Cuatro tips para una auditoría exitosa de continuidad de negocios

1. Alerte al equipo de auditoría de BC

Avise a su equipo de auditoría que usted está preparando un sistema de gestión de la continuidad del negocio, planes de continuidad del negocio (BC) y actividades asociadas de BC, tales como  evaluaciones, análisis de impacto en el negocio, análisis de riesgos, definiciones de estrategia, programas de formación y sensibilización, ejercicios y mantenimiento. Incluso si usted se centra exclusivamente en la preparación de un nuevo plan de BC o actualizar un plan existente, asegúrese de que el equipo de auditoría lo sabe. Una alternativa a un equipo de auditoría interna tradicional podría ser un equipo de auditoría de TI que tenga experiencia en auditar programas de continuidad de negocio.

2. Estudie reportes previos de BC/DR

Revise cuidadosamente cualquier auditoría operativa anterior de continuidad del negocio y/o actividades de tecnología de recuperación de desastres (DR). Esos informes pueden ayudar a enmarcar una auditoría de continuidad de negocios posterior con información histórica útil y áreas para un posible re-examen.

3. Proporcione documentos de referencia al equipo de auditoría

Una buena manera para que los profesionales de continuidad del negocio eduquen a los miembros del equipo de auditoría es proporcionarles documentación que se preste para el proceso de auditoría, tales como estándares y reglamentos que se componen principalmente de informes de control. Los auditores pueden preparar más fácilmente un programa de auditoría de continuidad de negocios si entienden los controles a ser revisados ​​y auditados.

Los documentos útiles incluyen:

• Los estándares internacionales de continuidad de negocios ISO 22301/22313.
• La Guía de Buenas Prácticas del Instituto de Continuidad de Negocio (edición 2013).
• El estándar NFPA 1600 de la Asociación Nacional de Protección contra Incendios (edición 2013).
• El SP 800-34 del Instituto Nacional de Estándares y Tecnología sobre la planificación de contingencia para sistemas de TI.
• El estándar de resiliencia organizacional ASIS Internacional SPC.1-2009.
• El Manual de Continuidad de Negocios del Consejo Federal de Examen de Instituciones Financieras (edición 2015).
• La regla 4370 de la Autoridad Reguladora de la Industria Financiera.
• ANSI/ASIS SPC.2-2014 Sistemas de Gestión de Auditoría: Riesgo, Resiliencia, Seguridad y Continuidad.

Además, seminarios y programas de capacitación están disponibles para los profesionales y auditores de BC para proporcionarles guía sobre auditar los planes de continuidad de negocios y  documentos relacionados.

4. Cree un programa de auditoría de continuidad del negocio

Asóciese con su equipo de auditoría para establecer un programa de auditoría. Tal programa debería definir la metodología, frecuencia, responsabilidades, requisitos de planificación y  actividades de presentación de informes. Al preparar el programa, asegúrese de definir el alcance de cada auditoría, asegúrese de que los auditores están adecuadamente preparados y pueden ser objetivos durante su auditoría, distribuya los resultados de la auditoría a la gerencia de la empresa, y recoja y conserve la documentación de auditoría pertinente y otras pruebas.

Trabaje con su equipo de auditoría para identificar los controles de auditoría relevantes por ser aplicables a un BCMS o a cualquier actividad de BC que esté siendo auditada, revíselos contra los estándares y regulaciones descritas anteriormente, y apóyelos en su caso con la preparación de sus papeles de trabajo.

Tras la finalización de la auditoría y la entrega del informe de auditoría, prepárese para responder a las conclusiones y recomendaciones de la auditoría, y tenga en cuenta los plazos especificados para corregir cualquier no conformidad.

Los auditores internos y externos pueden ser socios de gran valor para los profesionales de  continuidad de negocios y sus diversos programas.

Diez pasos para una actividad de auditoría de continuidad del negocio

1. Prepare el plan de auditoría, que incluye el alcance de la auditoría, el enfoque de auditoría y el programa.
2. Revise y resuma la información reunida para la auditoría, tales como la documentación del plan BCMS/BC, los cuestionarios, los reportes de análisis de impacto del negocio, los reportes de riesgo y los documentos de auditoría anteriores.
3. Identifique lagunas en la documentación existente y actualice la información según sea apropiada.
4. Revise y aplique estándares, reglamentos, legislación y documentos de buenas prácticas para validar los hallazgos preliminares y preparar los papeles del trabajo de auditoría.
5. Identifique los controles de auditoría y prepare documentos de trabajo que reflejen las métricas BC establecidas y definidas por grupos de estándares, reguladores, legisladores y otros.
6. A raíz de las entrevistas de auditoría de continuidad del negocio y descubrimiento, prepare un informe en borrador de su opinión de la auditoría para debatir con las partes interesadas en su organización.
7. Complete un informe final de auditoría, que incluya los resultados de las discusiones y acciones recomendadas.
8. Complete un plan de acción y plazos de tiempo para remediar las conclusiones y recomendaciones de la auditoría.
9. Asegúrese de que el plan de acción para remediar los resultados de la auditoría se lleva a cabo dentro del plazo acordado.
10. Programe la siguiente auditoría.