Guía para ISO 22301
El entorno empresarial sitúa a la continuidad empresarial en un primer plano entre sus prioridades. Si ha experimentado recientemente una interrupción del negocio, sabe cuán crucial es tener una operaciones resistentes. A medida que las empresas analizan de cerca sus planes de continuidad empresarial, muchos se han preguntado si existe un método para crear las estrategias de continuidad empresarial más eficaces posibles.
Si se ha preguntado lo mismo, es posible que haya dado con la ISO 22301:2019. La ISO 22301 es un conjunto de requisitos para los sistemas de gestión de continuidad de negocio (SGCN) de la Organización Internacional de Normalización (ISO). ¿Debería certificarme bajo dicha norma? Si así lo desea, ¿cómo puede hacerlo? En esta guía que les ofrecemos les damos las respuestas que necesitan.
¿Qué es la ISO 22301?
La ISO 22301 es una norma que un sistema de gestión debe cumplir para evitar interrupciones comerciales. Los requisitos tienen como objetivo ayudar a las empresas a reducir la probabilidad de interrupciones, al mismo tiempo que se preparan y responden a ellas cuando surgen. Un sistema de gestión de continuidad de negocio certificado según la ISO 22301 significa que la organización:
- Implementa, mantiene y mejora su SGCN.
- Cumple con su política de continuidad de negocio.
- Apoya la resiliencia ante interrupciones comerciales.
- Posibilita continuar entregando productos y servicios a una capacidad aceptable incluso durante una interrupción.
La norma ISO 22301 se introdujo inicialmente en 2012 y se revisó en 2019. Si bien muchas de las revisiones recientes de la ISO han tenido cambios importantes con respecto a las versiones anteriores, la versión de 2019 es muy similar a la del año 2012. Tiene menos documentos obligatorios, requisitos menos prescriptivos y nuevas pautas con respecto a los cambios de planificación del SGCN. Las empresas tienen hasta el 31 de octubre de 2022 para realizar la transición a la versión 2019.
Resumen de requisitos de la ISO 22301
El marco de la ISO 22301 está diseñado para integrarse con otras normas reconocidas, como la ISO 9001, ISO 14001 o ISO 27001. Como cada uno de estos estándares, la ISO 22301 sigue una estructura de 10 cláusulas (Anexo SL), con ideas amplias aplicables a cualquier organización.
Las primeras tres cláusulas se centran en el alcance, las referencias normativas y los términos y definiciones relacionados con la norma. Las siete disposiciones restantes enumeran los elementos necesarios de un sistema de gestión de continuidad de negocio eficaz y describen cómo implementar la ISO 22301.
Claúsula 4 — Contexto de la organización
Antes de que pueda implementar un sistema de gestión de continuidad de negocio, debe comprender el negocio en sí. Como organización, debe evaluar las necesidades internas y externas y diseñar el alcance del nuevo sistema. Los líderes empresariales también deben seguir los requisitos impuestos por las partes interesadas, como reguladores, clientes y personal.
Cláusula 5 — Liderazgo
Un SGCN necesita un liderazgo eficaz para encabezar su implementación. Al priorizar el compromiso de la administración, la empresa puede garantizar que se proporcionen los recursos adecuados y se desarrollen las políticas. Los líderes empresariales también deben asegurarse de que se designe al personal adecuado para implementar y mantener el sistema.
Cláusula 6 — Planificación
Al igual que con el establecimiento de cualquier sistema nuevo, la planificación adecuada es fundamental. Como parte del proceso de planificación, la organización debe identificar los riesgos de implementar el SGCN. La empresa también debe establecer objetivos y criterios claros para medir su éxito.
Cláusula 7 — Soporte
Para respaldar el SGCN de manera efectiva, necesita empleados con el conocimiento, las habilidades y la experiencia para desarrollar y mantener el sistema y responder a los incidentes cuando ocurran. Todo el personal debe ser consciente de sus funciones en la respuesta ante incidentes. Teniendo en cuenta que solo el 14% de las empresas tienen un equipo dedicado a la continuidad del negocio, esto es crucial.
El soporte al SGCN puede incluir concienciar a los clientes sobre los problemas de gestión de la continuidad del negocio. Cuando se interrumpen los canales de comunicación normales, deben existir medios alternativos.
Cláusula 8 — Operaciones
La mayor parte de la norma está contenida en la cláusula 8, que describe las necesidades operativas de un SGCN. En primer lugar, la empresa necesita comprender cómo las interrupciones pueden afectar las operaciones. Una evaluación de riesgos revelará las amenazas a las que se enfrenta su empresa. Entonces, su organización puede informar su estrategia de continuidad comercial de manera más efectiva.A medida que identifique los potenciales incidentes, diseña pasos para evitar y reducir su probabilidad junto con los pasos a seguir en caso de ocurrencia. Dado que es imposible predecir y prevenir todos los eventos, la planificación del peor de los casos es esencial. Una estructura de respuesta a incidentes bien definida garantiza que las respuestas se puedan escalar rápidamente. También empodera a las personas para que tomen las acciones necesarias. Si el incidente involucra seguridad pública, la respuesta debe incluir comunicación con las partes externas afectadas. Por ejemplo, un derrame de productos químicos en una fábrica puede representar un peligro de incendio para los edificios vecinos.
La cláusula 8 favorece los planes de continuidad del negocio breves y de fácil comprensión. Estos documentos deberían permitir una respuesta rápida para un incidente determinado. Por lo general, es mejor crear una estrategia para cada episodio potencial que un plan grande que abarque muchos eventos.
Además, la norma ISO introduce una consideración que otras normas de continuidad del negocio no han abordado: el regreso a la actividad normal.
La última subsección trata sobre ejercicios y pruebas. Dado que las interrupciones pueden ocurrir en cualquier momento, es crucial verificar que las respuestas funcionen cuando sea necesario. Las pruebas determinan si un elemento de los acuerdos de continuidad del negocio pasa o no. Por ejemplo, puede probar el generador de una instalación encendiéndolo. Los ejercicios generalmente comprenden muchas pruebas e incluyen simulaciones matizadas de un incidente y la respuesta. Los ejercicios a menudo incluyen capacitación sobre cómo manejar eventos junto con pruebas para los procesos en su lugar.
Cláusula 9 — Evaluación
Como ocurre con todos los sistemas de gestión, una organización debe evaluar su desempeño. Usando métricas establecidas, una organización puede medir su desempeño a lo largo del tiempo. La organización también debe realizar auditorías internas, donde la gerencia revisa los resultados y actúa sobre la información revelada.
Cláusula 10 — Mejora
Además de la evaluación, la organización debe mejorar el sistema. La ISO 22301 reconoce que ningún arreglo será perfecto desde el principio y requiere mejoras como parte de la certificación. Además, pueden surgir nuevas amenazas mientras el entorno empresarial está en constante cambio. Por lo tanto, la organización debe tomar acciones correctivas basadas en los resultados de auditorías, revisiones y ejercicios.
Beneficios de la ISO 22301
Hay muchas razones para implementar la ISO 22301. La primera es tener la capacidad de mantener las operaciones comerciales durante una interrupción. También puede obtener ventajas como:
- Políticas útiles de continuidad de negocio: seguir el estándar ISO 22301 requiere que cree planes sólidos. La idea es desarrollar estrategias para hacer frente e incluso prevenir las amenazas. Si se pone a trabajar ahora, desarrollará valiosas políticas de continuidad empresarial adaptadas a su negocio.
- Procedimientos sólidos de respuesta y recuperación: al implementar una guía breve y procesable para muchos escenarios, está preparando la planificación para casi cualquier incidente. Su equipo puede poner en práctica sus ideas rápidamente, reduciendo su tiempo de respuesta.
- Mayor protección de activos y ganancias: la mayoría de las interrupciones comerciales resultan en pérdidas de ingresos. Ya sea que la pérdida de un proveedor imposibilite la entrega de productos o que una filtración de datos lleve a los clientes a sus competidores, perjudicará sus resultados. Con un BCMS, puede proteger las ganancias mediante estrategias para seguir sirviendo a sus clientes durante los incidentes. Además, las interrupciones comerciales resultantes de un desastre natural podrían dañar la propiedad y otros activos. Los procedimientos de respuesta pueden ayudarlo a mitigar el daño de los activos. También pueden ayudarlo a minimizar la liquidación de activos para mantenerse al día con el flujo de ingresos perdido.
- Reputación salvaguardada: la forma en que su empresa responde a una crisis puede afectar su credibilidad. Si un desastre a gran escala hace que demore los envíos más de un mes, mientras que sus competidores se retrasan solo una semana, sus clientes lo notarán. Si se cambian las tornas, obtendrá una reputación positiva superando los tiempos de respuesta de sus competidores. Si su incidente implica un peligro para la salud, daño ambiental u otro daño causado por su empresa, puede mitigar los efectos y preservar su reputación ante el público.
- Mayor visibilidad de las amenazas: un desafío para muchas organizaciones es que simplemente no saben qué esperar. No saben qué riesgos son posibles y cuáles podrían tener el impacto más significativo. Al realizar una evaluación de riesgos exhaustiva, puede descubrir estas amenazas. También puede demostrar a sus clientes y cadena de suministro que comprende sus riesgos.
- Más participación de la dirección: La ISO 22301 requiere que el liderazgo esté muy involucrado en el sistema de gestión de la continuidad del negocio. Mediante este compromiso, se asegura de que su SGCN se tome en serio en toda la organización. Motiva el compromiso de los empleados al tiempo que muestra a los clientes que la gerencia está comprometida con el éxito del BCMS.
- Coste reducido para el seguro de interrupción del negocio: con un SGCN integral, sabe lo que está preparado para manejar. Puede prevenir incidentes y recuperarse de ellos con sus recursos internos. Como resultado, generalmente necesita menos cobertura por interrupción del negocio. Puede eliminar pólizas innecesarias con confianza, reduciendo sus tarifas de seguro.
- Cumplimiento legal demostrado: en general, las interrupciones comerciales no suspenderán los requisitos reglamentarios. Algunos incidentes incluso generarán más requisitos legales. Sus estrategias de continuidad comercial pueden ayudarlo a cumplir con las regulaciones durante tiempos difíciles e implementar rápidamente nuevas políticas y procedimientos en respuesta a las leyes cambiantes.
- Credenciales comerciales probados: si suministra a otras organizaciones, puede desbloquear más oportunidades con la certificación ISO 22301. Muchos departamentos de adquisiciones requieren la certificación como una forma de mitigar sus propias interrupciones comerciales. También obtendrá credibilidad con la prueba de que puede mantener la continuidad del negocio y representar un riesgo menor para sus clientes.
¿Por qué es importante la ISO 22301?
Una encuesta a ejecutivos de empresas que se han enfrentado a déficits de entrega en 2020 reveló que el 96% culpa a las limitaciones de su plan de continuidad empresarial. Después de reconocer su vulnerabilidad, solo el 16% considera que sus operaciones son resistentes a crisis futuras similares.
La interrupción del negocio puede causar pérdidas económicas, dañar su reputación y alejar a clientes valiosos. Por su propia naturaleza, las interrupciones comerciales son inesperadas. Una empresa que no cuente con un sólido sistema de gestión de la continuidad del negocio será víctima de muchos problemas. Es decir, la empresa tardará mucho más en recuperarse. Eso significa más ingresos perdidos y más clientes descontentos.
Si bien un plan de continuidad comercial que cumpla con la norma ISO 22301 no siempre detendrá el próximo desastre, puede ayudar a su empresa de muchas maneras. Mediante un análisis integral de amenazas y una supervisión continua, puede permitirle predecir la próxima interrupción. Los planes de respuesta eficaces pueden evitar que algunos desastres provoquen una interrupción comercial en primer lugar. Cuando surge uno, su empresa puede entrar en modo de recuperación con procedimientos preestablecidos.
La ISO 22301 y vuelta a las operaciones
Las empresas que han cerrado temporalmente debido a COVID-19 deberían estar especialmente interesadas en ISO 22301 y sus aplicaciones para regresar al trabajo. Las empresas ahora están preocupadas por lo que sucede si una crisis obliga a otro cierre o un cambio operativo masivo. Incluso cuando las empresas reabren, es difícil decir si es inminente otra interrupción. Cualquier cosa, desde un desastre natural hasta un brote viral, puede hacer que una empresa cierre sus puertas. La buena noticia es que la certificación ISO 22301 puede ser de ayuda.
A través del SGCN puede desarrollar las políticas necesarias para migrar las operaciones de forma remota cuando sea posible. También estará preparado para responder a los desafíos continuos relacionados con la reapertura de manera segura. Si ocurre otro cierre temporal, podrá continuar con las operaciones y volver al trabajo antes.
¿Cómo me certifico en ISO 22301?
Como organización que diseñó el estándar, la ISO no emite certificaciones de forma directa. En cambio, confían en organismos de certificación acreditados, como NQA, para aplicar dichas normas. El proceso de certificación ISO 22301 que seguimos en NQA incluye cinco pasos:
1. Solicitud
Los organismos de certificación ISO utilizan una solicitud para iniciar el proceso. Dado que cualquier organización de cualquier tamaño o industria puede buscar la certificación, esta solicitud ayuda a los organismos de certificación y auditores a comprender su situación particular. En NQA, nuestro proceso de solicitud está incluido en nuestro procedimiento de solicitud de cotización. Usamos esta información para conocer su empresa y sus complejidades y requisitos. Puede completar nuestro formulario de solicitud de cotización rápida o formal para aplicar. Usaremos esta información para delinear el alcance de su evaluación de certificación y brindarle una propuesta.
2. Evaluación
Una vez que haya aprobado su propuesta, puede programar una cita con un auditor de NQA. Antes de comenzar su proceso de evaluación formal, deberá tener un sistema de gestión de la continuidad del negocio establecido que cumpla con los requisitos de la ISO 22301 a su leal saber y entender. Tendrá que demostrarle a su auditor que ha estado en pleno funcionamiento durante al menos tres meses.
Debería haber sido revisado a través de una auditoría interna y mejorado por la gerencia durante ese tiempo. Una vez que se cumplan estas condiciones, podemos realizar un examen de terceros por usted.
3. Auditoría de certificación inicial — Fase 1
La primera etapa de la auditoría revisa su información documentada. Antes de que tengamos auditores sobre el terreno durante una evaluación completa, confirmamos que su organización sigue todos los requisitos, incluidos los de documentación de información relacionada con su sistema de gestión de la continuidad empresarial. La revisión de la información documentada se realizará en el centro de su sistema de gestión, que normalmente se encuentra en la oficina principal de la empresa. En esta etapa, el evaluador confirmará:
- La exactitud de la información que envió en su solicitud.
- La conformidad del SGCN documentado con los requisitos de la norma.
- La implementación completa del SGCN.
- El alcance de la certificación.
- Cumplimiento legislativo de la organización.
Al final de la primera etapa, su auditor le proporcionará un informe detallado. Podrá ver cualquier problema de incumplimiento, así como sugerencias para mejorar. Si tiene algún problema de incumplimiento, el documento describirá los planes de acción correctiva necesarios. Si la información documentada demuestra un SGCN totalmente compatible, el auditor también programará su auditoría de fase 2 y le proporcionará un plan de auditoría para la segunda fase de la auditoría.
4. Auditoría de certificación inicial — Fase 2
La segunda fase de la auditoría evalúa si el sistema de gestión que tiene implementado cumple con los requisitos de la ISO 22301 y su información documentada con respecto al sistema. En otras palabras, el auditor está comprobando que usted hace lo que dice que hace. Esta evaluación puede depender de su organización específica. Si realiza trabajos en el sitio o tiene varias ubicaciones que necesitan la certificación ISO 22301, es posible que deba auditar varios sitios durante el proceso. En la segunda etapa, su auditor se centrará en:
- Documentar evidencias objetivas que demuestre cómo el sistema cumple con la norma ISO 22301.
- Auditar las operaciones y actividades descritas en su alcance de certificación.
- Visite todos los sedes incluidas en el alcance para determinar si el sistema es efectivo fuera de la sede central.
- Informar sobre las no conformidades y oportunidades de mejora.
Si el auditor encuentra algún problema de incumplimiento, el organismo de certificación no puede emitir la certificación hasta que usted complete las acciones correctivas. Si el organismo verifica que se tomaron acciones correctivas dentro de los seis meses, puede obtener la certificación sin necesidad de una auditoría de fase 2. De lo contrario, tendrá que programar otra revisión después de completar las acciones correctivas. Si pasa la fase 2, le proporcionaremos un plan de mantenimientos y programaremos una fecha para su próxima visita de auditoría anual.
5. Certificación
Si pasa las dos fases de la auditoría de certificación, ¡felicitaciones! Ha conseguido la certificación ISO 22301. NQA emitirá su certificación tanto en papel como en digital. De esta manera, puede compartir su certificación con terceros para demostrar la competencia de su SGCN. Su certificación tendrá una duración de tres años y requiere auditorías de mateniemiento anuales. Cada tres años, se requerirá realizar una auditoría de recertificación.
Contacte con los expertos de NQA
¿Está listo para obtener la certificación ISO 22301? NQA puede ayudarlo a determinar su plan de acción y desarrollar una propuesta de certificación que abarque las áreas de su negocio que desea certificar. Como organismo de certificación acreditado, nuestro objetivo es encontrar aspectos para mejorar con cada auditoría, ayudándole a cumplir con sus requisitos de mejora continua. Si su empresa necesita cambiar su SGCN, podemos realizar un análisis de deficiencias para descubrir qué debe hacer para cumplir con la norma.
Si tiene preguntas sobre el proceso de certificación o si cree que su empresa está lista para pasar la auditoría, contáctenos o llámenos al 979 70 19 12.