Menos texto, más flexibilidad; menos normas, más pragmatismo: así es la nueva versión de la norma ISO 22301 para sistemas de gestión de la continuidad del negocio (BCMS). Aunque no aporta cambios radicales, la versión revisada supone un importante paso adelante. Descubra a continuación los cambios que puede esperar en la nueva versión.

Desde su publicación inicial en 2012, ISO 22301 norma se ha convertido en el punto de referencia internacional para los sistemas de gestión de la continuidad del negocio. Según la encuesta anual de ISO, más de 4.000 organizaciones ya están certificadas según la norma ISO 22301. Este éxito no se limita a sectores específicos: en DQS hemos certificado bancos, plantas químicas, proveedores de servicios informáticos y proveedores de la industria del automóvil, entre otros.

Para garantizar que esta evolución continúe, la Organización Internacional de Normalización decidió revisar la norma para honrar los hallazgos de sus primeros años de uso. La revisión se publicó en noviembre de 2019.

Las buenas noticias: Pocos cambios

Lo primero es lo primero: las empresas que ya están certificadas con la norma ISO 22301:2012 no deberían tener problemas para convertirse a la nueva versión. Si pone ambas versiones una al lado de la otra, notará inmediatamente que no ha habido cambios estructurales.

En comparación con las revisiones de ISO 9001 e ISO 14001, que se completaron en 2015, esta revisión es bastante modesta. El principal cambio en las revisiones de otras normas fue la adopción de la llamada Estructura de Alto Nivel, una estructura uniforme para todas las normas de sistemas de gestión. Sin embargo, la ISO 22301 siempre ha tenido esta estructura: en 2012, fue una de las primeras normas en adoptar la Estructura de Alto Nivel.

Al no ser necesarios cambios estructurales, el organismo de normalización pudo centrarse en mejorar la claridad y la legibilidad de la norma. Se eliminaron muchos pasajes de texto redundantes, los términos se utilizan de forma más coherente y se reforzó la lógica interna del texto.

Y aún mejor: Volver a lo esencial

Lo que hace que la nueva versión sea especialmente interesante es el hecho de que algunos requisitos se han simplificado considerablemente. Un buen ejemplo de ello es la sección 4.1: donde la versión de 2012 seguía siendo prescriptiva sobre todo lo que hay que determinar y documentar para entender el contexto de la organización, la nueva versión simplemente hace hincapié en la necesidad de considerar los factores internos y externos. Ya no se especifica cómo lograrlo. Tampoco se menciona la necesidad de documentar este proceso. Observamos algo parecido en el apartado 7.4 - Comunicación: se han suprimido grandes secciones.

Otra cláusula que se ha reducido es la 5.2 - Compromiso de la dirección. Al igual que antes, la ISO 22301 requiere un compromiso claro de la alta dirección. Sin embargo, mientras que la versión de 2012 seguía exigiendo que la alta dirección "participe activamente en la práctica y la revisión", la nueva versión se limita a lo esencial: Orientación, Objetivos, Recursos, Revisión de la eficacia y Mejora continua.

Otros cambios

Aparte de una serie de ajustes menores cuya importancia para los centros certificados es menor en la práctica, cabe destacar los siguientes cambios:

  • Apenas hay nuevos requisitos en la versión revisada. Una excepción es el apartado 6.3, en el que se exige a las organizaciones que realicen cambios en el SGC "de forma planificada". Este requisito no se explicitaba en la versión anterior, pero no es sorprendente en sí mismo.
  • La sección 8.2.2 - Análisis del impacto en el negocio (BIA) exige que el análisis tome como punto de partida las "categorías de impacto".
  • La sección 8.3, antes titulada "Estrategia de continuidad del negocio", se titula ahora "Estrategias y soluciones de continuidad del negocio". El cambio de nombre refleja el mayor pragmatismo de la norma: más importante que una gran estrategia son las soluciones específicas a riesgos e impactos concretos.
  • El término "apetito de riesgo" ya no aparece en la nueva norma. Este término se definía en la versión de 2012 como "el tamaño y el tipo de riesgo que una organización está dispuesta a asumir o mantener". La norma cambia el enfoque del apetito de riesgo al impacto: ¿Qué impacto es aceptable?

Revisión de la guía ISO 22313

El hecho de que la nueva norma parezca más escasa también se debe a que los requisitos se han separado claramente de la guía. Los requisitos se describen en la norma ISO 22301; el modo de cumplirlos se explica en la norma ISO 22313. El documento de orientación de la ISO 22313, que data de 2012 al igual que la norma, también se está revisando ahora.

Calendario y transición

Hay un periodo de transición de 3 años que comienza el 31 de octubre de 2019, y los certificados emitidos bajo la norma ISO 22301:2012 serán válidos hasta el 31 de octubre de 2022, como máximo, o deberán ser retirados en esa fecha.

Autor
Dr. Thijs Willaert

El Dr. Thijs Willaert es Jefe de Marketing y Comunicación de los segmentos de Sostenibilidad y Seguridad Alimentaria. También es auditor de la auditoría externa de los informes de sostenibilidad. Sus áreas de interés incluyen la gestión de la sostenibilidad, la contratación sostenible y la digitalización del panorama de la auditoría.

Loading...