Auditoría Diagnóstico Continuidad Operacional

(marque con una x el requisito que está dando cumplimiento)

 La organización tiene identificadas y documentadas las actividades, funciones, servicios,
productos, asociaciones, cadenas de suministro, relaciones con las partes interesadas y el
impacto potencial relacionado con un incidente disruptivo.
 La organización tiene identificados y documentados los vínculos entre la política de continuidad
del negocio y los objetivos de la organización y otras políticas, incluyendo la estrategia de
gestión global del riesgo.
Contexto de la
 La organización tiene identificado y documentado el perfil de riesgo de la organización.
Organización
 La organización tiene articulado sus objetivos, incluyendo los relativos a la continuidad del
negocio.
 La organización tiene definido los factores externos e internos que crean incertidumbre que da
lugar al riesgo.
 La organización tiene establecidos los criterios de riesgo, teniendo en cuenta el perfil de riesgo.
 La organización tiene definido el propósito del Sistema Gestión de Continuidad de Negocio.
Necesidades y  La organización tiene determinadas las partes interesadas que sean relevantes para el SGCN.
expectativas de sus  La organización tiene determinados los requisitos de estas partes interesadas (es decir, sus
partes interesadas necesidades y expectativas, si están establecidas, generalmente implícitas u obligatorias).
 La organización tiene establecido, implementado y mantiene procedimientos para identificar,
acceder y evaluar los requisitos legales y reglamentarios que la organización subscriba con la
continuidad de sus operaciones, productos y servicios, así como con los intereses de las partes
interesadas pertinentes.
Requisitos Legales y  La organización se asegura de que estos requisitos legales, reglamentarios u otros aplicables a
Reglamentarios los cuales la organización subscriba, son tomados en consideración al establecer, implementar
y mantener su SGCN.
 La organización tiene documentada esta información y la mantiene al día.
 La organización comunica a los empleados involucrados y otras partes interesadas, los nuevos
requisitos legales, reglamentarios u otros, o sus modificaciones.

 ¿Están establecidas las partes - áreas de la organización que serán incluidas en el SGCN?
 ¿Están establecidos los requisitos del SGCN, teniendo en cuenta la misión, objetivos,
obligaciones internas y externas de la organización (incluyendo aquellas relacionados con las
partes interesadas), y las responsabilidades legales y reglamentarias?
 ¿Están identificados los productos y servicios, y todas las actividades conexas dentro del
alcance del SGCN?.
 ¿Se tienen en cuenta las necesidades e intereses de las partes interesadas, tales como clientes,
Alcance del SGCN inversionistas, accionistas, cadena de suministro, intereses y necesidades del público y/o de la
comunidad, y las expectativas e intereses (según corresponda)?
 ¿Está definido el alcance del SGCN en forma apropiada y en términos de la naturaleza, tamaño
y complejidad de la organización?
 ¿Están documentadas y definidas las exclusiones? (procesos de la organización que no son
parte del sistema de gestión).
 La organización tiene determinados los límites y aplicabilidad del SGCN para establecer su
alcance.
 El alcance está disponible así como toda la información está documentada.
 La organización tiene estableciendo una política de continuidad del negocio.
 La organización tiene garantizado el establecimiento de los objetivos y planes del SGCN.
 La organización tiene determinadas las funciones, responsabilidades y competencias para la
Liderazgo gestión de la continuidad del negocio.
 La organización tiene designado una o más personas para que sean responsables del SGCN, con
autoridad y competencias apropiadas, obligadas a rendir cuentas de la implementación y
mantenimiento del SGCN.

Jorge Zúñiga Mayorga – jozuma@gmail.com

  Es adecuada al propósito de la organización.
 Proporciona un marco de trabajo para establecer los objetivos de continuidad del negocio.
 Incluye un compromiso para cumplir con los requisitos aplicables.
 Incluye un compromiso para el mejoramiento continuo del SGCN.
Política  Está disponible como información documentada.
 Está comunicada dentro de la organización.
 Está disponible para las partes interesadas.
 Es revisada para su continua adecuación a intervalos definidos y cuando se produzcan cambios
significativos.
Funciones,
responsabilidades y
autoridades  La organización se ha asegurado de que las responsabilidades y autoridades para las funciones
organizacionales relevantes están asignadas y comunicadas dentro de la organización.

 La organización se asegura de que los objetivos de la continuidad del negocio se establecen y

comunican a las funciones y niveles pertinentes dentro de la organización.
 La organización se asegura de que los objetivos con consistentes con la política de continuidad
de negocio.
 La organización tomar en cuenta el nivel mínimo de productos y servicios que es aceptable para
que la organización alcance sus objetivos.
 Los objetivos son medibles.
 Se toman en cuenta los requisitos aplicables.
Planificación  Son monitoreados y actualizados.

 La organización ha determinado y proporcionado los recursos necesarios para el

establecimiento, implementación, mantenimiento y mejoramiento continuo del SGCN.
 La organización ha determinado la competencia necesaria de las personas que están realizando
el trabajo asignado que afecta a su desempeño.
 La organización se asegura de que estas personas son competentes tomando en consideración
Apoyo la educación, formación y experiencia.
 La organización toma acciones, cuando sea aplicable, para adquirir la competencia necesaria, y
evaluar la eficacia de las acciones tomadas.
 La organización retiene la información documentada apropiada como evidencia de la
competencia.
 La organización ha comunicado a las personas el rol que cumplen durante los incidentes.

 La organización ha determinado lo que se va a comunicar.

 Cuándo comunicar.
 A quién comunicar.
 La organización tiene establecido, implementado y mantiene procedimientos para la
comunicación interna entre las partes interesadas y los empleados dentro de la organización.
 La organización tiene establecido, implementado y mantiene procedimientos para la
comunicación externa con clientes, entidades asociadas, comunidad local y otras partes
interesadas.
 La organización tiene establecido, implementado y mantiene procedimientos para recibir,
Comunicación documentar y responder a las comunicaciones de las partes interesadas.
 La organización tiene establecido, implementado y mantiene procedimientos para adaptar e
integrar un sistema consultivo de amenaza regional o nacional, o equivalente, en la
planificación y el uso operacional, si procediese.
 La organización tiene establecido, implementado y mantiene procedimientos para garantizar la
disponibilidad de los medios de comunicación durante el incidente disruptivo.
 La organización tiene establecido, implementado y mantiene procedimientos para, si fuese
pertinente, facilitar la comunicación estructurada con las autoridades pertinentes,
garantizando la interoperatibilidad de diversas organizaciones y personal que respondan.
 La organización tiene establecido, implementado y mantiene procedimientos para el
funcionamiento y examen de capacidades de comunicación destinadas a ser utilizadas durante
la interrupción de las comunicaciones normales.

Jorge Zúñiga Mayorga – jozuma@gmail.com

  La documentación está disponible y es adecuada para su uso.
Documentación  La documentación está protegida en forma adecuada (por ejemplo, de la pérdida de
confidencialidad, uso indebido o pérdida de la integridad).
 Distribución, acceso, recuperación y uso.
 Almacenamiento y conservación, incluyendo la preservación de la legalidad.
 La organización planifica, ejecuta y controla los procesos a objeto de garantizar que el sistema
de gestión puede alcanzar sus resultados.
 La organización planifica, ejecuta y controla los procesos a objeto de evitar o reducir los efectos
no deseados.
 La organización planifica, ejecuta y controla los procesos a objeto de obtener el mejoramiento
continuo.
 La organización planifica las acciones para abordar estos riesgos y oportunidades.
 La organización planifica la forma de integrar e implementar las acciones en sus procesos del
Funcionamiento - SGCN.
Planificación y Control  La organización planifica la forma de evaluar la eficacia de estas acciones.
Operacional  La organización planifica y controla el establecimiento de criterios para los procesos.
 La organización planifica y controla la implementación del control de los procesos de acuerdo
con los criterios.
 La organización planifica y controla el mantenimiento de la información documentada en la
medida necesaria de los cambios imprevistos, asumiendo acciones para mitigar los efectos
adversos, según fuese necesario.
 La organización controla los cambios planificados y revisar las consecuencias de los cambios
imprevistos, asumiendo acciones para mitigar los efectos adversos, según fuese necesario.
 La organización se asegura de que controla los procesos externalizados.
 La organización tiene establecido, implementado y mantiene un proceso formal y
documentado para el análisis de impacto en el negocio y evaluación del riesgo.
 Tiene establecido el contexto de la evaluación, definiendo criterios y evaluando el impacto
potencial de un incidente.
 Toma en cuenta los requisitos legales u otros que la organización suscriba.
Análisis de impacto en  Incluye un análisis sistemático, priorización de tratamiento del riesgo y sus costos relacionados.
el negocio y  Define el resultado requerido del análisis de impacto en el negocio y evaluación del riesgo.
evaluación del riesgo  Especifica los requisitos para mantener esta información actualizada y confidencial.

 La organización tiene establecido, implementado y mantiene un proceso de evaluación formal

y documentado para determinar las prioridades de continuidad y recuperación, objetivos y
metas (este proceso debe incluir la evaluación de los impactos de las actividades que
interrumpan el apoyo a los productos y servicios de la organización).
 La organización tiene identificadas las actividades que apoyan la prestación de productos y
Análisis de Impacto servicios.
en el Negocio  La organización cuenta con una evaluación de los impactos del tiempo en el cual no se llevan a
cabo estas actividades.
 La organización tiene establecidos los plazos priorizados para la reanudación de estas
actividades a un nivel mínimo aceptable, teniendo en cuenta el tiempo en el que los efectos de
la no reanudación de ellos sería inaceptable.
 La organización tiene identificadas las dependencias y recursos de apoyo para estas
actividades, incluyendo proveedores, socios externos y otras partes interesadas pertinentes.
 La organización tiene establecido, implementado y mantiene un proceso documentado formal
de evaluación del riesgo, que sistemáticamente identifique, analice y valore el riesgo de
incidentes que afecten a la organización.
 La organización ha Identificar los riesgos de la interrupción de sistemas, información, personas,
activos, socios externos y otros recursos que apoyan las actividades y procesos prioritarios de la
Evaluación del Riesgo
organización.
 La organización analiza sistemáticamente el riesgo.
 La organización evalúa los riesgos relacionados con la interrupción que requieran tratamiento.
 La organización identifica tratamientos acordes con los objetivos de continuidad del negocio y
de acuerdo con el perfil del riesgo de la organización.

Jorge Zúñiga Mayorga – jozuma@gmail.com

  La organización tiene determinada una estrategia apropiada de continuidad del negocio para
proteger las actividades priorizadas.
 La organización tiene determinada una estrategia apropiada de continuidad del negocio para
Estabilizar, continuar, reanudar y recuperar las actividades priorizadas y sus dependencias y
Estrategia de recursos de apoyo.
Continuidad del  La organización tiene determinada una estrategia apropiada de continuidad del negocio para
Negocio mitigar, responder y gestionar los impactos.
 La organización tiene determinada la estrategia debe incluir la aprobación de plazos
priorizados para la reanudación de las actividades.
 La organización tiene determinada la estrategia para llevar a cabo las evaluaciones de las
capacidades de continuidad del negocio de los proveedores.
 La organización tiene determinados los requisitos de los recursos de personas.
 Capacitación en Primeros Auxilios niveles básico y avanzado.
 Capacitación en Rescate de Personas.
 Capacitación en Técnicas de Supervivencia.
 Capacitación en Psicología de la Emergencia.
 Del equipamiento necesario para enfrentar las emergencias – incidentes.
 La organización tiene determinados los requisitos de los recursos de información y datos.
 La organización tiene determinados los requisitos de los recursos de Edificios, ambiente de
trabajo y servicios asociados.
 Evaluación de de Riesgos de la Infraestructura de las Instalaciones.
 Evaluación de Riesgos de los equipos, sistemas e infraestructura crítica.
 Sistema de extinción contra incendios.
 Red seca.
 Red Húmeda.
 Bancos de Extinción Automáticos.
 Extintores con incendio.
 Otros.
Determinación de los
 La organización tiene determinados los requisitos de los recursos de Instalaciones, equipos y
requisitos de los
material fungible.
recursos
 La organización tiene determinados los requisitos de los recursos de sistemas de tecnología de
la información y comunicación (TIC).
 La organización tiene determinados los requisitos de los recursos de transporte.
 Evaluación de de Riesgos de los medios de transporte disponibles.
 Evaluación de Riesgos de las vías de tránsito hacia Sitios Alternativos.
 Evaluación de Riesgos a que estarán expuestos durante el traslado.
 La organización tiene determinados los requisitos de los recursos de Financiamiento.
 La organización tiene determinados los requisitos de los recursos de socios y proveedores.
 Mutualidad.
 Servicios de Asistencia Pública.
 Bomberos.
 Empresas distribuidoras de Agua Potable.
 Empresas distribuidoras de energía eléctrica.
 Empresa distribuidora de gas.
 Empresa distribuidora de combustible (grupos electrógeno, vehículos, etc.).
 Empresa abastecedora del servicio de alimentación.

 La organización tiene consideradas medidas proactivas que reduzcan la probabilidad de
interrupción.
 Cuenta con una organización para enfrentar emergencias.
 Cuenta con Brigadas Contra Incendios.
 Cuenta con Brigadas de Evacuación.
Protección y  Cuenta con Brigadas de Rescate.
Mitigación  Cuenta con Brigadas de Primeros Auxilios.
 Cuenta con Vigilancia Física Permanente.
 Cuenta con Vigilancia Electrónica permanente (alarmas intrusión).
 Cuenta con Sistema de Detección de Incendios.
 Cuenta con Sistema de Audio Evacuación.
 Cuenta con un sistema de información que permita anticipar incidentes.

Jorge Zúñiga Mayorga – jozuma@gmail.com

  La organización tiene consideradas medidas proactivas que acorten el periodo de interrupción.
 Cuentan con una organización que permita enfrentar la emergencia en forma
inmediata.
 Cuenta con un Sitio de Operaciones alternativo.
 Cuenta con acuerdos de colaboración con entidades públicas.
 Cuenta con acuerdos de servicio con proveedores críticos.
 La organización tiene consideradas medidas proactivas que limiten el impacto de la
interrupción de los productos y servicios claves de la organización.
 Cuenta con un plan de pruebas a equipos y sistemas críticos.
 El personal de turno cuenta con el entrenamiento suficiente para poner en
funcionamiento los equipos y sistemas críticos.
 El personal de turno ha sido instruido en los riesgos de operación de los equipos y
sistemas críticos.
 La organización tiene establecido, implementado y mantiene procedimientos de continuidad
del negocio para gestionar un incidente disruptivo y continuar con sus actividades en función
de los objetivos de recuperación identificados en el análisis de impacto en el negocio.
 Cuentan con un Manual de Procedimientos de Emergencia que incluya los diferentes
tipos de incidentes que puedan afectar a la organización y la forma de enfrentarlos.
 Cuentan con un Manual de Manejo de Medios de Comunicación.
 Cuentan con un Manual para Administrar una Crisis.
 Cuentan con Manual de Procedimientos de Operación de Equipos y Sistemas Críticos.
 Cuentan con un Procedimiento de Comunicaciones (Call Tree).
Determinación e
 La organización tiene documentados los procedimientos (incluyendo los acuerdos necesarios)
implementación de
para garantizar la continuidad de las actividades y la gestión de un incidente disruptivo.
procedimientos de
 Los procedimientos establecen un protocolo interno y externo de comunicaciones adecuado.
continuidad de
Los procedimientos son específicos en cuanto a las medidas inmediatas que se deben tomar
negocio
durante una interrupción.
 Los procedimientos son flexibles para responder a las amenazas y cambios inesperados de las
condiciones internas y externas.
 Los procedimientos están enfocados en el impacto de los eventos que podrían afectar las
operaciones.
 Los procedimientos están desarrollados en base a los supuestos establecidos y a un análisis de
las interdependencias.
 Los procedimientos son efectivos en la reducción de las consecuencias a través de la
implementación de estrategias apropiadas de mitigación.
 La organización tiene establecido, documentado e implementado los procedimientos y una
estructura de gestión para responder a incidentes disruptivos utilizando personal con la
responsabilidad, autoridad y competencia necesaria para gestionarlos.
 Cuentan con procedimientos y una estructura organizacional para Continuidad de
Negocio.
 Cuentan con procedimientos y una estructura organizacional para el Control de
Incidentes.
 Cuentan con procedimientos y una estructura organizacional para enfrentar a los
medios de comunicación y a la opinión pública.
 La estructura de respuesta permite identificar los umbrales de impacto que justifiquen el inicio
Estructura de la
de la respuesta formal.
respuesta a incidentes
 La estructura de respuesta permite evaluar la naturaleza y alcance de un incidente que
interrumpa y su impacto potencial.
 La estructura de respuesta permite activar una respuesta adecuada de la continuidad del
negocio.
 La estructura de respuesta permite tener procesos y procedimientos para la activación,
funcionamiento, coordinación y la comunicación de la respuesta.
 La estructura de respuesta permite Disponer de recursos para apoyar los procesos y
procedimientos para minimizar el impacto en la gestión de un incidente disruptivo.
 La estructura de respuesta permite comunicar a las partes interesadas y autoridades, así como
a los medios de comunicación.

Jorge Zúñiga Mayorga – jozuma@gmail.com

  La organización tiene establecido, implementado y mantiene procedimientos para detectar un
incidente.
 Sistema de Alerta Temprana.
 Sistema de Detección Contra Incendios.
 Sistema de Detección de Alarmas de Intrusión.
 Sistema de Video Vigilancia.
 Acceso a Medios de Comunicación on line (TV, Radio, Internet).
 La organización tiene establecido, implementado y mantiene procedimientos para monitoreo
periódico de un incidente.
 Cuentan con una estructura que permita hacer seguimiento del incidente.
 La organización tiene establecido, implementado y mantiene procedimientos para comunicar
internamente en la organización y recibir, documentar y responder a las comunicaciones de las
partes interesadas.
 La organización tiene establecido, implementado y mantiene procedimientos para recibir,
documentar y responder a cualquier sistema consultivo de amenaza regional o nacional, o
Advertencia y equivalente.
Comunicación  La organización tiene establecido, implementado y mantiene procedimientos para asegurar la
disponibilidad de los medios de comunicación durante un incidente.
 La organización tiene establecido, implementado y mantiene procedimientos para facilitar la
comunicación estructurada con los servicios de emergencia.
 Mutualidad.
 Servicios de Atención Primaria.
 Bomberos.
 Carabineros.
 Otros.
 La organización tiene establecido, implementado y mantiene procedimientos para registrar la
información esencial sobre el incidente, las medidas adoptadas y las decisiones tomadas,
donde se debe considerar e implementar lo siguiente, según sea aplicable.
 La organización tiene establecido, implementado y mantiene procedimientos para asegurar la
interoperabilidad de las respuestas de las múltiples organizaciones y personal.
 La organización tiene funcionamiento de una instalación de comunicaciones.
 Los procedimientos de comunicación y de alerta se ejercitan regularmente

 La organización tiene establecido procedimientos documentados para responder a un incidente

disruptivo y determinada la forma de continuar o recuperar sus actividades dentro de un plazo
predeterminado.
 La organización tiene definidos los procedimientos para abordar los requisitos de funciones y
responsabilidades para las personas y equipos que tienen autoridad durante y después de un
incidente.
 La organización tiene establecido un procedimiento para la activación de la respuesta.
 La organización tiene establecido un procedimiento para la obtención de los datos para
gestionar las consecuencias inmediatas de un incidente teniendo debidamente en cuenta el
bienestar de los individuos.
Planes de Continuidad
 La organización tiene establecido un procedimiento que permita determinar las opciones
de Negocio
estratégicas, tácticas y operativas para responder a la interrupción.
 La organización tiene establecido un procedimiento que permita determinar la prevención de
una mayor pérdida o falta de disponibilidad de las actividades priorizadas.
 La organización tiene establecido un procedimiento que permita obtener detalles sobre cómo y
bajo qué circunstancias la organización se comunicará con los empleados y sus familiares, las
partes interesadas y contactos de emergencia claves.
 La organización tiene establecido un procedimiento que permita determinar la forma como la
organización se mantenga o recupere sus actividades priorizadas en plazos predeterminados.
 La organización tiene establecido un procedimiento que permita determinar los detalles de la
respuesta de los medios de comunicación a raíz de un incidente.
 La organización tiene establecido un procedimiento para cuando cese el incidente.

Jorge Zúñiga Mayorga – jozuma@gmail.com

  Los planes tienen definidos su propósito y alcance.
 Sus objetivos.
 Los criterios y procedimientos de activación.
 Los procedimientos de implementación.
 Las funciones, responsabilidades y autoridades.
 Los requisitos y procedimientos de comunicación.
 Las interdependencias e interacciones internas y externas.
 Los requisitos de los recursos.
 El flujo de información y procesos de documentación
 La organización tiene procedimientos documentados para restaurar y volver a las actividades
normales del negocio, mediante la adopción de medidas temporales que apoyen los requisitos
normales del negocio después de un incidente.
 Evaluación de Riesgos de las instalaciones, equipos, sistemas y de la infraestructura
en general antes de permitir el regreso de los trabajadores a sus puestos de trabajo.
 La organización examina y ejercita sus procedimientos de continuidad del negocio para
asegurar que sean consistentes con sus objetivos de continuidad del negocio.
 Los ejercicios son consistentes con el alcance y los objetivos del SGCN.
 Los ejercicios se basen en escenarios adecuados que hayan sido bien planificados, con objetivos
Recuperación
y metas claramente definidos.
 Los ejercicios tomados en conjunto, prueban la totalidad de los acuerdos de continuidad del
negocio, involucrando a las partes interesadas pertinentes.
 Los ejercicios reducen al mínimo el riesgo de interrupción de las operaciones.
 Los ejercicios producen informes formales después del ejercicio, los cuales contienen
resultados, recomendaciones y acciones para implementar mejora.
 Los ejercicios son revisados en el contexto de la promoción del mejoramiento continuo.
 Los ejercicios son llevados a cabo a intervalos planificados y cuando se produzcan cambios
significativos en la organización o en entorno en el que opera.
 La organización tiene determinado qué debe ser controlado y medido.
 La organización tiene determinado los métodos de monitoreo, medición, análisis y evaluación,
según sea aplicable, para garantizar la validez de los resultados.
 La organización tiene determinado cuándo se deben llevar a cabo el monitoreo y medición.
La organización tiene determinado cuando se deben analizar y evaluar los resultados del
monitoreo y medición.
 La organización tiene determinado como debe conservar la información adecuada en forma
documentada como evidencia de los resultados.
 La organización toma medidas, y cuando sea necesario, aborda tendencias o resultados
adversos antes de que se produzca una no conformidad.
 La organización conserva información pertinente en forma documentada como evidencia de
los resultados.
 La organización cuenta con procedimientos para el monitoreo del grado de cumplimiento de la
Evaluación del política, objetivos y metas para la continuidad del negocio de la organización.
Desempeño  La organización debe llevar a cabo evaluaciones de sus procedimientos y capacidades de
continuidad del negocio con el fin de asegurar que hay una continuidad en idoneidad,
adecuación y eficacia.
 La organización lleva a cabo en forma periódica mediante revisiones, ejercicio, examen,
informes post-incidente y evaluaciones de desempeño. Los cambios significativos que surjan se
deben reflejar en los procedimientos de una manera oportuna.
 La organización debe evaluar periódicamente el cumplimiento de los requisitos legales y
reglamentarios aplicables, las mejores prácticas de la industria, y conformidad con su propia
política y objetivos de continuidad del negocio.
 La organización debe llevar a cabo evaluaciones a intervalos planificados y cuando se
produzcan cambios significativos.
 Cuando se produce un incidente que interrumpa y da lugar a la activación de los
procedimientos de continuidad del negocio, la organización debe realizar una revisión posterior
al incidente y registrar los resultados.

Jorge Zúñiga Mayorga – jozuma@gmail.com

  La organización lleva a cabo auditorías internas a intervalos planificados para proporcionar
información sobre si el SGCN está en conformidad con los requisitos propios de la organización
para su SGCN, los requisitos de esta norma.
 La organización verifica que el Sistema de Gestión esté efectivamente implementado y
mantenido.
 La organización planifica, establece, implementa y mantiene programa (s) de auditoría,
incluyendo la frecuencia, métodos, responsabilidades, requisitos de planificación y
presentación de informes. Los programas de auditoría deben tener en consideración la
importancia de los procesos y de los resultados de auditorías anteriores.
 La organización tiene definido los criterios de auditoría y el alcance de cada auditoria.
 La organización ha seleccionado los auditores y realiza auditorias para garantizar la objetividad
e imparcialidad del proceso de auditoría.
 La organización garantiza que los resultados de las auditorias son informados a la dirección
Auditoría Interna pertinente.
 La organización conserva información documentada como evidencia de la implementación del
programa de auditoría y de los resultados de esta.
 El programa de auditoría, incluyendo su planificación, se basa en los resultados de la evaluación
del riesgo de las actividades de la organización, así como en los resultados de auditorías
previas.
 Los procedimientos de auditoría cubren el alcance, frecuencia, metodologías y competencias,
así como las responsabilidades y requisitos para la realización de auditorías e información de
resultados.
 La dirección responsable del área que esté siendo auditada, garantiza que abordarán sin
demora injustificada, todas las correcciones y acciones correctivas necesarias para eliminar las
no conformidades detectadas y sus causas.
 Las actividades de seguimiento incluyen la verificación de las acciones tomadas y el informe de
resultados de la verificación.
 La alta dirección revisa el SGCN de la organización a intervalos planificados, para asegurarse de
su conveniencia, adecuación y eficacia.
 La revisión por la dirección incluye la consideración del estado de las acciones de las revisiones
previas por la dirección.
 La revisión por la dirección incluye la consideración de Los cambios en los asuntos externos e
internos que sean relevantes para el sistema de gestión de la continuidad del negocio.
 La revisión por la dirección incluye la consideración de la información sobre el desempeño de
continuidad del negocio.
 La revisión por la dirección incluye la tendencia en no conformidades y acciones correctivas.
El resultado de la evaluación de medición y monitoreo.
 Los resultados de la auditoria.
Las oportunidades para el mejoramiento continuo.
 Las acciones de seguimiento de revisiones previas por la dirección.
 Necesidades de cambios en el SGCN, incluyendo la política y los objetivos.
 Oportunidades de mejoramiento.
 Resultados de las auditorias y revisiones del SGCN, incluyendo a los proveedores y socios
Revisión por la claves, según sea apropiado.
Dirección
 Técnicas, productos o procedimientos, que podrían ser utilizados en la organización para
mejorar el desempeño y eficacia del SGCN.
 Estado de las acciones correctivas.
 Resultados del ejercicio y las pruebas.
 Riesgos o asuntos no abordados adecuadamente en cualquier evaluación del riesgo anterior.
 Cualquier cambio que pudiera afectar al SGCN, ya sean internos o externos al alcance del SGCN.
 Adecuación de la política.
 Recomendaciones para el mejoramiento.
 Lecciones aprendidas y acciones derivadas de incidentes.
 Guía de buenas prácticas emergentes.
 La organización conserva información documentada como evidencia de los resultados de las
revisiones por la dirección.
 La organización comunica los resultados de la revisión por la dirección a las partes interesadas
pertinentes.
 La organización toma las medidas oportunas en relación con los resultados.

Jorge Zúñiga Mayorga – jozuma@gmail.com

  La organización identifica las no conformidades.
 La organización reacciona ante la no conformidad.
 La organización toma las medidas para controlarla y corregirla.
 La organización hace frente a las consecuencias.
 La organización evalúa la necesidad actuar para eliminar las causas de la no conformidad, a fin
de que no vuelva a ocurrir o que ocurra en otro lugar.
 La organización pone en práctica cualquier acción necesaria.
Mejoramiento  La organización revisa la eficacia de las acciones correctivas tomadas.
 La organización realiza cambios en el sistema de gestión si fuese necesario.
 La organización conserva información documentada como evidencia de la naturaleza de las no
conformidades y de cualquier acción tomada posteriormente.
 La organización conserva información documentada como evidencia de los resultados de
cualquier acción correctiva.
 La organización mejora continuamente la idoneidad, adecuación o eficacia del Sistema de
Gestión.

Jorge Zúñiga Mayorga – jozuma@gmail.com