FORMACIÓN DE AUDITORES INTERNOS

SISTEMAS DE GESTIÓN DE
CONTINUIDAD DE NEGOCIO
ISO 22301 DE 2019
DIRECTRICES PARA AUDITORÍAS
DE SISTEMAS DE GESTIÓN

ISO 19011 DE 2018

 ELIÉCER SÁNCHEZ SILVA

 Doctor y Magíster en administración, Ingeniero químico y Especialista en gerencia de la producción mejoramiento continuo. Auditor líder en: sistemas de
gestión de la información ISO/IEC 27001:2022; sistemas integrados ISO 9001:2015, ISO 14001:2015 e ISO 45001:2018 y NORSOK WA-S-006:2020
Evaluación de proveedores. Registro interamericano de auditores calificado de empresa-técnicas aseguramiento de procesos AlasPro®. Project
Management Professional ISO 21502:2020. Actualización PMBOK® Guide ed. 7. Diplomado en: Manejo de conflictos y técnicas de negociación;
Sistema de gestión anticorrupción ISO 37001 anti-soborno; Dirección de proyectos de ingeniería – Estándar PMI®; Sistemas de gestión de seguridad
basados en las normas ISO/IEC 27001 SGSI, ISO 28000 SGSCS e ISO 31000 gestión del riesgo; Especialización en HAZOP-SIL y LOPA sector
hidrocarburos.

 Laboró en ECOPETROL S. A. durante 28 años en dónde se pensionó, desempeñándose como: Gerente general (e), Gerente de producción y de
servicios, Jefe de los departamentos de laboratorios analíticos y HSEQ, en la Refinería de Barrancabermeja. Jefe de división tecnológica (e), del ICP.
Posee 432 horas de auditoría en ISO/IEC 17025, ISO/IEC 17020, ISO/IEC 17021, ISO/IEC 17024, ISO/IEC 17065, ISO/IEC 17067, ISO 9001, ISO 14001
y OHSAS 18001.

 Auditor interno en sistemas de gestión de: Laboratorios de ensayo y calibración ISO/IEC 17025; Organismos de inspección ISO/IEC 17020; Certificación
de personas ISO 17024; SG-SSO OHSAS 18001; anti-soborno ISO 37001; SST Decreto 1072:2015; Continuidad del negocio ISO 22301; Seguridad vial
UNE ISO 39001; Activos ISO 55001; Energía ISO 50001; Auditorías energéticas UNE-EN 16247-1 a 5; I+D+i UNE 166002; Seguridad alimentaria FSSC
22000 v6.0; Inocuidad alimentos ISO 22000, HACCP – BPM; la seguridad ISO 28000; Control y seguridad BASC v6; Sistema administración calidad
automotriz IATF 16949, Responsabilidad Social SA 8000 y SGE 21.

 Posee certificados en: Auditorías internas remotas con apoyo de TIC´s; Tutor Moodle; Profesional Scrum Fundamentos y Master “SFPC y SMPC”; Alta
gerencia para directores de proyectos – PMI®; Excelencia en proyectos “Lean PM”; Auditor en sistemas de gestión ISO 19011; Control de pérdidas DNV-
ILCI; Estándares Reporte de sostenibilidad GRI; Actualización sistema gestión de inocuidad FSSC 22000 v6; Aseguramiento de la calidad de productos
cárnicos y lácteos; Manipulación de alimentos y bebidas No. 17504; Implementación ISO 26000 RS; Inventario emisiones GEI ISO 14064; Gestión del
conocimiento ISO 30401; ISO/IEC 27002:2022 Controles de Seguridad de la Información; ISO/IEC 27005:2022; Orientación gestión de riesgo en
seguridad de la información; ISO/IEC 27032:2023 Ciberseguridad; Ley 1581:2012 e ISO/IEC 27701:2019 Protección datos personales; ISO/IEC 17065 e
ISO/IEC 17067 Certificación de productos; ISO 10012 Gestión de la medición, Metrología avanzada y aseguramiento metrológico; ISO 17043 Ensayos
de aptitud; ISO 37301:2021 Sistemas de Gestión de Compliance; Cumplimiento ISO 19600; Implementación requisitos OEA; Administrativo jefes de área
trabajo seguro en alturas; Estándares mínimos SG-SST Resol. 0312:2019; Curso capacitación 50 horas SG-SST; ISO 45003:2021 Gestión riesgos
psicosociales; Contratación estatal; Evaluación financiera de proyectos; Plan estratégico de seguridad vial; Modelo integrado de planeación y gestión
MIPG; Oficial de cumplimiento sector real SAGRILAFT; Riesgos de corrupción - LA/FT; Simulación de procesos y Tutor modelo andragógico.

Actualmente: Experto técnico (OCP 14.3 / 44.5) y Experto del comité de acreditación y apelaciones (OIN 11 y 19) del Organismo Nacional de Acreditación de
Colombia “ONAC”; Profesional externo, tutor e-learnig sincrónica, experto técnico y líder en formación de formadores de SGS Colombia SAS.; Freelancer;
Profesor universitario y Consultor empresarial.
[email protected]

3
 OBJETIVOS

 Proporcionar una visión general de las etapas de Auditoría.

 Describir las funciones y responsabilidades de los auditores.

 Fortalecer habilidades para planificar, ejecutar, reportar las

actividades de una Auditoría.

4
 TIPOS DE AUDITORÍA
AUDITORÍA DE SEGUNDA PARTE AUDITORÍA DE TERCERA PARTE
AUDITORÍA A AUDITORIA DE CERTIFICACIÓN /
AUDITORÍA PROVEEDOR EXTERNO ACREDITACIÓN
DE PRIMERA PARTE
AUDITORÍA PARTES INTERESADAS AUDITORIA LEGAL, REGULATORIA O
EXTERNAS SIMILAR
Realizadas por organismos
Realizadas por partes que tienen algún
AUDITORÍA INTERNA interés en la organización, como
independientes de auditoría, tales como
Una auditoría realizada por aquellas que otorgan certificación/registro
clientes o individuos en su nombre.
la organización a sus de conformidad o agencias
propios sistemas y gubernamentales.
procedimientos. Para certificación (ver también los
requisitos en ISO / IEC 17021-1
Objetivo:
Objetivo: requisitos)
Evaluar el desempeño de proveedores
Determinar el grado de
externos y partes interesadas externas,
conformidad del sistema de Objetivo:
con respecto a su BIA, evaluación de
gestión de continuidad de Determinar si el sistema de gestión de
riesgos, estrategias y soluciones,
negocio con los criterios de continuidad de negocio ha sido
planes y procedimientos de CN y sus
auditoría. documentado e implementado de acuerdo
procesos respectivos.
con la Norma ISO 22301:2019.
5
 TÉRMINOS Y DEFINICIONES

AUDITORÍA

Proceso sistemático,
independiente y documentado
para obtener evidencias de la
auditoría y evaluarlas de manera
objetiva con el fin de determinar
la extensión en que se cumplen
los criterios de auditoría.

6
 TÉRMINOS Y DEFINICIONES

CRITERIOS DE EVIDENCIA DE HALLAZGOS DE LA CONCLUSIONES DE LA

AUDITORÍA AUDITORÍA AUDITORÍA AUDITORÍA
• Conjunto de • Registros, declaraciones • Resultados de la • Salida de una auditoría,
requerimientos usados de hechos o cualquier evaluación de la después de la
como referencia frente a otra información que son evidencia de la auditoría consideración de los
la cual se compara la pertinentes para los recopilada frente a los objetivos de la auditoría
evidencia objetiva. criterios de auditoría y criterios de la auditoría. y todos los hallazgos de
• Nota: Si los criterios de que son verificables. auditoría.
auditoría son requisitos
legales, los términos
“cumplimiento” e
“incumplimiento” son
utilizados en los
hallazgos de auditoría.
• Nota: Los requisitos
pueden incluir políticas,
procedimientos,
instructivos, requisitos
legales, obligaciones
contractuales, etc.

• Datos que soportan la existencia o veracidad de algo.

EVIDENCIA Nota: Puede ser obtenida por medio de observación, medición, prueba o por otros medios.
OBJETIVA Nota: Para el propósito de la auditoría consiste generalmente en registros, declaraciones de
hecho u otro tipo de información relevante para el criterio de auditoría y que es verificable.

FUENTE ISO 9000:2015

7
 TÉRMINOS Y DEFINICIONES

ALCANCE DE AUDITORÍA Alcance y límites de una auditoría.

Nota: El alcance de la auditoría generalmente incluye una descripción de las ubicaciones físicas y virtuales,
funciones, unidades de la organización, actividades y procesos, así como el periodo de tiempo cubierto.

PROGRAMA DE AUDITORÍA
Conjunto de una o más
auditorías planificadas para un
periodo de tiempo determinado
y dirigidas hacia un propósito
específico.

PLAN DE AUDITORÍA
Descripción de las
actividades y de los detalles
acordados de una auditoría.

FUENTE ISO 9000:2015

8
 PRINCIPIOS DE AUDITORÍA

Para la Para los

auditoría INTEGRIDAD auditores

ENFOQUE PRESENTACIÓN
BASADO EN IMPARCIAL
EL RIESGO

ENFOQUE DEBIDO
BASADO EN LA CUIDADO
EVIDENCIA PROFESIONAL

CONFIDENCIALIDAD
INDEPENDENCIA

9
 GESTIÓN DE UN
PROGRAMA DE AUDITORÍA

PROCESO DE
AUDITORÍA

REALIZACIÓN
DE LA
AUDITORÍA

10
FORMATO DEL PROGRAMA DE AUDITORÍA

11
CÓMO REDACTAR NO CONFORMIDADES

Se evidenció el lugar, el proceso,

procedimiento; lo que se encontró con
desviación; lo que incumple, que se
incumple (requisito con su literal,
documento interno de la empresa, un
aspecto legal o contractual) de la ISO
22301:2019 que dice (se escribe lo que
diga el requisito).

12
 CASO 1 Y REDACCIÓN NC 1

Caso 1: El auditor solicita el informe de auditoría del año

anterior, encontrando que el aspecto de advertencia y
comunicación presentó desempeño no satisfactorio; al revisar
el programa de auditoría PRAU No. 05 rev. 2 de 20/01/2024,
se percata de la ausencia de la actividad advertencia y
comunicación.

NC 2: Se evidenció, en la auditoría interna a la empresa

ACMET, que el programa de auditoría PRAU No. 05 rev. 2 de
20/01/2024, no contempló la advertencia y comunicación,
8.4.3, que tuvo inadecuado desempeño en la auditoría
anterior. Incumple el requisito 9.2.2 literal a) de la ISO
22301:2019, que indica La organización debe tener en
consideración los resultados de las auditorías previas.

13
 CASO 2 Y REDACCIÓN DE NC 2

Caso 2: El auditor al revisar el contrato CRP 02 de

04/08/2023 con el cliente XYZ, encuentra que se estipuló la
entrega durante la interrupción por paro cívico, del 80% del
producto en un tiempo de máx. 72 horas; luego el auditor
revisa el BIA encontrando para el mismo contrato e identico
escenario un periodo inaceptable de 48 horas.

NC 2: Se evidenció en el Departamento de logística que el

proceso para el análisis del impacto del negocio BIA
establece que al reanudar las actividades interrumpidas el
periodo de tiempo inaceptable se define para el evento de
paro cívico en 48 horas, como entrega al cliente XYZ. Lo
anterior incumple el contrato CRP 02 de 04/08/2023 que
estipula la entrega del producto en un tiempo máximo de 72
horas.

14
 EJEMPLO PROGRAMA DE AUDITORÍA

A. I. al SGCN

Auditoría proceso operativo crítico 1

Auditoría proceso de comercialización

CRONOGRAMA AÑO 20XX

Actividad
1 2 3 4 5 6 7 8 9 10 11 12
Revisión por la
dirección al SGCN

Auditoría interna al
SGCN
Auditoría de
certificación al SGCN

15
 GESTIÓN DE UN
PROGRAMA DE AUDITORÍA
EJEMPLOS DE OBJETIVOS DEL
PROGRAMA DE AUDITORÍA

 Identificar oportunidades para la mejora del sistema de gestión y su desempeño

 Evaluar la capacidad del auditado para determinar su contexto;
 Evaluar la capacidad del auditado para determinar riesgos y oportunidades y para identificar
e implementar efectivamente acciones para su direccionamiento.
 Conformidad a todos los requisitos relevantes, Ej. Legales y reglamentarios, compromisos
de cumplimiento, requisitos para la certificación de una norma de un sistema de gestión.
 Obtener y mantener confianza en la capacidad de un proveedor externo;
 Determinar la continua adecuación, idoneidad y eficacia del sistema de gestión del
auditado.
 Evaluar la compatibilidad y alineación de los objetivos de sistema de gestión con la
dirección estratégica de la organización.
16
 GESTIÓN DE UN
PROGRAMA DE AUDITORÍA
5.3 DETERMINACIÓN Y EVALUACIÓN DE
PLANEAR RIESGOS

Riesgos asociados con los siguiente:

Planificación, Ej. Fallar en fijar los objetivos relevantes de la auditoría y determinar el alcance, numero, duración,
ubicación y cronograma de las auditorías
Recursos, Ej. Tiempo insuficiente, equipamiento y/o entrenamiento para el desarrollo del programa de auditoría
Selección del equipo auditor, Ej. Competencia insuficiente para llevar a cabo las auditorías efectivamente
Comunicación, Ej. Procesos/canales de comunicación externa/interna no efectivos
Implementación, Ej. Coordinación inefectiva de las auditorías dentro del programa, o no considerar la seguridad y
confidencialidad de la información
Control de la información documentada, Ej. Determinación inefectiva de la información documentada requerida
necesaria por los auditores y las partes interesadas relevantes.
Monitoreo, revisión y mejora del programa de auditoría, Ej. Seguimiento inefectivo a las salidas del programa
Disponibilidad y cooperación del auditado y la disponibilidad de la evidencia a ser muestreada.
17
 RIESGO/OPORTUNIDAD ACCIONES CONTROL

- Enviar con tres semanas de anticipación el plan de

auditoría con las horas y funcionarios a entrevistar y
La no disponibilidad y cooperación del auditado pueden ser obstáculo pedir retroalimentación del cliente sobre aceptación o no.
para logra los objetivos de la auditoría (R). - Solicitar se nombre un guía con responsabilidad y
autoridad para solucionar cualquier inconveniente que se
presente durante el transcurso de la auditoría.
- Solicitar a la organización EC, con tres meses de
El tener un experto técnico en el equipo auditor va a permitir que la anticipación, un experto técnico que hable idioma inglés
auditoría se pueda llevar a cabo en forma efectiva (O) y que conozca sobre industria sector metalúrgico.
- Conseguir hojas de vida de expertos en el sector….
- Incluir un guía por parte de la organización a auditar con
autoridad y responsabilidad de entrega de recursos para
la realización de la auditoría ( equipos de oficina,
No contar con canales de comunicación interna efectivos, pueden
transporte, dar inquietudes, ..)
hacer que los tiempos fijados para la auditoría no se cumplan (más
- Equipos remotos con el fin de realizar auditorías
tiempo del planeado) (R)
virtuales (….)
- Entregar a tiempo los EPP para ingreso a las áreas
( mascarillas……..)

18
 GESTIÓN DE UN
PROGRAMA DE AUDITORÍA

HACER 5.5.2 OBJETIVOS DE LA AUDITORÍA

Los objetivos de auditoría definen lo que se tiene que lograr por la auditoría individual y podría incluir
lo siguiente:

a) Determinación del grado de conformidad del sistema de gestión a auditar, o partes del mismo, de
acuerdo con el criterio de auditoría;
b) Evaluación de la capacidad de sistema de gestión para apoyar a la organización en asegurar el
cumplimiento de requisitos legales y reglamentarios, y otros requisitos con los cuales la
organización se ha comprometido;
c) Evaluación de la efectividad del sistema de gestión en cumplir los resultados propuestos;
d) Identificación de oportunidades para potenciales mejoras del sistema de gestión;
e) Evaluación de la idoneidad y adecuación del sistema de gestión respecto al contexto y dirección
estratégica del auditado;
f) Evaluación de la capacidad del sistema de gestión para establecer y lograr objetivos y direccionar
efectivamente los riesgos y oportunidades, en un contexto de cambio, incluyendo la implementación
de acciones relacionadas.

19
 GESTIÓN DE UN
PROGRAMA DE AUDITORÍA

HACER 5.5.3 MÉTODOS DE AUDITORÍA

Alcance de la UBICACIÓN DEL AUDITOR

interacción entre el
auditor y el auditado En sitio Remota
- Por medios de comunicación interactivos:
- Realización de entrevistas
- Realización de entrevistas;
- Diligenciar listas de chequeo y
- Observación de trabajos realizados con guía
Interacción cuestionarios con participación del auditado
remoto;
Humana - Realizar revisión documental con la
- Diligenciar listas de chequeo y cuestionarios
participación del auditado
- Realizar revisión documental con la
- Muestreo
participación del auditado
Realizar revisión documental (Ej. Registros, - Realizar revisión documental (Ej. Registros,
análisis de datos). análisis de datos).
Sin Interacción - Observación de trabajos realizados - Observación de trabajo por medios de
Humana - Realización de visita en sitio vigilancia, considerando los requisitos sociales,
- Diligenciamiento de listas de chequeo legales y regulatorios.
- Muestreo (ej. Productos) - Análisis de datos

20
 COMPETENCIA Y EVALUACIÓN DE
LOS AUDITORES

Establecimiento de criterios de
evaluación del auditor

Los criterios deberían ser Horas de

cualitativos y cuantitativos Número de
entrenamiento
en auditorías.
auditorías
realizadas
Educación

Años de experiencia
laboral

Demostrar el
comportamiento personal o
desempeño de habilidades
en entrenamiento o en el
lugar de trabajo.

21
 COMPETENCIA Y EVALUACIÓN DE
LOS AUDITORES

Comportamiento personal
- Ético, Ej. Justo, verídico, sincero, honesto y - Decidido, Ej. Capaz de alcanzar conclusiones oportunas con
discreto base en el análisis y el razonamiento lógico.
- De mentalidad abierta, Ej. Es decir, dispuesto - Seguro de si mismo, Ej. Capaz de actual y funcionar
a considerar ideas o puntos de vista alternativos; independientemente mientras se relaciona eficazmente con
- Diplomático, Ej. Tener tacto en el trato con las otros;
personas; - Firme, Ej. Capaz de actuar responsable y éticamente,
- Observador, Ej. Activamente consiente de si aunque estas acciones no sean siempre populares y puedan
entorno físico y las actividades; resultar en ocasiones en desacuerdos o confrontaciones;
- Perceptivo, Ej. Consiente y capaz de entender - Abierto a la mejora, Ej. Dispuesto a aprender de las
las situaciones; situaciones;
- Versátil, Ej. Capaz de adaptarse a las - Culturalmente abierto, Ej. Observador y respetuoso de la
diferentes situaciones; cultura del auditado;
- Tenaz, Ej. Persistente y orientado hacia el logro - Colaborativo, Ej. Interactúa eficazmente con otros,
de los objetivos; incluyendo los miembros del equipo y el personal del auditado.

22
 COMPETENCIA Y EVALUACIÓN DE
LOS AUDITORES

Competencia de la disciplina Competencia genérica del líder

y del sector - Planificar la auditoría y asignar tareas acordes a la
- Requisitos y principios de sistema de gestión, y competencia individual de los miembros del equipo
su aplicación - Discutir asuntos estratégicos con la alta dirección
- Fundamentos de la disciplina y sector del auditado
relacionadas a los sistemas de gestión y normas - Desarrollar y mantener una relación de trabajo
aplicadas por el auditado colaborativa entre los miembros del equipo auditor
- Aplicación de los métodos, técnicas, practicas y - Representar el equipo auditor en las
procedimientos de la disciplina y el sector comunicaciones con la persona responsable de
- Los principios, métodos y técnicas relevantes a la gestionar el programa de auditoría, el cliente de la
disciplina y sector, de tal manera que el auditor auditoría y el auditado
pueda determinar y evaluar los riesgos y - Liderar el equipo auditor para alcanzar las
oportunidades asociados. conclusiones de la auditoría;
- Preparar y completar el informe de auditoría.

23
 COMPETENCIA Y EVALUACIÓN
DE LOS AUDITORES
MÉTODO DE OBJETIVOS EJEMPLOS
EVALUACIÓN
Revisión de Verificar los antecedentes del auditor Análisis de los registros de educación,
registros entrenamiento, empleo, credenciales profesionales
y experiencia de auditoría.
Retroalimentación Proporcionar información acerca de la percepción del Encuestas, cuestionarios, referencias personales,
desempeño del auditor testimonios, quejas, evaluaciones de desempeño y
revisión por parte de pares.
Entrevista Evaluar el comportamiento profesional esperado y las Entrevistas personales
habilidades comunicativas, para verificar la información
y comprobar el conocimiento y adquirir información
adicional.
Observación Evaluar el comportamiento profesional esperado y la Juego de roles, presenciar auditorías, y trabajo en
capacidad para aplicar conocimientos y habilidades sitio
Examen Evaluar el comportamiento, conocimientos y Exámenes orales y escritos, Test psicométrico
habilidades esperados y su aplicación
Revisión después Proporcionar información acerca del desempeño del Revisión del informe de auditoría, entrevistas con el
de la auditoría auditor durante las actividades de auditoría, líder del equipo auditor, el equipo auditor y si es
identificando fortalezas y oportunidades de mejora apropiado, retroalimentación por parte del auditado.

24
 REALIZACIÓN DE UNA AUDITORÍA

VERIFICAR

6.3 6.5
6.6
2. PREPARACIÓN DE 4. PREPARACIÓN DE
ACTIVIDADES INFORME FINALIZACIÓN DE LA
AUDITORÍA

6.2 6.4 6.7

1. INICIO DE 3. REALIZACIÓN DE 5. ACTIVIDADES DE
AUDITORÍA ACTIVIDADES SEGUIMIENTO

PLANEAR HACER ACTUAR

25
 REALIZACIÓN DE UNA AUDITORÍA

2. PREPARACIÓN DE
ACTIVIDADES
En la planificación de la auditoría, el líder
• Revisión de la información del equipo auditor debería considerar lo
documentada siguiente:
a) La composición del equipo auditor y su
competencia general;
• Planificación de la auditoría
“Plan de auditoría” b) Las técnicas apropiadas de muestreo
c) Oportunidades para mejorar la eficacia
y eficiencia de las actividades
• Asignación de tareas al
equipo d) Los riesgos para lograr los objetivos de
la auditoría.
e) Los riesgos del auditados por la
• Preparación de la información realización de la auditoría.
documentada para la auditoría

26
 EJEMPLO OBJETIVOS DE UNA AUDITORÍA

 Confirmar que el sistema de gestión de Continuidad de Negocio es capaz

de lograr los objetivos del SGCN y cumple con la política del SGCN de la
organización.

 Confirmar que la organización ha establecido, implementado, operado, ha

hecho seguimiento, reviso, ha mantenido y mejorado su SGCN
documentado, en el contexto de las actividades globales del negocio de la
organización.

 Verificar conformidad de los requisitos contractuales con los proveedores

relacionados con el SGCN

 Proporcionar al auditado una oportunidad para MEJORAR su SGCN

27
 FORMATO MÁS ELABORADO DEL
PLAN DE AUDITORÍA (DILIGENCIADO)
Organización: ACME, Ltda.
Dirección: Anillo vial calle 12 No. 3-15 San Fecha de Noviembre 25 y
auditoria: 26, 202X
Sebastian
Auditor Líder: Elias Sandoval (ES)
Auditores: Paola Rivas (PR) y Jan Martínez (JM)
Criterios ISO 22301:2019, legales y reglamentarios, propios de la empresa y
Auditoría: los adquiridos con clientes y demás partes interesadas.
Idioma Español
Auditoría:

Objetivo de la auditoría: confirmar que el SGCN cumple con los requisites ISO 22301:2019
y que se encuentra apropiadamente implantado y mantenido.

Hora Auditor Req. Departamento / Función / Proceso Contacto clave

FECHA DÍA 1 (25-11-202X)

07:30 ES, Llegada a la empresa y charla

- Guía y HSEQ
a. m. PR, JM seguridad

08:00 Gerente general

– 8:45 ES,
- Reunión de apertura y personal a
PR, JM
entrevistar

28
 PLAN DE AUDITORÍA

Hora Auditor Req. Departamento / Función / Proceso Contacto clave

FECHA DÍA 1 (25-11-2020)

Gerente general,
líder
ES 4.1 a 4.4 Gerencia, planificación y líder GCN
planificación,
líder GCN
Líderes talento
9:00 –
Talento humano, comunicaciones y humano,
9:45 PR 7.1 a 7.4
contabilidad- financiara presupuesto y
comunicaciones
Jefe
JM 7.5 HSEQ (SG) y legal (origen externo) departamento:
HSEQ y legal

10:00
ES, 5.1, 5.2 y Gerente general
– Gerencia general y líder GCN
PR, JM 6.1 a 6.3 y líder GCN
11:45

29
 PLAN DE AUDITORÍA
Hora Auditor Req. Departamento / Función / Proceso Contacto clave

FECHA DÍA 1 (25-11-202X)

12:00
1:00 Almuerzo
p. m.

Líderes GCN y
proceso
ES,
1:00 – Líder GCN y líder proceso producción producción y/o
PR, JM 8.1 y 8.2
2:45 y/o servicio y procesos soporte servicio y
proceso de
soporte
Líderes GCN,
TI, compras –
ES, Líderes GCN, proceso TI, Compras-
3:00 – contratos,
PR, JM 8.3 contratación, comunicaciones y
4:45 comunicaciones
administrador seguridad física
y seguridad
física

5:00 –
Reunión equipo auditor
5:45

Reunión auditor líder con guía para

5:45 – ESS comentar aspectos importantes
- Guía
6:00 sucedidos y revisar posibles cambios
plan próximo día

30
 FORMATO DEL PLAN DE AUDITORÍA
Hora Auditor Req. Departamento / Función / Proceso Contacto clave

FECHA DÍA 2 (26-11-202X)

07:30 a.
ES, PR, JM - Llegada a la empresa Guía
m.

Líderes Equipos CN 1, Departamento de Líderes equipos de CN, producción

8:00 – ESS
8.4 Producción y/o servicio, mantenimiento y y/o servicio, mantenimiento y
9:45 PR y JM
compras-contratación compras-contratación

Líderes equipos CN 1, TI,

Líderes equipos CN, TI, Departamento de
PR Departamento de Producción y/o
8.5 Producción y/o servicio, mantenimiento,
JM servicio, mantenimiento, compras-
compras-contratación
contratación y HSEQ
10:00 –
11:00
Gerencia general, Líderes GCN, programa de
Gerencia general, Líderes GCN,
ESS 8.6, 9 y 10 auditoría y HSEQ
programa de auditoría y HSEQ

11:15 –
ES, PR, JM Reunión equipo auditor
12.00

12:00 –
Almuerzo
2:00

31
 PLAN DE AUDITORÍA

Hora Auditor Req. Departamento / Función / Proceso Contacto clave

FECHA DÍA 2 (26-11-202X)

2:00 – Elementos de protección personal y traslado al área de

ES, PR, JM Guía
2:30 producción y/o servicios y centros alternos de operación

Líderes equipos de CN 2, líder Departamento Líderes equipos de CN 2 y líder

PR y JM 8.3, 8.4 y 8.5 de producción y/o servicio y trabajadores área Departamento de producción y/o
2: 30 – operativa servicio. Trabajadores
4:00
Líder GCN, Encargado de Centro alterno de Líder GCN y Encargado de Centro
ESS 8.3, 8.4 y 8.5
operación y trabajadores área operativa alterno de operación. Trabajadores

4:15 –
ES, PR, JM Reunión equipo auditor
5:00

5:15 – ES, PR, JM Gerente general, personal a

- Reunión de cierre
6:00 entrevistar y guía

32
 REALIZACIÓN DE UNA AUDITORÍA

2. PREPARACIÓN DE
ACTIVIDADES

• Revisión de la información
documentada

L I S TA D E V ER I F I C A C IÓ N
• Planificación de la auditoría
“Plan de auditoría” Documento de trabajo y registro.
Guía de trabajo
• Asignación de tareas al
equipo Se debe considerar:
 Los procesos que se llevan a cabo.
 Los procedimientos pertinentes.
• Preparación de la información  Los documentos y registros que se utilizan
documentada para la auditoría  Los requisitos de la Norma

33
 SISTEMA DE GESTIÓN DE LA CN

LISTA DE CHEQUEO

REQ. DESCRIPCION SI NO N/A

34
 FORMATO DE LISTA DE VERIFICACIÓN
ESPECÍFICA PARA LA ORGANIZACIÓN
Lista de chequeo o verificación para auditar clausula 5.1
Liderazgo y compromiso

Referencia de Auditoría: AI No. 1, FECHA: XX/YY/ZZ Hoja No. 1 de 2

PROCESO: Gerencial ( Liderazgo y compromiso) Auditor: Pedro García

Cumplimiento Comentarios /
No. Requisito
(Sí/No/No aplica) Observaciones

¿Cuénteme como se asegura que las políticas y objetivos

5.1 a) de CN están establecidos y son compatibles con la dirección
estratégica de la organización?
¿Me podría indicar como aseguran la integración de los
5.1 b) requisitos del SGCN en los procesos empresariales de la
organización?
¿Cómo aseguran que los recursos necesarios para el
5.1 c) SGCN se encuentran disponibles?
¿Por favor deme evidencia objetiva de ello?
¿Explíqueme como comunican la importancia de la CN
5.1 d) efectiva de acuerdo con los requisitos del SGCN?
¿Por favor muéstreme soportes de estas comunicaciones?
¿De que forma se aseguran que el SGCN logra los
objetivos deseados?
5.1 e)
¿Puede darme información documentada del logro
obtenido?

35
 FORMATO DE LISTA DE VERIFICACIÓN
ESPECÍFICA PARA LA ORGANIZACIÓN
Lista de chequeo o verificación para auditar clausula 5.1
Liderazgo y compromiso

Referencia de Auditoría: AI No. 1, FECHA: XX/YY/ZZ Hoja No. 2 de 2

PROCESO: Gerencial ( Liderazgo y compromiso) Auditor: Pedro García

Cumplimiento Comentarios /
No. Requisito
(Sí/No/No aplica) Observaciones

¿Me podría explicar la manera en que dirigen y apoyan al

5.1 f)
personal que contribuye a la eficacia del SGCN?

¿De que manera promueven el mejoramiento continuo?

5.1 g)
¿Podría mostrarme registros u otra evidencia?
¿Favor me explica como apoyan otras funciones gerenciales
importantes para demostrar liderazgo y compromiso que
apliquen a sus áreas de responsabilidad?
5.1 h)
¿Podría darme información documentad para evidenciar el
apoyo a estas funciones gerenciales?

36
 FORMATO DE LISTA DE VERIFICACIÓN
ESPECÍFICA PARA LA ORGANIZACIÓN
Lista de chequeo o verificación para auditar clausula 8.2.2
Análisis de impacto del negocio “BIA”

Referencia de Auditoría: AI No. 1, FECHA: XX/YY/ZZ Hoja No. 1 de 2

PROCESO: Continuidad de negocio (BIA) Auditor: Pedro García

Cumplimiento Comentarios /
No. Requisito
(Sí/No/No aplica) Observaciones

¿Cómo establecieron el proceso para analizar el impacto

empresarial para determinar los requisitos y prioridades de
la CN?
8.2.2

¿Podría mostrarme el proceso como documento?

¿En que forma definieron los tipos de impacto y criterios

8.2.2 a)
relevantes para el contexto de la organización?

¿De que manera identificaron las actividades que soportan

8.2.2 b)
la provisión de productos y servicios?

¿Explíqueme la forma en que usaron los tipos de impacto y

8.2.2 c) criterios para evaluar el impacto a lo largo del tiempo que
resulten de una interrupción de esas actividades?

37
 FORMATO DE LISTA DE VERIFICACIÓN
ESPECÍFICA PARA LA ORGANIZACIÓN
Lista de chequeo o verificación para auditar clausula 8.2.2
Análisis de impacto del negocio “BIA”

Referencia de Auditoría: AI No. 1, FECHA: XX/YY/ZZ Hoja No. 2 de 2

PROCESO: Continuidad de negocio (BIA) Auditor: Pedro García

Cumplimiento Comentarios /
No. Requisito
(Sí/No/No aplica) Observaciones

¿Me puede decir como identificaron el periodo de tiempo

8.2.2 d) dentro del cual el impacto de no reanudar as actividades
sería inaceptable para la organización?
¿Explíqueme como priorizaron periodos de tiempo dentro
del periodo identificado en el literal d), para reanudar las
8.2.2 e)
actividades interrumpidas en una capacidad aceptable
mínima especificada?
¿En que forma usaron este análisi realizado para
8.2.2 f)
identificar actividades prioritarias?
¿En que forma determinaron cuales recursos se
8.2.2 g)
necesitaron para soportar las actividades prioritarias?
¿Podría decirme como determinaron las dependencias,
8.2.2 h) incluyendo socios y proveedores, y las interrupciones de las
actividades prioritarias?

38
 FORMATO DE LISTA DE VERIFICACIÓN
ESPECÍFICA PARA LA ORGANIZACIÓN
Lista de chequeo o verificación para auditar requisitos propios de la organización
para su SGCN (requisito 8.3; 8.4)
Referencia de Auditoría: AI No. 1, FECHA: XX/YY/ZZ Hoja No. 1 de 1
Procedimientos Documentados: PD-Es-Sol-01 Rev. 2 de 202X Estrategias para CN y Soluciones; PC-02 Rev. 1/202X competencias
personal y PAC – 03 rev4 de 202X advertencia y comunicación.
Auditor: Pedro García
Cumplimie
nto Comentarios /
No. Requisito
(Sí/No/No Observaciones
aplica)

¿Cómo planearon o establecieron el procedimiento relacionado con las

P
estrategias para la CN y sus soluciones?

¿De que manera llevan a la práctica o implementan el procedimiento

PD –Es-Sol-01 H
relacionado con las estrategias para la CN y sus soluciones?
rv 2 de 202X
¿En que forma verifican o revisan que el procedimiento relacionado con las
V
estrategias para la CN y sus soluciones logra los resultados esperados?
¿Cómo han mejorado el procedimiento relacionado con las estrategias para la
A
CN y sus soluciones?
¿Cuáles son las competencias de los equipos de evaluación de daños y recuperación de
PC-02 Rev.TIC?
1/202X
¿Me permite las del señor XXX de evaluación de daños? y del señor ZZZ de TIC?

PAC – 03 rev4¿ Podría darme evidencia de la eficacia del procedimiento de advertencia y

de 202X comunicación durante el programa de ejercicios del año 202X?

39
 REALIZACIÓN DE UNA AUDITORÍA

3. REALIZACIÓN DE ACTIVIDADES

Ejecución de la auditoría
 Reunión de apertura
 Comunicación durante la auditoría
 Disponibilidad, acceso y revisión de la
información documentada
 Recolección y verificación de la información
 Generación de hallazgos
 Conclusión
 Reunión de Cierre

40
 REALIZACIÓN DE UNA AUDITORÍA

REUNIÓN DE APERTURA
El propósito de la reunión de apertura es:
a) Confirmar el acuerdo de todos los participantes (Ej
auditado, equipo auditor) con el plan de auditoría;
b) Introducción del equipo auditor y sus roles;
c) Asegurarse de que todas las actividades de
auditoría planificadas puedan realizarse.

 Presentación del equipo auditor y auditados.

 Lista de asistencia
 Presentar o confirmar el plan de auditoría. (Objetivo, alcance, procesos, criterios,
métodos, roles y responsabilidades del equipo auditor y horarios)
 Aclarar cómo se realizan las actividades de auditoría
 Establecer una comunicación abierta y obtener cooperación
 Explicar los procedimientos de la Auditoría y del reporte
 Explicar los criterios para determinar no conformidades
 Confidencialidad
 Condiciones bajo las cuales se daría por terminada la auditoría
 Corto recorrido de los locales
41
 REALIZACIÓN DE UNA AUDITORÍA

RECOLECCIÓN Y VERIFICACIÓN DE LA INFORMACIÓN

MUESTREO
MUESTREO BASADO EN EL JUICIO
ESTADÍSTICO

Experiencia de auditoría previa dentro del alcance

de la auditoría Con base a los objetivos
de la auditoría y lo que
es conocido acerca de la
Complejidad de los requisitos para lograr los población en general de
objetivos de la auditoría; donde se tomaran las
muestras.
Complejidad e interacción de los procesos de la
organización y los elementos del sistema de gestión;

El grado de cambio en la tecnología, factor humano

o el sistema de gestión
Procedimiento de
Riesgos significativos y oportunidades de mejora selección con base en
identificados previamente la teoría de
probabilidad
Resultados del seguimiento al sistema de gestión

42
 REALIZACIÓN DE UNA AUDITORÍA

SELECCIÓN DE LAS FUENTES DE INFORMACIÓN

Las fuentes de información seleccionadas podrían variar de acuerdo con

el alcance y complejidad de la auditoría y podrían incluir:
 Entrevistas con empleados y otras personas;
 Actividades de observación, el entorno de trabajo y condiciones
circundantes;
 Información documentada
 Compendio de datos, análisis e indicadores de desempeño;
 Informes de otras fuentes, Ej. Retroalimentación del cliente, encuestas
externas y mediciones, Cualquier otra información por parte de partes
interesadas externas y calificaciones de proveedores externos;
 Bases de datos y páginas web;
 Simulaciones y modelos.
43
 REALIZACIÓN DE UNA AUDITORÍA

CONDUCIR LA AUDITORÍA

 Preguntar abiertamente
 Examinar la evidencia objetiva
 Referirse a la lista de chequeo y tomar
notas
 Considerar el impacto en otras actividades
 Preguntar-observar-escuchar
 Analizar resultados
 Dejar en conocimiento del auditado las no
conformidades encontradas

44
 REALIZACIÓN DE UNA AUDITORÍA

ENTREVISTA
 Debe realizarse con personas de distintos niveles.
 Debe realizarse durante las horas de trabajo normales y en el sitio de trabajo.
 Se debe procurar que la persona se sienta cómoda antes de comenzar la entrevista.
 Se debe explicar la razón de la entrevista y las notas que se tomen de esta.
 La entrevista se puede iniciar solicitándole a la persona que describa su trabajo.

Se deben evitar las preguntas que

predispongan las respuestas.

45
 REALIZACIÓN DE UNA AUDITORÍA

P R E G U N TA S T I P I C A S

 ¿Usted podría explicarme …?

 Muéstreme por favor…
 ¿Cuénteme como realiza …?
 ¿Qué es lo que usted hace para …?
 ¿Cómo sabe usted …?
 ¿Porqué realiza …?
 Emplee siempre: ¿Qué?, ¿Porqué?, ¿Cuándo?, ¿Cómo?, ¿Donde?,
¿Quién?
Las preguntas cerradas, sirven para corroborar respuestas del auditado.

46
 REALIZACIÓN DE UNA AUDITORÍA

ACTITUDES PARA CONTROLAR LA AUDITORÍA

• Administrar el tiempo
adecuadamente
Control • No dejarse conducir o
engañar
de la • Ser detallista y eficiente
auditoría • Evitar apartarse del tema
• Evitar saturarse
• Permanecer seguro

47
REALIZACIÓN DE UNA AUDITORÍA

EVITAR POR PARTE DEL AUDITOR

Controvertir

Ser negativo
Ser
indisciplinado
Ser crítico
Caer en disputas Discutir
personalidades

Comparar al auditado

48
Clasificación de no conformidades 6.4.8:

MENOR:
- Simple observación de no cumplimiento en un procedimiento,
instrucción de trabajo u operación del sistema.
- No afecta al cliente usuario del SGCN
MAYOR:
- Hay un rompimiento total de algún procedimiento, clausula o
instrucción de trabajo crítico
- Ausencia total de un procedimiento o control crítico exigido por la
Norma aplicable
- Varias faltas menores en el procedimiento
- Un riesgo inmediato para la calidad inaceptable del servicio en el
SGCN que se ofrece, incumple un contrato o actúa ilegalmente y demás.
49
 REDACCIÓN DE NC

Se evidencio que ……………………………

DÓNDE Área/proceso/Dpto./actividad

Registro, plan, procedimiento, observación

Lo que incumple …………criterio de la organización o de la

ISO 22301:2019
Que establece……………..

50
 REALIZACIÓN DE UNA AUDITORÍA

REDACCIÓN DE NO CONFORMIDADES

-Negación: Se evidenció que la organización no realiza auditorías

internas al SGCN
- Cuál es la falla: la organización no realiza auditorías internas al
SGCN a intervalos planificados para tener información del SG
- Dónde se falla: corresponde al proceso donde se evidencia el
incumplimiento…. En el proceso de auditorías internas
- Evidencia: corresponde al documentos, registro, observación,
declaración de hecho….Entrevista con la gerencia
- Incumplimiento y criterio afectado: Lo anterior incumple el
numeral (9.2.1) de la ISO (22301:2019)… que establece …. la
organización DEBE …llevar a cabo auditorías internas del SGCN a
intervalos planificados, para ….
51
 REDACCCIÓN DE HALLAZGOS DE
OBSERVACIONES U OPORTUNIDAD DE MEJORA

Observaciones: Identificar no conformidades potenciales.

Siempre se inicia con un verbo en infinitivo ejemplo:
- Garantizar ……..(Escribir situación de mejora)
- Asegurar ……..(Escribir situación de mejora)
- Fortalecer ……..(Escribir situación de mejora)
- Evaluar, Diseñar, Implementar y demás.
Ejemplo 1:
Garantizar la adecuada interpretación de las gráficas 1 y 2 incluidas en el
documento proceso para evaluar los riesgos de interrupción PRE-R-09 rev. 2 de
202X. Numeral 8.2.1 literal a) de ISO 22301 de 2019
Ejemplo 2:
Fortalecer el análisis y evaluación a los riesgos, para asegurar su adecuado
tratamiento. Numeral 8.2.3 b) de la norma ISO 22301 de 2019

52
 ESTRUCTURA DE LAS NO CONFORMIDADES Y LAS
OBSERVACIONES U OPORTUNIDADES DE MEJORA

No conformidad tiene estructura de:

 SE EVIDENCIÓ escriban donde y la evidencia, LO QUE
INCUMPLE EL REQUISITO escriban el numeral con su literal si
lo tiene DE LA ISO 22301:2019, QUE ESTABLECE escriban lo
que diga la norma en el requisito.
 SE EVIDENCIÓ escriban donde y la evidencia, LO QUE
INCUMPLE escriban la información documentada interna de la
empresa, QUE ESTABLECE escriban lo que diga la información
documentada.
Observación tiene estructura de:
 REVISAR O MEJORAR escriban lo que desean mejorar, para
qué se solicita; EL NO HACERLO PODRÍA ORIGINAR decir el
impacto. (Escriban entre paréntesis el numeral del requisito con
su literal si lo tiene).

53
 Categorización del hallazgo
No hay suficiente No conformidad
evidencia

Redacción hallazgo NC
Norma Numeral

Auditor:

No hay suficiente evidencia para generar un hallazgo

54
 Categorización del hallazgo
No hay suficiente No conformidad
evidencia

Redacción hallazgo NC
Norma Numeral

Auditor:

Análisis y cierre de NC
Acciones Verificación de la Fecha/acción
efectividad
1.
2.
Auditor Fecha cierre

55
 REDACCIÓN DE NO CONFORMIDADES

Se evidenció que en la organización no se han

documentado los requisitos de competencia para el
personal con responsabilidades en el área de operaciones TI,
el perfil de cargo RRHH 036 no define la educación,
formación o experiencia apropiada. Lo anterior incumple el
requisito 7.2 b) de la norma ISO 22301:2019 que indica: “La
organización debe asegurar que las personas que trabajan,
bajo su propio control y que afecten el desempeño de
continuidad de negocio son competentes, basándose en la
educación, formación o experiencia adecuadas”.

56
 REVISION DE LOS HALLAZGOS

DESCRIPCIÓN DE LA SOLICITUD DE ACCIÓN CORRECTIVA O NO

CONFORMIDAD:

En la revisión por la dirección de noviembre 22 de 20XX, no se tuvieron en

cuenta como entradas las actividades de la revisión anterior efectuada por la
alta dirección.

Lo anterior incumple lo establecido en el requisito 9.3.2 literal a) de la ISO

22301 de 2019 que establece la revisión por la dirección debe considerar el
estado de las acciones de revisiones por la dirección previas.

57
 REALIZACIÓN DE UNA AUDITORÍA

CONCLUSIONES

Las conclusiones de auditoría deberían direccionar aspectos tales como:

a) La extensión de la conformidad con los criterios de auditoría y la robustez del sistema

de gestión, incluyendo la eficacia del sistema de gestión para lograr las salidas
esperadas, la identificación de riesgos y la efectividad de las acciones tomadas por el
auditado para direccionar los riesgos;
b) La eficaz implementación, mantenimiento y mejora del sistema de gestión;
c) El logro de los objetivos de auditoría, cubrimiento del alcance y cumplimiento con los
criterios de auditoría;
d) Hallazgos similares levantados en diferentes áreas que fueron auditadas en una
auditoria individual o conjunta previa, con el propósito de identificar tendencias.

58
 REALIZACIÓN DE UNA AUDITORÍA

REUNIÓN DE CIERRE

 Se lleva a cabo por parte del auditor líder

 Se distribuye la lista de asistencia a la reunión
 Asegurarse que el auditado comprende todos los hallazgos, las no conformidades e
inquietudes
 Debe llevarse a cabo inmediatamente después de la conclusión de la evaluación del
sistema
 Nombrar fortalezas y aspectos por mejorar u oportunidades.
 Completar los formatos de acciones correctivas solicitadas y de acuerdo a las fechas
para cierre de la acciones correctivas
 Agradecer a los auditados por su colaboración
 Felicitar

59
 REALIZACIÓN DE UNA AUDITORÍA

REUNIÓN DE CIERRE

. El auditor debe estar preparado para explicar todos los hallazgos y

evidencias en forma cuidadosa y precisa

Estar preparado para sustentar y justificar los hallazgos

Evitar envolverse en discusiones

Disculparse ante un error y modificar o retirar la solicitud de acción

correctiva si es necesario

Evitar recomendaciones de consultorías, consejos

Los comentarios deben limitarse a hacer aclaraciones sobre los

criterios/requisitos de aceptación.

60
 REALIZACIÓN DE UNA AUDITORÍA

INFORME DE AUDITORÍA

 Nombre de la organización
 Fecha y lugar de la auditoría
 Objetivos , Alcance y criterios de la auditoría
 Personal clave contactado
 Miembros del equipo auditor
 Solicitudes de acciones correctivas emitidas
 Asistentes a las reuniones de apertura y cierre
 Conclusión
 Resumen de los principales puntos de la auditoría (análisis de las fortalezas del
sistema y capacidad del sistema para lograr los objetivos de calidad definidos)
 Lista de distribución

61
 EJEMPLO FORMATO INFORME FINAL DE AUDITORÍA

Organización y Auditoria No

Lugar y Fecha

Objetivo de la Auditoria

Auditores

Norma, alcance y criterios ISO22301:2019

auditoría
Personal entrevistado y
procesos auditados

Resultado de Hallazgos NO CONFORMIDADES

OBSERVACIONES:
Resumen puntos principales

Conclusiones

Firma de los Auditores

62
 REALIZACIÓN DE UNA AUDITORÍA

INFORME DE AUDITORÍA

NO INCLUYE
 Información confidencial proporcionada en la entrevista
 Asuntos no planeados o discutidos en la reunión de cierre
 Opiniones subjetivas – solo hechos verificables
 Declaraciones ambiguas
 Palabras o frases antagónicas

63
 REALIZACIÓN DE UNA AUDITORÍA

6.6 FINALIZACIÓN DE LA AUDITORÍA

 La auditoría finaliza cuando se hayan realizado todas

las actividades de auditoría planificadas.
 La información documentada perteneciente a la
auditoría se conserva o dispone de común acuerdo
entre las partes y de acuerdo con el programa de
auditoría y los requisitos aplicables.
 No se revela ninguna información obtenida ni el
informe de auditoría, salvo que se requiera por ley o
con aprobación explicita del cliente de la auditoria
 Las lecciones aprendidas de la auditoría pueden
identificar los riesgos y oportunidades para el
programa de auditoría y para el auditado.

64
 REALIZACIÓN DE UNA AUDITORÍA

5. ACTIVIDADES DE SEGUIMIENTO

VERIFICACIÓN IMPLEMENTACIÓN EFICAZ DE ACCIONES CORRECTIVAS

NO SI

Establezca una
Nueva fecha
Evidencia (hechos)
SI cierre en el reportes
Verifique de
de no conformidad
Nuevo
NO
Nueva
ESCALE
SAC

65
 BIBLIOGRAFÍA

 INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN. GTC-ISO

19011:2019 Directrices para la auditoría de los sistemas de gestión. ICONTEC.
Bogotá.
 INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 17021-1.
Evaluación de la conformidad. Requisitos para los organismos que realizan auditoría y
la certificación de sistemas de gestión. Parte 1: Requisitos. ISO/IEC. Ginebra.
 INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 17021-6.
Evaluación de la conformidad. Requisitos de competencia para la auditoría y la
certificación de sistemas de gestión de continuidad de negocio. Parte 6:
(Especificación Técnica) . ISO/IEC. Ginebra.
 INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN. NTC-ISO
22301:2019 Seguridad y resiliencia. Sistema de gestión de continuidad de negocio.
Requisitos. ICONTEC. Bogotá.
 SHARP, John. El mapa de ruta. Hacia la gestión de la CN. Cumplimiento de los
requisitos de la continuidad del negocio. Icontec (bsi). Bogotá, 2018.

66
67