Apuntes de Needhams 1834 sobre su certificación en ISO 22301

Este mes, Andrew MacLeod, consultor de Needhams 1834 (Inglaterra) —un proveedor independiente líder en gestión de riesgos y consultoría en continuidad de negocios, planeamiento y servicios de entrenamiento— compartió las experiencias vividas como parte del proceso de certificación de Needhams al estándar publicado en el mes de mayo, ISO 22301:2012 Societal security – Business continuity management systems – Requirements.
MacLeod enfatizó la importancia de contar con acompañamiento de auditores independientes experimentados no necesariamente en certificaciones ISO 22301 —dada su reciente publicación—, sino en procesos de certificación ISO en general. Para Needhams, el proceso se desarrolló en dos etapas: (1) revisión de la documentación del sistema de gestión de continuidad del negocio (BCMS - business continuity management system); y (2) confirmación de cómo este sistema de gestión se encontraba articulado y cómo estaba siendo implementado.
Algunos de los ajustes a que tuvieron que hacerle a su sistema fueron:
  • Mantener separadas la bitácora de protección (acciones preventivas) de la de mitigación (acciones correctivas).
  • Se creó una bitácora de riesgos y oportunidades; la que, a diferencia de la bitácora de protección, permite llevar registro a nivel más general de las amenazas y oportunidades que pudiesen surgir del sistema.
  • Se tuvo que potenciar/mejorar de manera formal (documentada) el rol de la alta dirección respecto de la gestión de la continuidad del negocio.
  • Se tuvo que documentar la integración entre la continuidad del negocio y el negocio en sí, a través de vínculos con la gestión de procesos/calidad.
  • Se condujeron auditorías independientes a los proveedores críticos de servicios tercerizados, cuyos resultados fueron incorporados al proceso de monitoreo y medición. Esta iniciativa incluyó la participación de estos terceros en el plan de pruebas.
  • Como parte de la sección contexto de la organización, se tuvo que documentar y potenciar los mecanismos para entender las necesidades y expectativas de los grupos de interés (stakeholders) externos.
  • Mejorar el proceso permanente de concientización del personal, tanto del participante activo en el plan de continuidad del negocio, como de toda la empresa.
Fuente:
MacLeod, A. (2012, 3 de agosto). Experiences during certification to ISO 22301:2012. Recuperado de http://www.continuitycentral.com/feature1001.html

Comentarios

Entradas populares de este blog

Mapa de suelos de Lima y Callao #BusinessContinuity #DisasterRecovery

Repasando el MTPD (o período máximo tolerable de interrupción)