ISO 22301:2012 – Auditoría interna frente a la evaluación de riesgos
ISO 22301:2012
Después de ciertos acontecimientos traumáticos sufridos por organizaciones a nivel global en las últimas décadas, se ha impulsado por parte de todas las empresas el desarrollo de una normativa coherente a nivel mundial para promover la toma de conciencia antes la necesidad de estar preparados para superar cierto impacto de incidentes que pueden interrumpir la actividad de la organización, dicha normativa es la norma internacional ISO 22301:2012.
Los planes de recuperación del negocio tienen que revisarse y probarse con frecuencia para:
- Incluir y considerar todos los tipos de amenazas posibles.
- Analizar las interdependencias de nuestros procesos.
- Incluir los factores clave.
- Involucrar a toda la organización teniendo en cuenta la importancia del apoyo de todos los trabajadores.
Los principales beneficios que obtiene una organización cuando implementamos un Sistema de Gestión de Continuidad de Negocio eficiente, se pueden resumir en:
- Preservar los intereses de los accionistas.
- Mejorar el resultado operacional de la organización
- Reducir los riesgos
- Reducción de costes
- Reducción de los tiempos de inactividad
- Mejorar la competitividad
- Mejorar la eficacia operativa
- Proteger los bienes materiales y del negocio
- Mejora el cumplimiento de las legislaciones de seguridad y salud
- Mejora la seguridad global
- Evitar las acciones derivadas de las responsabilidad de la organización
Existen personas que buscan listas de control para realizar la auditoría interna de la norma ISO 22301:2012, ya que esperan que dichas listas de control les ayude con la información a la que tienen acceso de la organización.
El problema que tiene este tipo de cosas es que no son parte de una auditoría interna sino que son parte de la evaluación del riesgo.
El propósito de la evaluación de riesgos
El propósito que persigue la realización de una evaluación de riesgo es averiguar qué problemas puedes encontrar en la información y en las operación, es decir, lo que puede poner en peligro la confidencialidad, la integridad y la disponibilidad de la información o lo que puede poner en peligro la continuidad de las operaciones.
Como parte de la evaluación del riesgo tiene que hacer lo siguiente:
- Identificar todos los riesgos que se encuentran relacionados con la información.
- Identificar a las personas que sean propietarias de ciertos riesgos.
- Evaluar el impacto que generan y la probabilidad de que sucedan dichos riesgos.
- Determinar el nivel de los riegos y clasificarlos.
- Decidir si el riesgo tiene que ser tratado o no es necesario.
La evaluación de riesgos es la parte de un proceso de gestión de riesgos, y en realidad se puede considerar como la parte crucial a la hora de aplicar la norma ISO 22301:2012.
Como consecuencia, la evaluación de riesgos se debe realizar al principio del proyecto de implementación de la norma ISO 22301:2012, mientras que la auditoría interna se realiza después de realizar la implementación con éxito.
¿Cómo es la auditoría interna diferente?
La auditoría interna, por el contrario, no es más que una lista de todas las normas y los requisitos y conocer si dichas normas y requisitos son cumplidos por la organización.
Por lo general, las normas y los requisitos pueden ser los siguientes:
- Requisitos de la norma ISO 22301:2012
- Requisitos de las partes interesadas
- Reglas establecidas por las propias políticas y procedimientos de la compañía
Al realizar la auditoría interna, es necesario comprobar si todas las reglas y los requisitos se cumplen en su totalidad el alcance del Sistema de Gestión de Continuidad de Negocio.
Esto se realiza mediante la utilización de diferentes técnicas:
- Examinar toda la documentación y los registros.
- Entrevistar a los trabajadores.
- Observaciones personales.
Las principales diferencias entre la auditoría interna y la evaluación del riesgo
Una de las principales diferencias es el modo de pensar: la evaluación del riesgo está pensada para cosas pueden suceder en el futuro, mientras que la auditoría interna se ocupa de cómo se hacían las cosas en el pasado.
La segunda gran diferencia es que la auditoría interna se centra en el cumplimiento de diferentes normas y requisitos, mientras que la evaluación de riesgos no es más que un análisis que proporciona una base para la construcción de ciertas reglas.
La tercera diferencia es que la evaluación de riesgos se realiza antes de iniciar la aplicación de los controles de seguridad, mientras se realiza la auditoría interna una vez que estos ya están implementados.
No decimos que uno es más importante que el otro, ambos son muy importantes para construir un Sistema de Gestión de Continuidad del Negocio. Sin embargo, si tienen una cosa en común: ambos son muy descuidados en las organizaciones porque se perciben como sólo un ejercicio burocrático; pero esto es un tema diferente.
Software ISO 22301
El Software ISOTools Excellence es una plataforma tecnológica que ayuda a llevar a cabo la implantación, mantenimiento y evaluación de un Sistema de Gestión de la Continuidad de Negocio para poder identificar y controlar las amenazas que se producen en las organizaciones, según la norma ISO 22301:2012.