ISO 22301: Cómo establecer un Sistema de Gestión de Continuidad del Negocio

04/27/2023
Nuria Estruga
5/5 - (6 votos)

Hoy en día cualquier organización puede ver interrumpida su actividad por fuerzas de causa mayor. Incendios, pandemias, ataques terroristas, fallos eléctricos o interrupciones de servicio público pueden ocurrir en cualquier momento sin aviso previo.  Con el fin de dotar a las empresas de un marco de referencia para gestionar de forma eficaz la continuidad de su negocio, se ha diseñado la normativa ISO 22301. A continuación, explicaremos todos los detalles de este estándar internacional.

¿Qué es la ISO 22301?

La ISO 22301:2019 es una normativa internacional para Sistemas de Gestión de la Continuidad del Negocio (SGCN). Fue creada después de la gran demanda internacional que obtuvo el estándar británico BS 25999-2 del año 2007.

La principal función es proporcionar un marco de actuación para que las empresas puedan mitigar el daño que una situación de emergencia puede llegar a causar. Un ejemplo muy reciente es la interrupción de la actividad económica en muchos sectores por culpa del Covid-19. Las organizaciones que ya tenían establecida una política de continuidad, han podido prevenir, responder y operar de nuevo más rápidamente.

La ISO 22301 es aplicable a cualquier tipo de organización, independiente du sector o tamaño. En todos los casos sirve para asegurar la perdurabilidad frente a sucesos catastróficos que obliguen a interrumpir la actividad.

Focos de atención de la normativa

A diferencia de la BS 25999-2, la ISO 22301 trata con gran profundidad los siguientes aspectos:

  • Nivel de responsabilidad de la alta dirección frente a la continuidad del negocio frente a imprevistos. Será el órgano que deberá asegurarse de la persistencia de la actividad frente a interrupciones que puedan suceder.
  • La correcta planificación de los recursos y preparación para hacer frente a riesgos que puedan cesar de forma temporal el ejercicio del negocio.
  • Cómo actuar frente a los proveedores, clientes y otras cadenas de subministro en caso que exista alguna causa de fuerza mayor que impida desarrollar sus operaciones.
  • Homogenización del vocabulario y términos para alcanzar las mismas condiciones en relaciones internacionales comerciales con otras organizaciones.

Qué es un Sistema de Gestión de Continuidad de Negocio

Un Sistema de Gestión de Continuidad de un Negocio o SGCN identifica los efectos que puede tener una interrupción de la actividad y establece medidas de actuación en caso de que ocurra. Debe ser sensible y tener en cuenta todos los diferentes factores y agentes que deberán actuar ante una situación de riesgo. Si es rígido, seguramente dejará de lado algunas de las amenazas que pueden afectar negativamente a su funcionamiento.

Es muy importante que el modelo de continuidad del negocio basado en la ISO 22301 esté totalmente alineado con la política corporativa de cada organización. Si no está en sintonía con la misión, valores, objetivos y estrategias de la empresa, no cumplirá su función correctamente.

Una empresa que tenga un buen Sistema de Continuidad del Negocio establecido asegurará la supervivencia de la organización.

Puntos y estructura de la normativa ISO 22301

La normativa ISO 22301 está estructurada de la siguiente forma:

  1. Alcance de aplicación: donde se especifica los requisitos para implementar, mantener y trabajar la mejora continua de un SGSC.
  2. Referencias normativas.
  3. Términos y definiciones.
  4. Contexto de la organización: Determina los puntos externos e internos que sean más relevantes para alcanzar los objetivos establecidos en el SGSC. En este punto se debe definir quiénes serán las partes relevantes, los requisitos, el alcance y los procesos.
  5. Liderazgo y compromiso: La alta dirección de la empresa debe saber liderar y demostrar compromiso para establecer el Sistema de Gestión de Continuidad. Además, es necesario establecer una política de continuidad del negocio según el propósito de la organización, establecer marcos de trabajo y objetivos.
  6. Planificación de acciones y definición de los objetivos estratégicos del SGCN.
  7. Soporte: Cada organización debe determinar y proporcionar los recursos necesarios para establecer, implementar, mantener y mejorar continuadamente el SGCN.
  8. Planificación y control operativo: Planificar, implementar y controlar todos los procesos necesarios para implementar todas las acciones y lograr los objetivos definidos en el punto 6.
  9. Evaluación del desempeño: Es necesario seguir, medir, analizar y evaluar el SGCN para poder mejorarlo. Después, tiene lugar la auditoría interna y, por último, la revisión del equipo de dirección
  10. Mejora continuada: Cada organización debe ser capaz, mediante las evaluaciones, análisis y auditorías, de encontrar oportunidades de mejora. De esa forma, adaptar y adecuar el SGSN a las medidas cualitativas y cuantitativas del negocio.

Cómo implementar y mantener un SGCN

Hay una serie de requisitos para implementar un Sistema de Gestión de Continuidad del negocio (SGCN) en base a la ISO 22301 de forma correcta para hacer frente a las emergencias.

Es necesario, en primer lugar, entender cómo funciona un SGCN para poder establecer las prioridades de la empresa. La alta dirección será la encargada de decidir cuáles son las operaciones más importantes para empezar a desarrollar los planes de acción.

Se debe tener en cuenta y analizar todos los actores que hay en la organización: personal, tecnología, bases de datos, espacios físicos, etc. Una vez se tiene recopilada toda la información, se podrá establecer un plan de actuación que permita volver a la rutina rápidamente.

Aspectos clave para la correcta implementación de la ISO 22301

Algunos de las características clave a tener en cuenta para un plan de recuperación operativo y que funcione son:

  • Conocimiento y comprensión de todos los planes de recuperación frente a un desastre por parte de todas las partes implicadas.
  • Presupuesto establecido para poder desarrollar y mejorar los planes de continuidad.
  • Creación de procedimientos fáciles de comprender que estén documentados, como por ejemplo los planes de evacuación en caso de incendio.
  • Realización de simulacros y ejercicios regulares para asegurarse que los procedimientos funcionan de la forma que se han diseñado.

Ventajas de establecer un SGCN

Existen muchos beneficios de implementar un SGCN mediante la ISO 22301 para cualquier tipo de organización:

  • Mejora de la gestión de los riesgos empresariales.
  • Reconocimiento por parte de proveedores y clientes.
  • ·Solidez empresarial, que servirá para afrontar cualquier tipo de emergencia o suceso que pueda ocurrir.
  • Ahorro en costes y tiempo, al tener estudiada una respuesta ante interrupciones de la actividad.

Máster en Gestión de Riesgos y Continuidad de Negocio

En EALDE Business School hemos diseñado el Máster online en Gestión de Riesgos, especialidad en Continuidad de Negocios. Gracias a esta titulación, los profesionales logran las aptitudes y conocimientos necesarios para estar a la altura de las nuevas demandas del mercado. Los alumnos aprenden las técnicas y habilidades necesarias para poder aplicar la normativa ISO 22301 en cualquier organización.

También se trabaja en profundidad la ISO 31000:2018 y los fundamentos de continuidad de un negocio para ser capaces de evaluar los impactos de los eventos o riesgos.

Más información sobre el plan de estudios del Máster en Continuidad de Negocio y Gestión de Riesgos  en el siguiente enlace:

Consejos para la realización de auditorías de sistemas de continuidad de negocio

Realizar una auditoría de continuidad de negocio en una empresa es una de las formas de asegurarse que los eventos disruptivos afectarán al mínimo la actividad. Para que esta sea efectiva, los auditores tanto internos como externos deben seguir una serie de pautas y consejos.

Consejos al momento de realizar auditorías en continuidad de negocio

Al realizarse una auditoría de sistema de continuidad de negocio en una empresa es necesario tener en cuenta una serie de puntos. Lorecomendado para obtener buenos resultados es seguir los apartados de la ISO 22301 en el orden correspondiente.

Determinar el alcance del sistema y el contexto de la organización

Documentar el alcance del sistema de continuidad de negocio es uno de los requisitos principales de la ISO 22301. Este se basa siempre en los servicios, con el objetivo de garantizar que siempre se podrán ofrecer a los clientes.

También es necesario identificar las partes interesadas o que se ven afectadas de alguna manera por la empresa. Pueden ser tanto trabajadores, como proveedores, clientes e incluso vecinos.

Liderazgo e implicación de la dirección

Después de determinar el alcance y contexto de la organización, es necesario tener en cuenta el nivel de implicación de la alta dirección en la continuidad del negocio.

En este punto también se debe averiguar hasta qué punto existe la implicación y si el liderazgo conoce la política de continuidad en la organización. Para conocerlo, se puede averiguar si la política de continuidad está publicada en la web y si los interesados la han leído y están al corriente.

Planificación y seguimiento de los objetivos en continuidad de negocio

En esta etapa es fundamental revisar si la empresa ha documentado cuáles son los objetivos en continuidad de negocio. No deben ser puntos estándar, sino que deberían estar alineados con el tipo de negocio y naturaleza de la empresa.

Es importante también revisar que se realiza un seguimiento del cumplimiento de los objetivos establecidos. Para eso, el auditor debe ver si existen revisiones periódicas, KPIs, protocolos o actas de reuniones. Esto sirve para ver que existen evidencias suficientes de cómo está evolucionando la organización en su plan de continuidad de negocio.

Soporte y concienciación

El auditor comprueba que existe suficiente información sobre el plan de continuidad de negocio. También se asegurará que hay una concienciación por parte de todas las partes implicadas. Una de las formas de hacerlo es revisando si se hacen formaciones o simulacros dentro de la empresa.

Asimismo, se debe auditar si existen documentos suficientes para saber cómo actuar en caso de un evento disruptivo, cómo están realizados y si son accesibles.

Revisión de las operaciones

Aquí el auditor debe revisar si existen todos los puntos necesarios del plan de continuidad de negocio. El análisis de riesgos, el BIA, la estrategia, los planes de continuidad y de recuperación son los puntos concretos del estándar ISO 22301 en continuidad de negocio.

Es importante revisar que se han seguido de forma correcta, que estén documentados y que sean acorde a la organización. Es también conveniente para el auditor examinar si existe un nivel de RTO aceptable, se ha determinado el impacto de los riesgos y se ha construido una estrategia acorde a este.

Evaluación del desempeño

En el momento de la auditoría es necesario revisar si la empresa tiene formas de revisar las métricas establecidas en el punto 9.3 de la ISO 22301. Se debe comprobar si se ha realizado correctamente la auditoría interna y si existe un acta en la que ha participado la alta dirección en este momento.

Mejoras y correcciones

Para todos los incumplimientos y fallos que se han hallado, es necesario buscar la raíz de estos y determinar cuáles son las mejores formas de corregirlos. El auditor debe documentar y registrar las acciones correctivas para la empresa.

Amplia conocimientos sobre esta normativa en el siguiente vídeo:

Sobre el autor: Nuria Estruga

Nuria tiene un Máster en Marketing de la Universitat Autònoma de Barcelona y un Máster en Marketing Digital y Community Management del Instituto Internacional de Marketing. Se considera una nómada digital, y ayuda a las empresas a posicionarse en www.nuriaestruga.com
Máster en Gestión de Riesgos
Fórmate con los mejores profesionales del sector

Infórmate aquí

Informe

Global Risk Analysis: Horizonte 2024

Descárgalo gratis

Artículos relacionados

Síguenos en redes sociales

Sé el primero en comentar

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *