone el apoyo de todos los empleados
IC-ISO-CTA Boton ebook 22301
Los principales beneficios que obtiene una empresa cuando implementa un Sistema de Gestión de Continuidad de Negocio eficiente, se pueden resumir en:
- Defender los intereses de los accionistas
- Mejorar el resultado operacional de la empresa
- Disminuir los riesgos
- Disminuir los costos
- Disminuir los tiempos de inactividad
- Mejorar la competitividad
- Mejorar la eficacia operativa
- Proteger los bienes materiales y del negocio
- Mejorar el cumplimiento de las legislaciones de seguridad y salud
- Mejorar la seguridad global
- Evitar las acciones derivadas de las responsabilidad de la empresa
Podemos encontrar a personas que buscan listas de control para llevar a cabo la auditoría interna de la ISO 22301, pues esperan que dichas listas de control les ayuden con la información a la que tienen acceso de la empresa.
El problema que tiene este tipo de cuestiones es que no son parte de una auditoría interna sino que realmente son parte de la evaluación del riesgo.
El objetivo de la evaluación de riesgos
El objetivo que busca la realización de una evaluación de riesgos es averiguar qué tipo de problemas se pueden encontrar en la información y en las operación, es decir, lo que puede llegar a poner en peligro la confidencialidad, la integridad y la disponibilidad de la información o lo que puede poner en peligro la continuidad de las operaciones.
Como parte de la evaluación del riesgo se debe de hacer lo siguiente:
- Identificar cada uno de los riesgos que se encuentran relacionados con la información
- Identificar a las personas que sean propietarias de ciertos riesgos
- Evaluar el impacto que generan dichos riesgos y la probabilidad de que sucedan
- Determinar el nivel de los riegos y clasificarlos
- Decidir si el riesgo tiene que ser tratado o si no es necesario
La evaluación de riesgos es parte de un proceso de gestión de riesgos, pudiendo considerarse como la parte crucial a la hora de aplicar la ISO 22301.
Como consecuencia, la evaluación de riesgos se debe llevar a cabo al principio del proyecto de implementación de la ISO 22301, mientras que la auditoría interna se lleva a cabo después de realizar la implementación con éxito.
La auditoría interna
La auditoría interna, por el contrario, es una lista de todas las normas y los requisitos, donde debemos conocer si dichas normas y requisitos son cumplidos por la empresa.
Por lo general, las normas y los requisitos pueden ser los siguientes:
- Requisitos de la norma ISO 22301
- Requisitos de las partes interesadas
- Reglas establecidas por las propias políticas y procedimientos de la compañía
Al llevar a cabo la auditoría interna, es necesario comprobar si cada una de las reglas y los requisitos se cumplen en su totalidad en el alcance del Sistema de Gestión de Continuidad de Negocio.
Esto se lleva a cabo a través el uso de distintas técnicas:
- Examinar toda la documentación y los registros
- Entrevistar a los empleados
- Observaciones personales
Principales diferencias entre la auditoría interna y la evaluación de riesgos
Una de las principales diferencias es el modo de pensar. La evaluación de riesgos está pensada para situaciones que pueden suceder en el futuro, mientras que la auditoría interna se ocupa de cómo se han hecho las cosas en el pasado.
La segunda gran diferencia es que la auditoría interna se centra en el cumplimiento de distintas normas y requisitos, mientras que la evaluación de riesgos consiste en un análisis que proporciona una base para la construcción de determinadas reglas.
La tercera diferencia es que la evaluación de riesgos se lleva a cabo antes de comenzar con la aplicación de los controles de seguridad, mientras que la auditoría interna tiene lugar una vez que estos ya están implementados.
No podemos decir que uno es más importante que el otro, pues ambos son muy importantes para construir un Sistema de Gestión de Continuidad del Negocio. Sin embargo, ambos tienen una cosa en común, y es que son muy descuidados en las empresas, pues se perciben como sólo un ejercicio burocrático.
Software ISO 22301
El Software ISOTools Excellence es una plataforma tecnológica que facilita el llevar a cabo la implantación, mantenimiento y evaluación de un Sistema de Gestión de la Continuidad de Negocio, con el objetivo de poder identificar y controlar las posibles amenazas que se producen en la empresa, bajo los criterios de la norma ISO 22301.
IC-ISO-CTA Tira ebook 22301
¿Desea saber más?
Entradas relacionadas
28 diciembre, 2017
IATF 16949:2016 La IATF 16949:2016 es la norma de Sistemas de Gestión de Calidad (SGC) específica para la…
21 diciembre, 2017
Normas ISO La ISO (Organización Internacional para la Estandarización) es una organización no gubernamental independiente y el mayor…
14 diciembre, 2017
ISO 9001 Las empresas que desean automatizar la gestión de la calidad ISO 9001, deben tener en cuenta…
7 diciembre, 2017
OHSAS 18001 En los diferentes negocios se establece que la obtención de la certificación en OHSAS 18001 puede…