La seguridad de la cadena de suministro es cada vez más importante debido al crecimiento del comercio global y el transporte de mercancías. Existen varias iniciativas para garantizar la seguridad, pero es necesario gestionar los sistemas de seguridad de forma integral. La norma ISO 28000 proporciona un marco para establecer un sistema de gestión de la seguridad de la cadena de suministro que cubra todo el proceso, desde la obtención de materias primas hasta la entrega al cliente. Un aspecto clave es formar a los empleados sobre
VII Seg2 - La inteligencia un requisito indispensable - EULEN Seguridad
Seguridad cadena suministro ISO28000
1. La Seguridad de la Cadena de Suministro
Septiembre de 2009
2.
La necesidad de garantizar la seguridad de la cadena de suministro, es cada vez más
evidente. En la situación actual, con una economía global y con un flujo de transporte de
mercancías en continuo crecimiento, poder garantizar la seguridad de la cadena de
suministro es imprescindible para la continuidad de las actividades económicas, y, por
tanto, para el adecuado funcionamiento y desarrollo de la sociedad.
Las amenazas a las que está expuesta la cadena de suministro tienen diferentes orígenes,
pero las que han provocado la reacción de los gobiernos y empresas son las que tienen su
origen en el terrorismo y el crimen organizado. Estas amenazas han generado una serie
de iniciativas que están dando respuestas a la necesidad de garantizar la seguridad de la
cadena de suministros.
Una de estas iniciativas es C‐TPAT, (Customs‐Trade Partnership Against Terrorisme),
Aduanas y Socios de Negocios contra el Terrorismo, se trata de una iniciativa conjunta del
Gobierno de los EE.UU. y de las empresas del sector, cuyo objetivo es construir relaciones
de cooperación comercial que refuercen y mejoren la seguridad de la cadenas de
suministro transfronterizas.
Por su parte, la Unión Europea ha creado la figura del Operador Económico Autorizado
para hacer frente a los riesgos de esta índole a los que se enfrentan los países miembros,
ya que para ello es necesario que, además de efectuar los controles aduaneros
tradicionales, se incremente el papel de las aduanas en materia de seguridad de la cadena
logística internacional. No sólo con el objetivo de luchar contra la amenaza terrorista, sino
también para colaborar en la lucha contra el crimen organizado, y en la defensa de los
ciudadanos frente a otros peligros, como por ejemplo, los existentes en el ámbito de la
protección a los consumidores o del medio ambiente.
Hay otras iniciativas, tanto de organismos públicos como la Organización Mundial de
Aduanas, como de asociaciones privadas como TAPA, Asociación para la Protección de
Activos Transportados. TAPA es un foro en el que los principales fabricantes, los
proveedores logísticos, las empresas de transportes, agencias gubernamentales y cuerpos
Página 2 de 7
3.
de policía, junto con otras partes interesadas, colaboran con el objetivo, de reducir las
pérdidas que se producen por falta de seguridad en la cadena logística y de distribución.
Estas iniciativas cubren parte de las necesidades de seguridad de la Cadena de Suministro,
pero no son suficientes ya que en su implantación no incluyen la necesidad de gestionar
las medidas de seguridad que proponen. La madurez de estas propuestas pasa por dar un
paso más y gestionar los diferentes sistemas y opciones de seguridad que formulan. Por
este motivo, ha surgido con fuerza la opción de implantar un Sistema de Gestión de la
Seguridad de la Cadena de Suministro, que cumpla los requisitos que establece la norma
ISO‐28000:2007.
La ISO‐28000 es una norma de gestión de alto nivel que permite a una organización
establecer un sistema de gestión global de la seguridad de la cadena de suministro,
definida como el conjunto relacionado de recursos y procesos que comienza con la
provisión de materias primas y se extiende hasta la entrega de productos o servicios al
usuario final a través de los medios de transporte.
Desde el punto de vista metodológico, la norma sigue el círculo de Deming, el ciclo PDCA
(Plan, Check, Do, Act). Sin embargo cabe destacar que el enfoque utilizado ya no es él
basado en procesos del sistema de gestión (al estilo de la ISO 9001:2000), sino que se
trata de un enfoque basado en la evaluación del riesgo.
El análisis y la definición de los escenarios de riesgo, es una de las tareas críticas en la
definición e implantación del Sistema de Gestión de la Seguridad de la Cadena de
Suministro, de este análisis, tal como establece la norma, se debe obtener la información
necesaria para:
• Establecer los objetivos y las metas para la gestión de la seguridad.
• Establecer los programas de gestión de la seguridad.
• La determinación de los requisitos para el diseño, la especificación y la
implantación.
Página 3 de 7
4. • La identificación de los recursos necesarios.
• La identificación de las necesidades de formación y las habilidades.
• El desarrollo de los controles operacionales.
• El marco de trabajo para la gestión de los riesgos globales de la organización.
Para ello es necesario que el análisis de riesgos contenga los siguientes elementos:
• Objetivos de Seguridad de la organización.
• Características físicas de las instalaciones.
• Características de los sistemas, funciones, procesos, protocolos y dependencias
internas y externas.
• Identificación de activos críticos y no críticos.
• Definición de los escenarios de amenazas y sus consecuencias.
• Análisis de las vulnerabilidades de los sistemas, funciones, procesos, protocolos y
dependencias internas y externas.
• Evaluación de las medidas implantadas y de sus dependencias internas y externas.
• Evaluación de la efectividad de las estrategias de seguridad, la organización y la
operación de seguridad.
• Evaluación de las medidas propuestas y su relación coste beneficio.
• Identificación de las vulnerabilidades residuales, los riesgos aceptables y las
medidas compensatorias.
• Informe de resultados, plan de acción priorizado y estimaciones de tiempo y
presupuesto.
Por otra parte, hay que tener en cuenta que uno de los factores clave en la implantación,
control y gestión de un sistema de seguridad de la cadena de suministro es la
comunicación a las partes que lo integran, personas u organizaciones, de los objetivos y
responsabilidades que se derivan de las actividades que realizan.
Página 4 de 7
5.
La correcta gestión de la seguridad en una organización, sea cual sea el marco o estándar
en el que esté basada, depende en un porcentaje muy alto de la concienciación y los
conocimientos que posea el personal en cuanto a sus responsabilidades en seguridad, y a
las políticas, los procedimientos y las prácticas de la organización relativas a la seguridad.
Y no sólo de estas normas de actuación, sino que también es necesario que el personal
involucrado en la operativa diaria conozca adecuadamente las contramedidas utilizadas
para proteger todos los activos patrimoniales utilizados durante el desarrollo de sus
actividades.
El factor humano, y no el tecnológico, suele ser el eslabón más débil en la cadena de la
seguridad corporativa. Por más políticas, procedimientos y controles tecnológicos que se
implanten, sin la adecuada implicación del personal en la seguridad, se estará perdiendo
la mayor parte de la eficacia de las medidas implantadas.
Esta consideración queda patente en la ISO 28000 cuando indica que la organización debe
asegurarse de que todos los miembros del personal con responsabilidades específicas en
el sistema de gestión de la seguridad de la cadena de suministro estén debidamente
cualificados y capacitados para realizar sus funciones. De acuerdo con esto, la
organización debe:
• Identificar la experiencia requerida por el personal que interviene en la gestión de
la seguridad de la cadena de sumnisitro.
• Proporcionar una formación apropiada y, si es necesario, contratar personal
experto para esa tarea.
• Evaluar la eficiencia de la formación proporcionada y de las acciones tomadas.
• Llevar un registro de la formación y de los programas de formación seguidos por
cada empleado así como de sus habilidades, experiencia y calificaciones.
Página 5 de 7
6.
Los empleados tienen que entender y respetar las buenas prácticas de seguridad de la
cadena de suministro, ya que ellos constituyen la contramedida más barata contra las
violaciones de seguridad.
Normalmente, son los primeros en verse afectados por los incidentes de seguridad, de ahí
que la concienciación de los empleados en las implicaciones de los problemas de
seguridad pueda ayudar a prevenir y disminuir el impacto de los incidentes cuando
ocurren.
Es necesario destacar, que la ISO 28000 se ha desarrollado como respuesta a la necesidad
de las industrias del transporte y de la logística de disponer de un estándar común de
gestión de la seguridad, con el objetivo principal de mejorar la seguridad global de las
cadenas de suministro. De ahí, que sea el único sistema de gestión que contempla la
seguridad de la cadena de suministro de forma global: Se trata de un verdadero Sistema
de Gestión de Seguridad, plenamente compatible e integrable con otros estándares,
como ISO 9001, ISO‐27001 y ISO‐14001, y otros programas de seguridad, tanto
obligatorios como discrecionales, como C‐TPAT, OEA y TAPA.
Un Sistema de Gestión de Seguridad, implantado según la norma ISO 28000, permite
evaluar y gestionar los riesgos, aplicando los controles necesarios para minimizar la
probabilidad de materialización de las amenazas, y disminuir el impacto en la cadena de
suministro, en el caso de que se materialicen las amenazas.
La adopción de la norma ISO‐28000:2007, por parte de la industria del transporte y de
logística, para mejorar la seguridad de la cadena de suministro está proporcionando
beneficios significativos a estas organizaciones, ayudándoles a evaluar los riesgos y a
aplicar los controles de seguridad necesarios con el objetivo de lograr una eficaz gestión
de la seguridad ante las amenazas a las que esta expuesta la cadena de suministro.
Permitiendo a las organizaciones que se han certificado:
Página 6 de 7
7. • Mejorar la productividad del sistema logístico, así como reducir el número de
inspecciones en los controles y aduanas.
• Mejorar los tiempos de entrega de las mercancías, logrando acrecentar los niveles
de satisfacción de los clientes y agentes.
• Posibilitar el uso de un sistema de gestión de la seguridad como una herramienta
competitiva y diferenciadora, desde el momento que se comunica su implantación
a clientes, autoridades e inversores.
• Garantizar que se llevan a cabo operaciones para el control de los riesgos y la
implantación de medidas que los mitiguen.
• Certificar por una tercera parte, que el sistema de gestión de la seguridad para la
cadena de suministro de la organización se realiza bajo los estándares
internacionales establecidos en la norma ISO 28000. El cumplimiento de estos
estándares internacionales está permitiendo incrementar el nivel de servicio a los
clientes, ya que permite disminuir los tiempos en el tránsito de mercancías y en la
identificación de incidencias, tales como los robos o desperfectos.
• Aportar un valor añadido para la organización en sus operaciones comerciales,
derivado de la mejora de la administración de estas operaciones y del incremento
de los automatismos en los procesos de importación.
Es necesario que las organizaciones dejen de ver la seguridad como un gasto o como un
requisito del cliente, y pasen a tener conciencia de que la seguridad es una ventaja
competitiva y un factor de diferenciación de mercado, de forma creciente, la norma ISO‐
28000 está ayudando a realizar este cambio de mentalidad.
Página 7 de 7