Home / Event / La revisión de ISO 22301

La revisión de ISO 22301

La revisión de ISO 22301
Mar
7

LA REVISIÓN ISO 22301: ¿QUÉ ESPERAR?

SISTEMA DE GESTIÓN DE CONTINUIDAD EMPRESARIAL

ESTIÓN DE LA CONTINUIDAD EMPRESARIAL: LA REVISIÓN DE ISO 22301 Y LOS CAMBIOS QUE TRAERÁ.
THIJS WILLAERT. Traducción Karen Camacho

Menos texto; más flexibilidad; menos prescriptividad, mayor pragmatismo – en pocas palabras, es la nueva versión de ISO 22301, el Sistema de Gestión de Continuidad del Negocio (BCMS por sus siglas en inglés). A pesar de que la revisión no trae grandes cambios, la nueva versión de la norma en definitiva es una mejora y aportará un mayor valor a sus usuarios.

Desde su publicación inicial en 2012, la norma ISO 22301 se ha convertido en el punto de referencia internacional para sistemas de gestión de continuidad del negocio. De acuerdo a la encuesta de ISO, más de 4,000 organizaciones están certificadas en ISO 22301. La popularidad de la norma se ha extendido en diversas industrias, por nombrar sólo algunas, DQS ha certificado: bancos, plantas químicas, proveedores de servicio IT, así como fabricantes de partes automotrices.

Teniendo en cuenta su popularidad, sólo es apropiado para ISO revisar su nivel e incorporar los aprendizajes de sus primeros años de uso. En enero 2019, ISO publicó la norma ISO/DIS 22301:2019, que es un borrador de la nueva versión. A pesar de que puede tener cambios entre el borrador y la versión final, ya da una idea clara de qué se puede esperar.

BUENAS NOTICIAS: LOS CAMBIOS SON LIMITADOS

Comencemos con el punto principal: Si ya está certificado en ISO 22301:2012, no debería tener problema alguno con la transición. A comparación de una y otra, muestra que no ha habido cambios estructurales importantes en la norma.

Una de las principales razones por las cuales las revisiones de las normas del sistema de gestión ISO han sido tan difíciles en los últimos años ha sido la adopción de la Estructura de Alto Nivel. Esta nueva estructura está unificada y contiene un texto central para todas las normas del sistema de gestión ISO. Sin embargo, la versión del 2012 de ISO 22301 ya tenía la estructura de alto nivel – fue una de las primeras normas ISO en presentar esta nueva estructura.

Por lo tanto, en lugar de reescribir toda la norma, el grupo de trabajo podría centrarse en la redacción y la claridad. Muchas de las secciones redundantes se han reducido, las definiciones son más consistentes y el texto se ha vuelto más lógico.

LA GRAN NOTICIA: REGRESA LA ESENCIA DE BCM

Lo que es particularmente interesante es la cantidad de requisitos que se han reducido a su esencia. La Sección 4.1 es un buen ejemplo: mientras que en la versión 2012 prescribe lo que una organización debe hacer (y documentar) para entender a la organización y el contexto, la nueva versión simplemente establece la necesidad de “determinar problemas externos e internos” sin especificar lo que esto conlleva. No menciona qué aspectos deben tenerse en cuenta, ni incluye un requisito para documentar este proceso. Algo similar está pasando en la sección 7.4 en comunicación: la nueva versión es marcadamente menos prescriptiva.

Otro requisito que se ha recortado es la participación de la alta dirección (5.2). Tanto la versión anterior como la nueva requieren que la alta dirección se comprometa con la política de BCM. Sin embargo, mientras que la versión anterior llegó a requerir que la alta dirección “participara activamente en el ejercicio y la prueba”, la nueva versión es más pragmática en su enfoque y ahora se enfoca en lo realmente se necesita para mantener un efectivo BCMS.

OTROS CAMBIOS

Junto a un gran número de pequeños ajustes con poco o nulo impacto para los lugares de certificación, hay algunos cambios que valen la pena destacar:

  • Uno de los pocos requisitos nuevos es la cláusula 6.3, que requiere que las organizaciones realicen cambios en el BCMS “de manera planificada”. Aunque técnicamente este requisito es nuevo, el contenido de la cláusula no debería ser una sorpresa para nadie.
  • Sección 8.2.2 en el Análisis de Impacto del negocio (BIA) Ahora estipula que el BIA debe tomar categorías de impacto como punto de partida. Si bien muchas organizaciones ya están definiendo categorías de impacto en su BIA, la nueva versión de la norma lo hace obligatorio.
  • Sección 8.3 ha cambiado su nombre de “Estrategia de Continuidad de Negocios” a “Estrategias y soluciones de continuidad de negocios“. Esto refleja el aumento del pragmatismo de la norma: el enfoque no se centra tanto en desarrollar una gran estrategia para garantizar la continuidad del negocio, sino en encontrar soluciones para riesgos e impactos específicos:

 

“La organización debe identificar y seleccionar las estrategias de continuidad del negocio en función de los resultados del análisis de impacto en el negocio y la evaluación de riesgos. Las estrategias de continuidad del negocio estarán compuestas por una o más soluciones.”

  • El término “apetito de riesgo” ha sido eliminado de la norma. En la versión 2012, “Apetito de riesgo” estaba definido como “Cantidad y tipo de riesgo que una organización está dispuesta a perseguir o retener”. La nueva norma, sin embargo, es correcto anular el término. El “apetito de riesgo” no es sólo un tema subjetivo, sino que, en última instancia, también irrelevante: lo que importa no es el riesgo que una organización está dispuesta a asumir, sino en el nivel de impacto de no reanudar las actividades sería inaceptable para una organización.

REVISIÓN DE LA GUÍA DE ISO 22313

Al reducir la norma a su esencia, ISO ha logrado una separación clara entre los requisitos (qué) y la guía (cómo). El documento de orientación ISO 22313, que se remonta a 2012, también se actualizará para reflejar los cambios en la norma ISO 22301. Se espera que se publique un poco después del lanzamiento de la nueva versión de ISO 22301.

LÍNEA DE TIEMPO Y TRANSICIÓN

La nueva versión de ISO 22301 está actualmente en fase de borrador. Dependiendo de los comentarios al borrador, el comité técnico responsable de la revisión espera que la norma sea publicada en otoño del 2019, como ISO 22301:2019.

Después de la publicación, habrá un periodo de transición de tres años. Esto significaría que todos los certificados bajo la versión 2012 perderán su valides en otoño de 2022.

Top
Solicite su cotizaciónSolicite una llamadaContáctenosCalendario de cursos