algunos consejos prácticos para los administradores de continuidad de negocio que se están preparando para una auditoría de certificación ISO 22301.
Yo estaba en Madrid, el apoyo a un negocio a través de una auditoría ISO 22301. Mi compañía había estado trabajando con la empresa en cuestión por un año para que esté listo para la auditoría y que ya había participado de la organización (la parte con sede en Suecia) con la certificación ISO 22301, así que estábamos bastante seguros de que nos lo pase esta auditoría. Sin embargo, un auditor diferente es siempre una entidad desconocida. Esto significaba que la auditoría fue, como siempre, se acercó con un poco de aprensión.
Los siguientes son los 15 puntos que aprendí de esta auditoría en particular:
1. Si tiene parte de su organización certificada con la norma ISO 22301 no es necesario pasar por una parte 1 (documentación) y una auditoría de la parte 2 (entrevistas con el personal), que sólo puede ir para una sola extensión de la auditoría certificado.
2. Es importante recordar que, si bien el auditor usted y sus BCMS (sistema de gestión de la continuidad del negocio) es la auditoría, que los haya invitado a su empresa y se les paga para hacer la auditoría. Un auditor debe añadir valor a su BCMS y debe ayudar al proceso de mejora continua. Al final es por eso que vamos a por la norma: para mejorar la continuidad del negocio dentro de nuestra organización. Demasiados auditores justo lo tratan como un ejercicio de caja de relojería y quieren ir servilmente a través de la norma. ¿Dónde se encuentran con problemas que hacen una recomendación sobre cómo cumplir con los requisitos de la norma, no la forma de ayudarle a entender qué valor tiene esa sección en la mejora de su SGCN. El auditor, después de haber visto otros órganos encargados de la sección, podría sugerir la forma en que se acercaron a la sección y, por tanto, promover la buena práctica. La auditoría, como la parte de verificación del ciclo planificar-hacer-verificar-actuar, debe añadir valor a la BCMS y no ser un fin en sí mismo. Este es un elemento que voy a tomar con nuestro cuerpo auditoría en regreso al Reino Unido.
3. Cuentas parecen obsesionados con el alcance y así puede cuestionar su alcance y pasar mucho tiempo, garantizar que el alcance es correcta en el certificado. Si su ámbito de aplicación abarca menos de toda la organización, entonces debería tener un pensar acerca de cómo definir su ámbito de aplicación.
4. Asegúrese de que utiliza la terminología de la nación correcta o, mejor aún, la terminología de la norma misma,. Solía ‘directores de la compañía’ cuando debería haber usado » vicepresidentes. Mejor aún es el uso de la frase «alta dirección» y no se puede ir muy mal!
5. Comprender la diferencia entre el inconformismo y una oportunidad de mejora. Una no conformidad significa que no han cumplido con los requisitos de la norma. Ya sea que usted no ha cumplido con una de las cláusulas o no cumplen sus propias necesidades, por ejemplo, No actualizado sus planes cada seis meses. Una oportunidad de mejora es exactamente lo que dice, una recomendación sobre cómo llevar a cabo una acción mejor.
6. Si encuentra inconformidad no es suficiente sólo para tomar medidas para resolver el problema. Debe llevar a cabo un análisis de causa raíz (se podía utilizar los 5 porqués), decidir lo que va a hacer para remediar la acción, que va a hacerlo y cuando se hará. Por último determinar qué medidas va a tomar en el futuro para asegurar que el remedio es eficaz.
7. Es necesario indicar que se va a informar a la dirección sobre el estado de la continuidad del negocio dentro de la organización. Sólo porque usted tiene un patrocinador para la continuidad del negocio no significa que haya cumplido con este requisito: el papel de la alta dirección rueda debe ser declarado dentro de sus responsabilidades.
8. Si utiliza un tercero para ayudarle a obtener el estándar, es necesario asegurarse de que puede convencer al auditor que su organización está verdaderamente comprometido con la norma y que todo el conocimiento de continuidad de negocio no reside en el tercero.
9. Se anima a hacer su auditoría interna 2-3 meses antes de la auditoría externa en lugar de la semana anterior!
10. Nunca decir que no tenga algo que el auditor no ser que realmente no tiene ese elemento. Durante la auditoría del dueño de Fremont, un miembro del personal dijo que la organización no tenía un plan de recuperación de desastres de TI por escrito; y debido a que la respuesta que se dirigían hacia una no conformidad menor. Haciendo la misma pregunta un gerente de mayor jerarquía, fue capaz fue capaz de producir la documentación adecuada para prevenir la no conformidad menor. En caso de duda producir algo que existe dentro de la organización y se deja hasta que el auditor decidir si aceptarán como prueba.
11. Durante el desarrollo de su SGCN va a desarrollar sus propias normas internas, por ejemplo: que un plan debe ser actualizado cada seis meses. Es una buena idea tener una lista de estos estándares determinados internamente, y vigilar pesar de que su revisión por la dirección.
12. En la sección 9.3 de la norma ISO 22301 norma no es una lista de elementos que deben ser considerados como parte de la revisión por la dirección de la BCMS. En el pasado, los he puesto dentro de la revisión por la dirección y las han usado como una lista de verificación que pasar por cada vez que se llevó a cabo un examen de gestión. Hace poco les acortado para que sean un poco menos difícil de manejar para ir aunque en una reunión. El auditor sugirió que la lista no debería acortarse ya que esto podría dar lugar a uno de los elementos que se están perdidas.
13. Asegúrese de que cuando se están llevando a cabo la formación de la conciencia para el personal que el mensaje no es demasiado complejo para ellos, ya que pueden olvidar el mensaje. Unos mensajes sencillos tales como «Sí se me ha informado sobre la continuidad del negocio en caso de desastre», «Mi papel es …» y «Me gustaría saber más información de … ‘son suficientes. Mantenlo simple. Es un placer cuando el personal relatan los mensajes sencillos al auditor!
14. Decidir cómo va a hacer disponibles todos los documentos al auditor. He en el pasado les ha dado una gran pila de documentos impresos a cabo. Es posible que desee considerar la posibilidad de que el auditor todos los documentos en un lápiz de memoria en lugar de imprimir a todos. En caso de duda pregunte por adelantado.
15. Por último todavía sugieren fuertemente que si usted quiere hacer la continuidad del negocio correctamente y se va a incrustar en verdad que dentro de su organización, vaya a la norma ISO 22301 Certificación.
El resultado de la auditoría fue que el negocio se recomienda para la certificación con cero no conformidades![:en]
HINTS AND TIPS FOR ISO 22301 CERTIFICATION.
some practical advice for business continuity managers who are preparing for an ISO 22301 certification audit.
I was in Madrid, supporting a business through an ISO 22301 audit. My company had been working with the business in question for a year to get it ready for the audit and we had already taken part of the organization (the part based in Sweden) to ISO 22301 certification, so we were fairly confident that we would pass this audit. However, a different auditor is always an unknown entity. This meant that the audit was, as always, approached with a little apprehension.
The following are 15 points I learned from this particular audit:
1. If you have part of your organization certified to ISO 22301 you do not need to go through a part 1 (documentation) and a part 2 audit (interviews with staff), you can just go for a single extension of the certificate audit.
2. It is important to remember that, although the auditor is auditing you and your BCMS (business continuity management system), you have invited them into your company and are paying them to do the audit. An auditor should add value to your BCMS and should help the continual improvement process. In the end that is why we go for the standard: to improve business continuity within our organization. Too many auditors just treat it as a box-ticking exercise and want to slavishly go through the standard. Where they find issues they make a recommendation on how to meet the requirements of the standard, not how to help you understand what value that section has in improving your BCMS. The auditor, having seen other organizations address the section, could suggest how they approached the section and hence promote good practice. The audit, as the check part of the plan-do-check-act cycle, should add value to the BCMS and not be an end in itself. This is one item I am going to take up with our auditing body on return to the UK.
3. Auditors seem obsessed with scope and so may question your scope and spend a lot of time ensuring that the scope is correct on the certificate. If your scope covers less than the whole organization then you should have a think about how to define your scope.
4. Make sure you use the correct nation’s terminology or, better still, the terminology from the standard itself. I used ‘directors of the company’ when I should have used ‘vice presidents’. Better still is to use the phrase ‘top management’ and you can’t go far wrong!
5. Understand the difference between nonconformity and an opportunity for improvement. A nonconformity means you have not met the requirements of the standard. Either you have not complied with one of the clauses or not met your own requirements e.g. not updated your plans every six months. An opportunity for improvement is just what it says, a recommendation on how to carry out an action better.
6. If you find nonconformity it is not sufficient just to take steps to address the issue. You should carry out a route cause analysis (you could use the 5 whys), decide what you are going to do to remedy the action, who is going to do it and when it will be done. Finally determine what steps you are going to take in future to ensure that the remedy is effective.
7. You need to state who is going to report to top management on the state of business continuity within the organization. Just because you have a sponsor for business continuity doesn’t mean you have met this requirement: the role of briefing top management needs to be stated within their responsibilities.
8. If you use a third party to help you gain the standard, you need to make sure that you can convince the auditor that your organization is truly committed to the standard and that all the business continuity knowledge does not reside in the third party.
9. It is encouraged to do your internal audit 2-3 months before the external audit rather than the week before!
10. Never say you don’t have something to the auditor unless you really don’t have that item. During the audit of the Fremont business, a member of staff said that the organization didn’t have a written IT disaster recovery plan; and due to that answer we were heading towards a minor nonconformity. Asking a more senior manager the same question, he was able was able to produce suitable documentation to prevent the minor nonconformity. If in doubt produce something that exists within the organization and leave it up to the auditor to decide whether they will accept it as evidence.
11. During the development of your BCMS you will develop your own internal standards, for example: that a plan should be updated every six months. It is a good idea to have a checklist of these internally determined standards and monitor them though your management review.
12. In section 9.3 of the ISO 22301 standard there is a list of items which should be considered as part of the management review of the BCMS. In the past I have put them within the management review and used them as a checklist to go through each time a management review was conducted. Recently I shortened them to make them a little less unwieldy to go though at a meeting. The auditor suggested that the list should not be shortened as this might result in one of the items being missed.
13. Make sure when you are carrying out awareness training for staff that the message is not too complex for them as they may forget the message. A few simple messages such as ‘Yes I have been briefed on business continuity in a disaster’, ‘My role is…’ and ‘I can find out further information from…’ are enough. Keep it simple. It is a pleasure when staff recount the simple messages to the auditor!
14. Decide how you will make available all the documents to the auditor. I have in the past given them a big stack of printed out documents. You may want to consider giving the auditor all the documents on a memory stick rather than printing them all out. If in doubt ask them in advance.
15. Finally I still strongly suggest that if you want to do business continuity properly and want to truly embed it within your organization, you go for ISO 22301 Certification.
The result of the audit was that the business was recommended for certification with zero nonconformities![:]