9.2. La auditoría interna
9.2. La auditoría interna
La empresa debe llevar a cabo auditorías internas a intervalos planificados para proporcionar información sobre si el Sistema de Gestión de la Continuidad de Negocio:
- Cumple con todos los propios de la empresa para su Sistema de Gestión de la Continuidad de Negocio y requisitos de la norma ISO 22301
- Se aplican y mantienen de forma efectiva
La empresa debe:
- Planificar, establecer, implantar y mantener programa de auditoría, incluyendo la frecuencia, métodos, responsabilidades, requisitos de planificación y presentación de informes. El programa de auditoría deberá tener en cuenta la importancia de los procesos en cuestión de los resultado de la auditoría anterior
- Definir los criterios de auditoría y el alcance de cada auditoría
- Servicios de auditores y auditorías de conducta para asegurar la objetividad y la imparcialidad del proceso de auditoría
- Garantizar los resultados de las auditorías se reportan a la administración correspondiente
- Retener la información documentada como evidencia de la ejecución del programa de auditoría y los resultados de la auditoría
El programa de auditoría, incluyendo la planificación, se basará en los resultados de las evaluaciones de riesgo. Las actividades de organización, así como los resultados de auditorías previas. Los procedimientos de auditoría deben cubrir el alcance, frecuencia, metodología y competencia, así como las responsabilidades y requisitos para realizar la auditoría e informar los resultados.
La dirección responsable del área que se está siendo auditada debe asegurarse de que todas las correcciones necesarias y se adopten medidas correctivas sin demora injustificada para eliminar las no conformidades detectadas y sus causas.
Las actividades de seguimiento deben incluir la verificación de las acciones tomadas y el informe de los resultados de la verificación.