9.2. La auditoría interna

La empresa debe llevar a cabo auditorías internas a intervalos planificados para proporcionar información sobre si el Sistema de Gestión de la Continuidad de Negocio:

Cumple con todos los propios de la empresa para su Sistema de Gestión de la Continuidad de Negocio y requisitos de la norma ISO 22301
Se aplican y mantienen de forma efectiva

La empresa debe:

Planificar, establecer, implantar y mantener programa de auditoría, incluyendo la frecuencia, métodos, responsabilidades, requisitos de planificación y presentación de informes. El programa de auditoría deberá tener en cuenta la importancia de los procesos en cuestión de los resultado de la auditoría anterior
Definir los criterios de auditoría y el alcance de cada auditoría
Servicios de auditores y auditorías de conducta para asegurar la objetividad y la imparcialidad del proceso de auditoría
Garantizar los resultados de las auditorías se reportan a la administración correspondiente
Retener la información documentada como evidencia de la ejecución del programa de auditoría y los resultados de la auditoría

El programa de auditoría, incluyendo la planificación, se basará en los resultados de las evaluaciones de riesgo. Las actividades de organización, así como los resultados de auditorías previas. Los procedimientos de auditoría deben cubrir el alcance, frecuencia, metodología y competencia, así como las responsabilidades y requisitos para realizar la auditoría e informar los resultados.

La dirección responsable del área que se está siendo auditada debe asegurarse de que todas las correcciones necesarias y se adopten medidas correctivas sin demora injustificada para eliminar las no conformidades detectadas y sus causas.

Las actividades de seguimiento deben incluir la verificación de las acciones tomadas y el informe de los resultados de la verificación.