---

---

La auditoría

Los coches se mantienen para que funcionen sin problemas y con luces intermitentes – y tienen que ir al T&U regularmente. Los sistemas de gestión de la continuidad del negocio, al igual que sus planes de BC, también necesitan ser mantenidos para funcionar. Sólo las inspecciones periódicas pueden garantizar su eficacia en caso de interrupción.

Por supuesto, esto no se llama mantenimiento, sino auditoría, según el objeto de la misma. Sin embargo, las auditorías no sólo sirven para examinar los sistemas de gestión de la BC, sino también muchos otros temas, como los procesos, la situación financiera, los proyectos, otros sistemas de gestión, los productos, el software, las directrices y los requisitos. La cuestión es siempre si lo que se audita cumple las normas exigidas. En otras palabras, una auditoría es una comparación objetivo-rendimiento.

Las auditorías difieren en la forma en que se llevan a cabo. Hay:

• Auditorías de primera parte: Se trata de una auditoría interna realizada por un empleado. En las auditorías de primera parte, la gestión de la calidad de la empresa es comprobada por un auditor interno, por ejemplo.

• Auditorías de segunda parte: Estos procedimientos de investigación también se denominan auditorías de proveedores. En el caso de las empresas con cadenas de suministro existentes, la empresa compradora comprueba, por ejemplo, la gestión de la continuidad comercial de sus proveedores (véase también: gestión de la continuidad de la cadena de suministro). Las desviaciones se discuten, se corrigen y se vuelven a comprobar. En estas auditorías también se discuten las propuestas de mejora y, si es posible, se aplican. Para ello, o bien se envía a un empleado formado por la empresa a auditar, o bien se encarga a un auditor externo.

• Auditorías de terceros: El objetivo de estas auditorías es obtener la certificación. Un organismo de certificación externo comprueba, por ejemplo, si una empresa cumple los requisitos para la certificación del sistema de gestión según la norma ISO 22301:2019. Las auditorías periódicas de recertificación que se realizan a continuación también forman parte de esto.

Por tanto, todas las auditorías tienen en común que comprueban si se aplican determinadas normas definidas en una empresa/organización.

Las auditorías en el ámbito de la gestión de la continuidad del negocio están sujetas a una periodicidad fija, que ya se debe al ciclo de vida de la GCN. Se recomiendan con una repetición anual, para las empresas certificadas son obligatorias en esta secuencia.

Si el auditor está familiarizado con la empresa y su organización y/o no es necesario realizar visitas o inspecciones, éstas pueden llevarse a cabo a distancia. En este caso, el auditor recibe todos los documentos necesarios y realiza las entrevistas de auditoría a distancia. Si el auditor no conoce la empresa que va a auditar, es imprescindible que la visite al realizar el análisis de amenazas para conocer la organización de la empresa y todas sus instalaciones.

Procedimiento a seguir

Auditoría del GBC por parte de Controllit AG para verificar la madurez de la certificación – una visión general del procedimiento

Tras la orden de auditoría y las llamadas telefónicas iniciales para coordinar el contenido de la auditoría, el primer paso es revisar y evaluar la documentación. Estos documentos incluyen, por ejemplo, la política, el manual, los planes BIA y BC, etc. También hay que comprobar la eficacia de la metodología. Al mismo tiempo, la reunión de apertura y el plan de auditoría se preparan y se envían a todos los participantes antes de la fecha de la reunión.

En la reunión de apertura, se informa a todos los participantes sobre la auditoría que comenzará después. Dependiendo del alcance y la profundidad de la auditoría, puede durar desde un día hasta varias semanas. Durante la auditoría, se comprueba el sistema de documentación/gestión y se mantienen entrevistas con el gestor de la BC responsable del proceso y otras partes interesadas.

Es entonces cuando se determina si todos los procesos están documentados y aplicados. Si se detectan desviaciones durante este periodo, se apoya al auditor con propuestas de mejora orientadas a la solución, para que las desviaciones puedan eliminarse lo antes posible. Una vez discutidas y resumidas todas las desviaciones y sus propuestas de solución, se prepara la reunión de cierre.

En esta reunión se revisan todas las discrepancias con todas las personas implicadas. A continuación se redacta el informe de auditoría y se envía a los participantes y a la dirección. El informe contiene, entre otras cosas, recomendaciones que se evalúan en función de su prioridad, impacto y coste. A continuación, se completa la auditoría.

¿Y qué pasa ahora en la empresa?

Una auditoría sostenible y bien enfocada depende de los conocimientos y la experiencia del auditor. Además, son importantes un alto nivel de perspicacia, la comprensión de los complejos procesos y sistemas de gestión y los conocimientos humanos. El auditor no debe apresurarse a llegar a una conclusión cuando vea un mal funcionamiento, ni dejarse llevar por las narices cuando el propietario de un proceso intente encubrir una no conformidad de alguna manera, o cuando quiera desviarse del plan de auditoría.

Las auditorías son partes muy valiosas del ciclo de vida de la gestión de la continuidad del negocio que ayudan a optimizar los procesos para tener más éxito como organización.

¿Existe una norma?

Sí, ISO 22301:2019. Esta norma para los sistemas de gestión de la continuidad del negocio también contiene una norma para realizar auditorías (ISO 19011 "Guía para la auditoría de los sistemas de gestión"). Controllit AG estará encantada de asesorarle al respecto.