Consejos y sugerencias para la norma ISO 22301 de certificación de la gestión de la continuidad y futuro de su negocio.
algunos consejos prácticos para los administradores de continuidad de negocio que se están preparando para una auditoría de certificación ISO 22301.
Yo estaba en Madrid, el apoyo a un negocio a través de una auditoría ISO 22301. Mi compañía había estado trabajando con la empresa en cuestión por un año para que esté listo para la auditoría y que ya había participado de la organización (la parte con sede en Suecia) con la certificación ISO 22301, así que estábamos bastante seguros de que nos lo pase esta auditoría. Sin embargo, un auditor diferente es siempre una entidad desconocida. Esto significaba que la auditoría fue, como siempre, se acercó con un poco de aprensión.
Los siguientes son los 15 puntos que aprendí de esta auditoría en particular:
1. Si tiene parte de su organización certificada con la norma ISO 22301 no es necesario pasar por una parte 1 (documentación) y una auditoría de la parte 2 (entrevistas con el personal), que sólo puede ir para una sola extensión de la auditoría certificado.
2. Es importante recordar que, si bien el auditor usted y sus BCMS (sistema de gestión de la continuidad del negocio) es la auditoría, que los haya invitado a su empresa y se les paga para hacer la auditoría. Un auditor debe añadir valor a su BCMS y debe ayudar al proceso de mejora continua. Al final es por eso que vamos a por la norma: para mejorar la continuidad del negocio dentro de nuestra organización. Demasiados auditores justo lo tratan como un ejercicio de caja de relojería y quieren ir servilmente a través de la norma. ¿Dónde se encuentran con problemas que hacen una recomendación sobre cómo cumplir con los requisitos de la norma, no la forma de ayudarle a entender qué valor tiene esa sección en la mejora de su SGCN. El auditor, después de haber visto otros órganos encargados de la sección, podría sugerir la forma en que se acercaron a la sección y, por tanto, promover la buena práctica. La auditoría, como la parte de verificación del ciclo planificar-hacer-verificar-actuar, debe añadir valor a la BCMS y no ser un fin en sí mismo. Este es un elemento que voy a tomar con nuestro cuerpo auditoría en regreso al Reino Unido.
3. Cuentas parecen obsesionados con el alcance y así puede cuestionar su alcance y pasar mucho tiempo, garantizar que el alcance es correcta en el certificado. Si su ámbito de aplicación abarca menos de toda la organización, entonces debería tener un pensar acerca de cómo definir su ámbito de aplicación.
4. Asegúrese de que utiliza la terminología de la nación correcta o, mejor aún, la terminología de la norma misma,. Solía ‘directores de la compañía’ cuando debería haber usado » vicepresidentes. Mejor aún es el uso de la frase «alta dirección» y no se puede ir muy mal!
5. Comprender la diferencia entre el inconformismo y una oportunidad de mejora. Una no conformidad significa que no han cumplido con los requisitos de la norma. Ya sea que usted no ha cumplido con una de las cláusulas o no cumplen sus propias necesidades, por ejemplo, No actualizado sus planes cada seis meses. Una oportunidad de mejora es exactamente lo que dice, una recomendación sobre cómo llevar a cabo una acción mejor.
6. Si encuentra inconformidad no es suficiente sólo para tomar medidas para resolver el problema. Debe llevar a cabo un análisis de causa raíz (se podía utilizar los 5 porqués), decidir lo que va a hacer para remediar la acción, que va a hacerlo y cuando se hará. Por último determinar qué medidas va a tomar en el futuro para asegurar que el remedio es eficaz.
7. Es necesario indicar que se va a informar a la dirección sobre el estado de la continuidad del negocio dentro de la organización. Sólo porque usted tiene un patrocinador para la continuidad del negocio no significa que haya cumplido con este requisito: el papel de la alta dirección rueda debe ser declarado dentro de sus responsabilidades.
8. Si utiliza un tercero para ayudarle a obtener el estándar, es necesario asegurarse de que puede convencer al auditor que su organización está verdaderamente comprometido con la norma y que todo el conocimiento de continuidad de negocio no reside en el tercero.
9. Se anima a hacer su auditoría interna 2-3 meses antes de la auditoría externa en lugar de la semana anterior!
10. Nunca decir que no tenga algo que el auditor no ser que realmente no tiene ese elemento. Durante la auditoría del dueño de Fremont, un miembro del personal dijo que la organización no tenía un plan de recuperación de desastres de TI por escrito; y debido a que la respuesta que se dirigían hacia una no conformidad menor. Haciendo la misma pregunta un gerente de mayor jerarquía, fue capaz fue capaz de producir la documentación adecuada para prevenir la no conformidad menor. En caso de duda producir algo que existe dentro de la organización y se deja hasta que el auditor decidir si aceptarán como prueba.
11. Durante el desarrollo de su SGCN va a desarrollar sus propias normas internas, por ejemplo: que un plan debe ser actualizado cada seis meses. Es una buena idea tener una lista de estos estándares determinados internamente, y vigilar pesar de que su revisión por la dirección.
12. En la sección 9.3 de la norma ISO 22301 norma no es una lista de elementos que deben ser considerados como parte de la revisión por la dirección de la BCMS. En el pasado, los he puesto dentro de la revisión por la dirección y las han usado como una lista de verificación que pasar por cada vez que se llevó a cabo un examen de gestión. Hace poco les acortado para que sean un poco menos difícil de manejar para ir aunque en una reunión. El auditor sugirió que la lista no debería acortarse ya que esto podría dar lugar a uno de los elementos que se están perdidas.
13. Asegúrese de que cuando se están llevando a cabo la formación de la conciencia para el personal que el mensaje no es demasiado complejo para ellos, ya que pueden olvidar el mensaje. Unos mensajes sencillos tales como «Sí se me ha informado sobre la continuidad del negocio en caso de desastre», «Mi papel es …» y «Me gustaría saber más información de … ‘son suficientes. Mantenlo simple. Es un placer cuando el personal relatan los mensajes sencillos al auditor!
14. Decidir cómo va a hacer disponibles todos los documentos al auditor. He en el pasado les ha dado una gran pila de documentos impresos a cabo. Es posible que desee considerar la posibilidad de que el auditor todos los documentos en un lápiz de memoria en lugar de imprimir a todos. En caso de duda pregunte por adelantado.
15. Por último todavía sugieren fuertemente que si usted quiere hacer la continuidad del negocio correctamente y se va a incrustar en verdad que dentro de su organización, vaya a la norma ISO 22301 Certificación.
El resultado de la auditoría fue que el negocio se recomienda para la certificación con cero no conformidades!