top of page
Buscar

ISO 22301 CONTINUIDAD DE NEGOCIO

4.    CONTEXTO DE LA ORGANIZACIÓN

 

4.1   Comprender la organización y su contexto

La organización debe determinar las cuestiones externas e internas que sean relevantes para su propósito y que afecten su capacidad para lograr el (los) resultado(s) de su SGCN.

NOTA   Estas cuestiones se verán influenciados por los objetivos generales de la organización, sus productos y servicios y el importe y tipo de riesgo que pueda o no asumir.

 

4.2   Comprender las necesidades y expectativas de las partes interesadas

4.2.1   Generalidades

Cuando se establece un SGCN, la organización debe determinar:

a)    las partes interesadas que son relevantes para el SGCN;

b)    los requisitos relevantes para esas partes interesadas.

 

4.2.2   Requisitos legales y reglamentarios

La organización debe:

a)    implementar y mantener procesos para identificar, tener acceso y evaluar los requisitos legales y reglamentarios vigentes relacionados con la continuidad de sus productos y servicios, actividades y recursos;

b)   asegurar de que estos requisitos regulatorios, legales y cualquier otro, vigentes, sean tenidos en cuenta en la implementación y mantenimientos del SGCN;

c)    documentar esta información y mantenerla actualizada.

 

4.3    Determinar el alcance del sistema de gestión de continuidad de negocio

4.3.1   Generalidades

La organización debe determinar los límites y la aplicabilidad del SGCN para establecer su alcance.

Cuando se determina el alcance, la organización debe considerar:

a)    las cuestiones externas e internas a los que se hizo referencia en el numeral 4.1;

b)    los requisitos a los que se hizo referencia en el numeral 4.2;

c)    su misión, metas y obligaciones internas y externas.

El alcance debe estar disponible como información documentada.

 

4.3.2   Alcance del sistema de gestión de continuidad de negocio

La organización debe:

a)  establecer las partes de la organización que serán en el SGCN, teniendo en cuenta su locación, tamaño, naturaleza y complejidad;

b)   identificar los productos y servicios que se incluirán en el SGCN.

Cuando se define el alcance del SGCN, la organización debe documentar y aclarar las exclusiones. Estas no deben afectar la responsabilidad y capacidad de la organización para brindar la continuidad de negocio según lo determinado en el análisis de impacto al negocio o la evaluación del riesgo y los requisitos regulatorios y legales vigentes.

 

4.4   Sistema de gestión de continuidad de negocio

La organización debe establecer, implementar, mantener y mejorar de manera continua el SGCN, incluyendo los procesos necesarios y sus interrelaciones, de acuerdo con los requisitos de este documento.


VIDEO


5.    LIDERAZGO

 

5.1   Liderazgo y compromiso

La alta dirección debe demostrar liderazgo y compromiso con respecto al SGCN de la siguiente forma:

a)  asegurando que las políticas y los objetivos de continuidad de negocio están establecidos y son compatibles con la dirección estratégica de la organización;

b)    asegurando la integración de los requisitos del SGCN en los procesos empresariales de la organización;

c)    asegurando que los recursos necesarios para el SGCN se encuentran disponibles;

d)    comunicando la importancia de la continuidad de negocio efectiva de acuerdo con los requisitos del SGCN;

e)    asegurando que el SGCN logre el (los) objetivo(s) deseado(s);

f)     dirigiendo y apoyando el personal que contribuye a la eficacia del SGCN;

g)    promoviendo el mejoramiento continuo;

h) apoyando otras funciones gerenciales importantes para demostrar liderazgo y compromiso que aplican a sus áreas de responsabilidad.


NOTA   La referencia a negocio en este documento puede interpretarse en términos generales para referirse a aquellas actividades que son fundamentales para los propósitos de la existencia de la organización.

 

5.2    Políticas

5.2.1   Establecer la política de continuidad de negocio

La alta dirección debe establecer una política de continuidad de negocio que:

a)    sea apropiada a los propósitos de la organización;

b)    proporcione una estructura para establecer los objetivos de continuidad de negocio;

c)    incluya el compromiso para satisfacer los requisitos vigentes;

d)    incluya el compromiso para el mejoramiento continuo del SGCN.

 

5.2.2   Comunicar la política de continuidad de negocio

La política de continuidad de negocio debe:

a)    estar disponible como información documentada;

b)    comunicarse dentro de la organización;

c)    estar disponible para las partes interesadas, según convenga.

 

5.2.3   Funciones, responsabilidades y autoridad

La alta dirección debe asegurarse de que la responsabilidad y autoridad para los roles importantes se asignen y se comuniquen dentro de la organización.

La alta dirección debe asignar la responsabilidad y autoridad para:

a)    asegurar de que el SGCN cumple con los requisitos de este documento;

b)    informar acerca del desempeño del SGCN a la alta dirección.


VIDEO


6.   PLANEACIÓN

 

6.1    Acciones para abordar los riesgos y las oportunidades

6.1.1   Determinar los riesgos y las oportunidades

Al realizar la planeación del SGCN, la organización debe considerar las cuestiones a las que se hace referencia en el numeral 4.1 y los requisitos del numeral 4.2 y determinar los riesgos y las oportunidades que necesitan abordarse para:

a)    asegurarse que el SGCN pueda lograr el(los) resultado(s) deseado(s);

b)    prevenir o reducir, los resultados indeseados;

c)    lograr el mejoramiento continuo.

 

6.1.2   Abordar riesgos y oportunidades

La organización debe planear:

a)    acciones para abordar los riesgos y las oportunidades;

b)    como:

1)    integrar e implementar las acciones en los procesos del SGCN (ver numeral 8.1)

2)    evaluar la eficacia de estas acciones (ver numeral 9.1)


NOTA   Los riesgos y las oportunidades se relacionan con la eficacia del sistema de gestión. Los riesgos relacionados con la interrupción del negocio se abordan en el numeral 8.2.

 

6.2    Objetivos para la continuidad de negocio y la planeación para lograrlos

6.2.1   Establecer los objetivos para la continuidad de negocio

La organización debe establecer los objetivos para la continuidad de negocio de las funciones y niveles relevantes.

Los objetivos para la continuidad de negocio deben:

a)    ser consistentes con la política de continuidad de negocio;

b)    ser medibles (si es viable);

c)    tener en cuenta los requisitos vigentes (ver numerales 4.1 y 4.2);

d)    monitorearse;

e)    comunicarse;

f)     actualizarse según convenga.

La organización debe conservar información documentada sobre los objetivos para la continuidad de negocio.

 

6.2.2   Determinar los objetivos para la continuidad de negocio

Al planificar cómo lograr los objetivos para la continuidad de negocio, la organización debe determinar:

a)    qué se va a hacer;

b)    qué recursos se requerirán;

c)    quién será responsable;

d)    cuándo se finalizará;

e)    cómo se evaluarán los resultados.

 

6.3   Planeación de cambios en el sistema de gestión de continuidad de negocio

Cuando la organización determine la necesidad de cambios en el SGCN, incluyendo aquellos identificados en el numeral 10, estos cambios se deben llevar a cabo de manera planificada.

La organización debe considerar:

a)    el propósito del cambio y sus consecuencias potenciales;

b)    la integridad con el SGCN;

c)    la disponibilidad de recursos;

la asignación o reasignación de responsabilidades y autoridad.


VIDEO


7.    SOPORTE

 

7.1   Recursos

La organización debe determinar y brindar los recursos necesarios para el establecimiento, implementación, mantenimiento y mejora continua del SGCN.

 

7.2   Competencia

La organización debe:

a)  determinar las competencias necesarias de las personas que trabajan bajo su propio control y que afecta su desempeño de continuidad de negocio;

b)   asegurar que estas personas son competentes basándose en la educación, formación o experiencia apropiadas;

c)   cuando sea aplicable, tomar acciones para adquirir las competencias necesarias, y evaluar la eficacia de las acciones tomadas;

d)    conservar información documentada como evidencia de las competencias.


NOTA   Las acciones aplicables pueden incluir, por ejemplo, la formación, de tutoría, ola reasignación de personas empleadas actualmente; o la contratación de personas competentes.

 

7.3   Conocimiento

Las personas que trabajen bajo el control de la organización deben tener en cuenta:

a)    la política de continuidad de negocio;

b)  su contribución para la eficacia del SGCN, incluyendo los beneficios de mejorar el desempeño de la continuidad de negocio;

c)    las implicaciones de las no conformidades con los requisitos del SGCN;

d)    sus funciones y responsabilidades antes, durante y después de las interrupciones.

 

7.4   Comunicación

La organización debe determinar las comunicaciones internas y externas pertinentes para el SGCN, que incluyan:

a)    qué comunicar;

b)    cuando comunicar;

c)    a quién comunicar;

d)    como comunicar; 22301

e)    quien comunicará.

 

7.5    Información documentada

7.5.1   Generalidades

El SGCN de la organización debe incluir:

a)    la información documentada requerida por este documento;

b)  la información documentada que la organización determina como necesaria para la eficacia del SGCN.


NOTA   La extensión de la información documentada para un SGCN puede diferir de una organización a otra debido a:

-       el tamaño de la organización y el tipo de actividad, procesos, productos y servicios, y recursos;

-       la complejidad de sus procesos y sus interrelaciones;

-       la competencia de las personas.

 

7.5.2   Creación y actualización

Al crear y actualizar la información documentada, la organización debe asegurarse de que lo siguiente sea apropiado:

a)    identificación y descripción (por ejemplo, título, fecha, autor o referencia numérica);

b)   formato (por ejemplo, lenguaje, versión del software, gráfico) y medios de soporte (por ejemplo, papel, electrónico);

c)    revisión y aprobación para conveniencia y adecuación.

 

7.5.3   Control de la información documentada

7.5.3.1   La información documentada que se requiere para el SGCN y por el presente documento debe ser controlada para asegurarse de que:

a)    que esté disponible y sea idónea para su uso, cuando y donde se necesite;

b) que esté protegida adecuadamente (por ejemplo, de contra pérdida de confidencialidad, uso inadecuado, o pérdida de integridad).

 

7.5.3.2   Para el control de la información documentada, la organización debe abordar las siguientes actividades, según corresponda:

a)    distribución, acceso, recuperación y uso;

b)    almacenamiento y preservación, incluyendo preservación de legibilidad;

c)    control de cambios (por ejemplo, control de versión);

d)    conservación y disposición.

La información documentada de origen externo que la organización determina como necesaria para la planificación y operación del SGCN debe identificarse, según sea apropiado, y controlar.


NOTA   El acceso puede implicar la decisión, de acuerdo con el permiso, para ver solamente la información, o el permiso y la autoridad para ver y hacer cambios en la información documentada.


VIDEO


8.    OPERACIÓN

 

8.1   Planificación y control operacional

La organización debe planificar, implementar y controlar los procesos necesarios para logara los requisitos, y para implementar las acciones determinadas en el numeral 6.1, mediante:

a)    el establecimiento los criterios para los procesos;

b)    la implementación del control de los procesos de acuerdo con los criterios;

c)   el mantenimiento de la información documentada en la medida necesaria para tener confianza en que los procesos se llevan a cabo según lo planificado.

La organización debe controlar los cambios planificados y revisar las consecuencias de los cambios no intencionados, tomando acciones para mitigar los efectos adversos, si es necesario.

La organización debe asegurar que los procesos subcontratados y la cadena de abastecimiento sean controlados.

 

8.2    Análisis de impacto al negocio y evaluación de riesgos

8.2.1   Generalidades

La organización debe:

a)   implementar y mantener procesos sistemáticos para analizar el impacto empresarial y evaluar los riesgos de interrupción;

b)  revisar el análisis de impacto al negocio y la evaluación de riesgos en intervalos planificados y cuando haya cambios significativos dentro de la organización o en el contexto en el cual opera.


NOTA   La organización determina el orden en el que se llevan a cabo el análisis de impacto al negocio y la evaluación de riesgos.

 

8.2.2   Análisis de impacto al negocio (BIA, por sus siglas en inglés)

La organización debe usar procesos para analizar el impacto empresarial para determinar los requisitos y prioridades de la continuidad de negocio. El proceso debe:

a)    definir los tipos de impacto y criterios relevantes para el contexto de la organización;

b)    identificar las actividades que soportan la provisión de productos y servicios;

c)   usar los tipos de impacto y criterios para evaluar el impacto a lo largo del tiempo que resulten de una interrupción de esas actividades;

d)  identificar el periodo de tiempo dentro del cual el impacto de no reanudar las actividades sería inaceptable para la organización;


NOTA 1 Esto puede denominarse el período máximo tolerable de interrupción, MTPD, por sus siglas en inglés.


e)  Priorizar períodos de tiempo dentro del período identificado en el numeral d), para reanudar las actividades interrumpidas en una capacidad aceptable mínima especificada;


NOTA 2   Este periodo de tiempo puede denominarse periodo de tiempo objetivo, RTO, por siglas en inglés.


f)     Usar este análisis para identificar actividades prioritarias;

g)    Determinar cuáles recursos se necesitan para soportar las actividades prioritarias;

h)    Determinar las dependencias, incluyendo socios y proveedores, y las interdependencias de las actividades prioritarias.

 

8.2.3   Evaluación de riesgos

La organización debe implementar y mantener un proceso de evaluación de riesgos.


NOTA   El proceso para la elaboración de riesgos se abordan en la norma ISO 31000

La organización debe:

a)    Identificar el riesgo de interrupción de las actividades prioritarias de la organización y de sus recursos requeridos;

b)    Analizar y evaluar los riesgos identificados;

c)    determinar cuáles riesgos necesitan tratamiento.


NOTA   Los riesgos en este subnumeral se relacionan con la interrupción de las actividades de negocio. Los riesgos y las oportunidades relacionados con la eficacia del sistema de gestión se abordan en el numeral 6.1

 

8.3    Estrategias para la continuidad de negocio y soluciones

8.3.1   Generalidades

La organización debe identificar y seleccionar las estrategias para la continuidad de negocio que considere opciones para antes, durante y después de una interrupción, basadas en los resultados del análisis de impacto al negocio y la evaluación de riesgos. Las estrategias para la continuidad de negocio deben componerse de una o más soluciones.


8.3.2   Identificación de estrategias y soluciones

La identificación de las estrategias y soluciones debe basarse en la medida que estas:

a)   cumplan los requisitos para continuar y recuperar las actividades prioritarias dentro del periodo de tiempo identificado y la capacidad acordada;

b)    protejan las actividades prioritarias de la organización;

c)    reduzca la probabilidad de disrupciones;

d)    acorten el periodo de disrupción;

e)    limiten el impacto de la interrupción en los productos y servicios de la organización;

f)     proporcionen la disponibilidad de recursos adecuados.

 

8.3.3   Selección de estrategias y soluciones

La selección debe basarse en la medida que las estrategias y soluciones:

a)   cumpla con los requisitos para continuar y recuperar las actividades prioritarias dentro del período de tiempo identificado y la capacidad acordada;

b)    considere el importe y tipo de riesgo que la organización puede o no asumir;

c)    considere los beneficios y costos asociados.

 

8.3.4   Requisitos de recursos

La organización debe determinar los requisitos de los recursos para implementar las soluciones para la continuidad de negocio seleccionada. Los tipos de recursos a considerar deben incluir, pero no limitarse a:

a)   personas;

b)   información y datos;

c)  infraestructura física como edificios, lugares de trabajo, y otras facilidades y servicios asociados;

d)   equipos y consumibles;

e)   sistemas de tecnología de la información y comunicación (TIC);

f)    transporte y logística;

g)   finanzas;

h)   socios y proveedores.

 

8.3.5   Implementación de soluciones

La organización debe implementar y mantener las soluciones para la continuidad de negocio seleccionadas para que puedan activarse cuando sea necesario.


8.4    Planes y procedimientos para la continuidad de negocio

8.4.1   Generalidades

La organización debe implementar y mantener esquemas de respuesta que permitan una advertencia oportuna y la comunicación a las partes interesadas relevantes. Debe brindar planes y procedimientos para gestionar la organización durante una interrupción. Los planes y procedimientos deben usarse cuando se requieren activar las soluciones para la continuidad de negocio.


NOTA   Hay diferentes tipos de procedimientos que comprenden los planes para la continuidad de negocio.


La organización debe identificar y documentar los planes y procedimientos para la continuidad de negocio basados en el resultado de las estrategias y soluciones seleccionadas.

Los procedimientos deben:

a)  ser específicos con respecto a las medidas inmediatas que deben tomarse durante una interrupción;

b)  ser flexibles para responder a alas cambiantes condiciones internas y externas de una interrupción;

c)  enfocarse en el impacto de los incidentes que potencialmente conduzcan a una interrupción;

d)   ser efectivos minimizando el impacto a través de la implementación de las soluciones convenientes;

e)    asignar las funciones y las responsabilidades para las tareas dentro de ellos.

 

8.4.2   Esquema de respuesta

8.4.2.1   La organización debe implementar y mantener un esquema, identificando uno o más equipos responsables, para responder durante las interrupciones.

 

8.4.2.2   Las funciones y las responsabilidades de cada equipo y las relaciones entre ellos deben establecerse claramente.

 

8.4.2.3   En conjunto, los equipos deben ser competentes para:

a)   evaluar la naturaleza y el alcance de una interrupción y su impacto potencial;

b)   evaluar el impacto contra los límites predefinidos que justifican el inicio de una respuesta formal;

c)    activar la respuesta conveniente para la continuidad de negocio;

d)    planificar acciones que necesiten emprenderse;

e)    establecer prioridades (la primera prioridad debe ser la seguridad de la vida);

f)     monitorear los efectos de la interrupción y la respuesta de la organización;

g)    activar las soluciones para la continuidad de negocio;

h)    comunicarse con las partes interesadas relevantes, las autoridades y los medios.

 

8.4.2.4   Para cada equipo debe hacer:

a)  personal identificado y sus suplentes con las responsabilidades, autoridad y competencias necesarias para desempeñar la función designada;

b)    procedimientos documentados para guiar sus acciones (ver numeral 8.4), incluyendo aquellos para la activación, operación, coordinación y comunicación de la respuesta.

 

8.4.3    Advertencia y comunicación

8.4.3.1   La organización debe documentar y mantener procedimientos para:

a)  comunicar interna y externamente a las partes interesadas relevantes, incluyendo que, cuando, con quien y que comunicar;


NOTA   La organización puede documentar y mantener procedimientos para cómo, y bajo qué circunstancias, la organización se comunica con sus contactos de emergencia.


b)  recibir, comunicar y responder a las comunicaciones de las partes interesadas, incluyendo cualquier sistema de asesoría nacional o regional o su equivalente;

c)   asegurar la disponibilidad de los medios de comunicación durante la interrupción;

d)   facilitar la comunicación estructurada con los organismos de socorro;

e)  brindar detalles de la respuesta a los medios de comunicación de la organización después de un incidente, incluyendo una estrategia de comunicación;

f)     registrar los detalles de la interrupción, las acciones realizadas y las decisiones tomadas.

 

8.4.3.2   Cuando sea necesario, debe considerarse e implementarse los siguiente:

a)   alertar a las personas interesadas potencialmente afectadas por una interrupción real o inminente;

b)   asegurar la coordinación y comunicación adecuadas entre las múltiples organizaciones de respuesta;

Los procedimientos de comunicación y advertencia deben practicarse como parte del programa de ejercicios de la organización como se describe en el numeral 8.5.

 

8.4.4    Planes para la continuidad de negocio

8.4.4.1   La organización debe documentar y mantener planes y procedimientos para la continuidad de negocio. Los planes para la continuidad de negocio deben brindar orientación e información para ayudar a los equipos a responder en una interrupción y ayudar a la organización en la respuesta y recuperación.

 

8.4.4.2   En conjunto, los planes para la continuidad de negocio deben contener:

a)    detalle de las acciones que los equipos tomarán para:

1)  continuar o recuperar las actividades prioritarias dentro de los periodos de tiempo predeterminados;

2)    monitorear el impacto de la interrupción y la respuesta de la organización hacia ella;

b)   referencia de los limites predefinidos y los procesos para activar la respuesta;

c)  procedimientos para permitir la oferta de productos y servicios en una capacidad acordada;

d)   detalles para gestionar las consecuencias inmediatas de una interrupción teniendo en cuenta:

1)    el bienestar de los individuos;

2)    la prevención de nuevas perdidas o la indisponibilidad de las actividades prioritarias;

3)    el impacto en el medio ambiente.

 

8.4.4.3   Cada plan debe incluir:

a)    propósito, alcance y objetivos;

b)    funciones y responsabilidades del equipo que implementará el plan;

c)    acciones para implementar las soluciones;

d)   información de soporte necesaria para activar (incluyendo los criterios de activación), operar, coordinar y comunicar las acciones de los equipos;

e)    interdependencias internas y externas;

f)     requisitos de los recursos;

g)    requisitos para los reportes;

h)    un proceso para darse de baja.

Cada plan debe ser utilizable y estar disponible en el momento y lugar en el que se requiera.


8.4   Recuperación

La organización debe tener procesos documentados para restaurar y volver a alas actividades empresariales a partir de las medidas temporales adoptadas durante y después de la interrupción.

 

8.5   Programa de ejercicios

La organización debe implementar y mantener un programa de ejercicios y pruebas para validar a lo largo del tiempo la eficacia de sus soluciones y estrategias para la continuidad de negocio.

La organización debe conducir ejercicios y pruebas que:

a)    sean consistentes con los objetivos para la continuidad de negocio;

b)  estén basados en escenarios adecuados que estén bien planificados con objetivos y propósitos claramente definidos;

c)   desarrollen el trabajo en equipo, competencia, confianza y conocimiento para aquellos que tienen que desempeñar funciones en relación con las interrupciones;

d)   validen las estrategias y soluciones para la continuidad de negocio a lo largo del tiempo;

e)  produzca reportes formalizados después de los ejercicios que contengan resultados, recomendaciones y acciones para implementar mejoras;

f)     se revisen en el contexto de promoción de mejora continua;

g)    se desarrollen en intervalos predeterminados y cuando hay cambios significantes dentro de la organización o el contexto en la cual opera.

La organización debe actuar de acuerdo con los resultados de los ejercicios y las pruebas para implementar cambios y mejoras.

 

8.6   Evaluación de la documentación y capacidad de continuidad de negocio

La organización debe:

a)   evaluar la pertinencia, idoneidad y eficacia del análisis de impacto al negocio, la evaluación del riesgo, estrategias, soluciones, planes y procedimientos;

b)   realizar evaluaciones a través de revisiones, análisis, ejercicios, pruebas, reportes después de incidentes y evaluaciones del desempeño;

c)  dirigir evaluaciones de la capacidad de continuidad de negocio de los socios y proveedores relevantes;

d)  evaluar el cumplimiento de los requisitos regulatorios y legales vigentes, buenas prácticas industriales y la conformidad con sus políticas y objetivos de continuidad de negocio;

e)    actualizar la documentación y los procedimientos de manera periódica.

Las evaluaciones deben realizarse en intervalos predeterminados, después de un incidente o activación y cuando se presenten cambios significativos.


VIDEO


9.   EVALUACIÓN DEL DESEMPEÑO

 

9.1   Monitoreo, medición, análisis y evaluación

La organización debe determinar:

a)    qué necesita seguimiento y medición;

b)   los métodos de seguimiento, medición, análisis y evaluación necesarios para asegurar resultados válidos;

c)    cuando y quien realizará el seguimiento y la medición;

d)   cuando y quien realizara el análisis y la evaluación de los resultados del seguimiento y la medición.

La organización debe conservar la información documentada apropiada como evidencia de los resultados.

La organización debe evaluar el desempeño y la eficacia del SGCN.

 

9.2    Auditoría interna

9.2.1   Generalidades

La organización debe llevar a cabo auditorias internas en intervalos planificados para proporcionar información de si el SGCN:

a)    es conforme con:

1)    los requisitos propios de la organización para su SGCN;

2)    los requisitos de este documento;

b)    se implementa y se mantiene eficazmente.

 

9.2.2   Programa(s) de auditoría

La organización debe:

a)    planear, establecer, implementar y mantener un o varios programas de auditoría incluya la frecuencia, los métodos, las responsabilidades, los requisitos de planificación y la elaboración de informes, que deben tener en consideración la importancia de los procesos involucrados y los resultados de las auditorías previas;

b)    definir los criterios de la auditoría y el alcance de cada auditoría;

c)   seleccionar los auditores y llevar a cabo auditorías para asegurarse la objetividad y la imparcialidad de los procesos auditados;

d)    asegurarse de que los resultados de las auditorías se informen a la dirección pertinente;

e)   conservar información documentada como evidencia de la implementación del programa de auditoria y de los resultados de las auditorías;

f)    asegurar que las acciones correctivas adecuadas se tomen sin demoras injustificadas para eliminar las no conformidades detectadas y sus causas;

g)    asegurar que las acciones de auditorías de seguimiento incluyan la verificación de las medidas adoptadas y la presentación de informes de los resultados de verificación.

 

9.3    Revisión por la dirección

9.3.1   Generalidades

La alta dirección debe revisar el SGCN de la organización en intervalos predeterminados, para asegurar su continua pertinencia, idoneidad y eficacia.

 

9.3.2   Consideraciones de la revisión por la dirección

La revisión por la dirección debe considerar:

a)    el estado de las acciones de revisiones por la dirección previas;

b)    cambios de las cuestiones internas y externas que sean relevantes para el SGCN;

c)    información del desempeño del SGCN, incluyendo tendencias en:

1)    no conformidades y acciones correctivas;

2)    seguimiento y resultados de la evaluación de medición;

3)    resultados de auditoria;

d)    retroalimentación de las partes interesadas;

e)    la necesidad de cambios en el SGCN, incluyendo la política y los objetivos;

f)     los procedimientos y los recursos que pueden usarse en la organización para mejorar el desempeño y la eficacia del SGCN;

g)    información del análisis de impacto al negocio y el análisis de riesgos;

h)   resultados de la evaluación de la documentación y capacidad de continuidad de negocio (ver numeral 8.6);

i)    riesgos o asuntos no abordados de manera adecuada en cualquier evaluación de riesgos anterior;

j)     lecciones aprendidas y acciones derivadas de las cuasi-errores e interrupciones;

k)    oportunidades para el mejoramiento continuo.

 

9.3.3   Resultados de la revisión por la dirección

9.3.3.1   Los resultados de la revisión por la dirección deben incluir decisiones relacionadas con las oportunidades de mejoramiento continuo y cualquier necesidad de cambio en el SGCN para mejorar la eficiencia y eficacia, incluyendo lo siguiente:

a)    variaciones en el alcance del SGCN;

b)  actualización del análisis de impacto al negocio, evaluación de riesgos, estrategias y soluciones para la continuidad de negocio, y planes de continuidad de negocio;

c)    modificación de los procedimientos y controles para responder a los asuntos internos y externos que puedan impactar el SGCN;

d)    como se medirá la eficacia de los controles.

 

9.3.3.2   La organización debe conservar la información documentada como evidencia de los resultados de la revisión por la dirección. Debe:

a)  comunicar los resultados de la revisión por la dirección a las partes interesadas relevantes;

b)    tomar las convenientes acciones relacionadas con esos resultados.


VIDEO


10.   MEJORAMIENTO

 

10.1   No conformidad y acción correctiva

10.1.1   La organización debe determinar las oportunidades de mejoramiento e implementar las acciones necesarias para lograr los resultados deseados del SGCN.

 

10.1.2   Cuando ocurra no conformidad, la organización debe:

a)    reaccionar ante la no conformidad, y cuando sea aplicable:

1)    tomar acciones para controlarla y corregirla;

2)    hacer frente a las consecuencias;

b)   evaluar la necesidad de acciones para eliminar las causas de la no conformidad, con el fin de que no vuelvan a ocurrir en otro parte, mediante:

1)    la revisión de la no conformidad;

2)    la determinación de las causas de la no conformidad;

3)   la determinación de si existen no conformidades similares, o que potencialmente puedan ocurrir;

c)    implementar cualquier acción necesaria;

d)    revisar la eficacia de cualquier acción correctiva tomada;

e)    si fuera necesario, hacer los cambios en el SGCN.

Las acciones correctivas deben ser apropiadas para los efectos de las no conformidades encontradas.

 

10.1.3   La organización debe conservar la información documentada como evidencia de:

a)    la naturaleza de las no conformidades y cualquier acción tomada posteriormente;

b)    los resultados de cualquier acción correctiva.

 

10.2   Mejora continua

La organización debe mejorar de manera continua la conveniencia, adecuación y eficacia del SGCN, basado en las mediciones cualitativas y cuantitativas.

La organización debe considerar los resultados del análisis y la evaluación, y los resultados de la revisión de la dirección, para determinar si hay necesidades u oportunidades, relacionadas con la empresa, o el SGCN, que considerarse como parte de la mejora continua.


NOTA   La organización puede usar los procesos del SGCN, como el liderazgo, la planeación y la evaluación del desempeño, para mejorar.


VIDEO

 
 
 

Entradas recientes

Ver todo
ISO 37001 SISTEMA DE GESTION ANTISOBORNO

4. CONTEXTO DE LA ORGANIZACIÓN 4.1 Comprensión de la organización y de su contexto La organización debe determinar las cuestiones externas e internas que son pertinentes para su propósito y q

 
 
 
  • Whatsapp
  • facebook
  • instagram
  • twitter
  • linkedin
  • youtube

©2020 por CASCO. Creada con Wix.com

bottom of page