En breve: Una auditoría de continuidad de negocio ISO 22301 comprueba que tu organización tiene un plan real para seguir operando cuando algo se tuerce, y que ese plan se prueba y se mejora. Se revisa el análisis de impacto en el negocio, la evaluación de riesgos, las estrategias y los planes de continuidad, los ejercicios de prueba y la mejora continua. Hay dos grandes momentos: la auditoría interna que haces tú antes y la auditoría de certificación, que ejecuta una entidad acreditada por ENAC en dos fases. La certificación sigue un ciclo de tres años con seguimientos anuales. Aquí te cuento qué mira cada parte y cómo llegar preparado.
Qué es la ISO 22301 y qué es un SGCN
La ISO 22301 es la norma internacional de sistemas de gestión de continuidad de negocio. Dicho en cristiano: te marca cómo prepararte para que, si llega un incidente grave (un incendio, un ciberataque, la caída de un proveedor crítico, una inundación), tu empresa pueda seguir prestando sus servicios esenciales o recuperarlos en un tiempo razonable.
Un SGCN, o sistema de gestión de continuidad de negocio, es el conjunto de políticas, procedimientos, responsables y recursos que sostienen esa preparación. No es un documento que guardas en un cajón. Es algo vivo que se mantiene, se prueba y se actualiza. La norma sigue la estructura de alto nivel común a otras ISO de gestión, así que si ya trabajas con la ISO 9001 o la ISO 27001 muchas piezas te van a sonar: contexto de la organización, liderazgo, planificación, soporte, operación, evaluación del desempeño y mejora.
Lo importante para entender la auditoría es esto: la ISO 22301 no te dice qué riesgos tienes que cubrir ni cuánto tiempo puedes estar parado. Eso lo decides tú según tu negocio. Lo que exige es que lo hayas analizado con criterio, que tengas un plan coherente con ese análisis y que demuestres que funciona. La auditoría comprueba justo eso.
Qué comprueba una auditoría ISO 22301
Cuando audito un sistema de continuidad, o cuando preparo a un cliente para que lo audite una certificadora, reviso siempre los mismos bloques. Son el corazón de la norma y de cualquier auditoría seria.
Análisis de impacto en el negocio (BIA)
El BIA es el punto de partida. Aquí identificas tus actividades, las priorizas y defines cuánto tiempo puedes permitirte que cada una esté caída antes de que el daño sea inasumible. De ahí salen dos parámetros que el auditor va a pedir: el tiempo objetivo de recuperación (RTO) y el punto objetivo de recuperación (RPO). El auditor no quiere ver un BIA bonito, quiere ver que es realista y que alguien lo ha pensado de verdad, con datos y no a ojo.
Evaluación de riesgos
Una vez sabes qué actividades son críticas, toca evaluar qué amenazas pueden interrumpirlas y con qué probabilidad e impacto. El auditor revisa que la metodología sea consistente, que cubra las amenazas relevantes para tu sector y tu ubicación, y que conecte con las decisiones que tomas después. Si tienes una sede en zona inundable y no aparece en el análisis, eso salta enseguida.
Estrategias y planes de continuidad (BCP)
Con el BIA y los riesgos sobre la mesa, defines tus estrategias: redundancia de sistemas, sedes alternativas, acuerdos con proveedores de respaldo, teletrabajo, copias de seguridad. Y las plasmas en planes de continuidad de negocio (BCP) operativos. El auditor comprueba que los planes existen, que están actualizados, que la gente sabe que existen y que cubren lo que el análisis dijo que era crítico. Un plan que no cuadra con el BIA es una incoherencia clásica.
Pruebas y ejercicios
Aquí es donde caen muchas organizaciones. Un plan que nunca se ha probado vale poco. La norma exige ejercicios periódicos: simulacros, pruebas de recuperación de sistemas, ejercicios de mesa con el comité de crisis. El auditor te va a pedir las actas de esos ejercicios, qué falló, qué aprendiste y qué cambiaste después. Sin evidencia de pruebas reales, difícilmente apruebas.
Mejora continua
El sistema tiene que evolucionar. Tras cada incidente real, cada ejercicio y cada auditoría, salen acciones de mejora. El auditor revisa que las no conformidades anteriores se cerraron, que las acciones correctivas funcionaron y que la dirección revisa el sistema con regularidad. Un SGCN estancado es un sistema que en realidad ya no protege.
| Bloque auditado | Qué pide el auditor | Evidencia típica |
|---|---|---|
| Contexto y liderazgo | Alcance definido y compromiso real de la dirección | Política de continuidad, alcance del SGCN, roles asignados |
| Análisis de impacto (BIA) | Actividades críticas con RTO y RPO justificados | Informe BIA, criterios de priorización |
| Evaluación de riesgos | Metodología consistente y amenazas relevantes | Matriz de riesgos, criterios de aceptación |
| Planes de continuidad (BCP) | Planes operativos coherentes con el BIA | BCP, planes de recuperación, contactos de crisis |
| Pruebas y ejercicios | Evidencia de simulacros y lecciones aprendidas | Actas de ejercicios, informes post-prueba |
| Mejora continua | No conformidades cerradas y revisión por dirección | Registro de acciones, actas de revisión |
Auditoría interna frente a auditoría de certificación
Conviene no mezclar dos cosas que se parecen pero no son lo mismo.
La auditoría interna ISO la organiza tu propia empresa, con personal propio o con un consultor externo que no haya participado en montar el sistema. Es obligatoria según la norma y sirve para detectar fallos antes de que lo haga la certificadora. Yo la planteo siempre como un ensayo general: si encuentras los problemas tú, los arreglas con calma; si los encuentra el auditor de certificación, los arreglas con prisa y con una no conformidad encima.
La auditoría de certificación la hace una entidad independiente y se divide en dos fases. La fase 1 es una revisión documental: el auditor comprueba que tienes la documentación del SGCN, que el alcance está claro y que estás preparado para la siguiente fase. Suele detectar carencias gordas antes de entrar en harina. La fase 2 es la auditoría sobre el terreno: el auditor entrevista a la gente, revisa registros, comprueba que lo que pone en el papel se hace de verdad. Si la fase 1 te avisa de que no estás listo, mejor frenar y corregir antes de afrontar la fase 2.
El papel de la certificadora acreditada por ENAC
Para que tu certificado tenga valor frente a clientes, licitaciones públicas y socios, lo emite una entidad de certificación independiente. Y no cualquiera: te interesa una certificadora acreditada por ENAC, la Entidad Nacional de Acreditación en España. La acreditación es lo que garantiza que esa certificadora trabaja con competencia e imparcialidad reconocidas.
La diferencia es práctica. Un certificado emitido por una entidad acreditada por ENAC lo aceptan sin discusión en concursos públicos y procesos de homologación. Uno emitido por una entidad sin acreditación reconocida puede valerte para poco. Antes de contratar, comprueba en la web de ENAC que la certificadora está acreditada en concreto para la ISO 22301, porque la acreditación va por normas, no en bloque.
No conformidades y cómo prepararse
En una auditoría pueden salir dos tipos de no conformidad. Las mayores son fallos graves: un requisito de la norma que no cumples o un fallo sistémico que afecta a la capacidad real de continuidad. Las menores son desviaciones puntuales que no comprometen el sistema entero. Una no conformidad mayor puede frenar la certificación hasta que la corrijas y lo demuestres; las menores se resuelven con un plan de acción en un plazo acordado.
Para llegar bien, esto es lo que recomiendo a mis clientes. Haz la auditoría interna con tiempo, semanas antes, no la víspera. Cierra de forma documentada las no conformidades que detectes ahí. Asegúrate de que la gente conoce sus responsabilidades en caso de incidente, porque el auditor va a preguntar directamente a los equipos, no solo a calidad. Ten a mano las evidencias de los ejercicios de prueba, que es lo que más se olvida. Y prepara la revisión por la dirección, donde se demuestra que la cúpula se implica de verdad y no firma por compromiso.
Si tu organización ya ha pasado por otras certificaciones, gran parte de esta mecánica te resultará familiar. Y si te preguntas por el coste, depende mucho del tamaño de la empresa, del número de sedes y de la complejidad de tus procesos. Aquí te puede servir de referencia este artículo sobre cuánto cuesta certificarse en una norma de gestión comparable, porque la lógica de honorarios de auditoría es parecida.
El ciclo de certificación de tres años
La certificación ISO 22301 no es para siempre con una sola auditoría. Funciona en ciclos de tres años. El primer año pasas la auditoría inicial completa, con sus fases 1 y 2, y si todo va bien obtienes el certificado. Los dos años siguientes la certificadora hace auditorías de seguimiento, más ligeras, para confirmar que mantienes el sistema vivo y que sigues mejorando. Al cumplirse los tres años toca la recertificación, una auditoría completa otra vez que renueva el certificado por otro ciclo.
Esto tiene una consecuencia que conviene asumir desde el principio: la continuidad de negocio no es un proyecto que terminas, es una capacidad que mantienes. El certificado solo refleja que en cada visita el sistema seguía funcionando. Por eso las empresas que se lo toman como un trámite anual sufren en los seguimientos, y las que lo integran en su gestión diaria los pasan casi sin despeinarse.
Conclusión
Auditar la continuidad de negocio con la ISO 22301 consiste en demostrar, con evidencias, que tu empresa puede aguantar un golpe y seguir operando. Se revisa el análisis de impacto, los riesgos, los planes, las pruebas y la mejora continua, primero en una auditoría interna y luego en una de certificación en dos fases ante una entidad acreditada por ENAC, todo dentro de un ciclo de tres años. Bien planteado, no es una carga burocrática: es la prueba de que has pensado qué harías el peor día.
En mi consultoría de cumplimiento normativo acompaño a empresas de Valladolid, Las Palmas y el resto de España a montar y mantener su sistema de continuidad, prepararlo para auditoría y elegir certificadora. Si quieres que revisemos en qué punto estás, escríbeme y lo vemos juntos.