Gestión del riesgo en la gestión por procesos
Las normas ISO 9001, ISO 14001 e ISO 45001 se basan en la gestión por procesos y la gestión del riesgo. Recogen la necesidad de identificar los elementos de entrada y los resultados esperados de cada proceso así como la necesidad de indicadores para evaluar su eficacia. Ello justifica más la integración del certificado ISO con el cuadro de mando integral.
Al certificado ISO 9001 se debe gestionar el riesgo. Implica identificar los posibles escenarios en los que podrían no cumplirse los resultados esperados. Se deben establecer las acciones pertinentes para minimizarlo.
La gestión del riesgo de un sistema de gestión ISO debe ser flexible porque pueda tener en cuenta todos los procesos. Las consecuencias que una situación de riesgo pueda tener sobre los requisitos de los productos y servicios o sobre la satisfacción del cliente.
Cada organización debe adoptar la gestión de los riesgos en función de su actividad y sistema de gestión.
Plan de continuidad del negocio ISO 22301
Un plan de continuidad del negocio o Business Continuity Plan (BCP) es una herramienta para la gestión del riesgo. Describe cómo debe actuar la organización después de una interrupción no deseada o desastre, para recuperar y restaurar las funciones críticas, parcial o totalmente interrumpidas dentro de un tiempo predeterminado. Para ayudar a minimizar minimizar el impacto de los incidentes que provocan una interrupción de la actividad recomendamos implantar los requisitos de «ISO 22301: Gestión de la Continuidad del Negocio»
Plan de contingencias
Un plan de contingencias (Disaster Recovery Plan) garantiza la continuidad del funcionamiento. Ayuda a controlar y minimizar cualquier emergencia y a minimizar sus consecuencias. Un plan de contingencia tiene cuatro etapas: la identificación y evaluación de riesgos, la planificación, las pruebas de viabilidad y su ejecución.
El plan de contingencias para la gestión de los riesgos también está vinculado con la gestión del riesgo informático de acuerdo con la norma ISO 27001 o ITIL para que una empresa pueda recuperarse de un desastre informático y restablecer sus operaciones con rapidez.