josé mª zubieta guillén - logistica empresarial · sido el catalizador de distintas iniciativas...

José Mª Zubieta Guillén

Gestión de la Seguridad para la Cadena de Suministros: ISO 28000

Gestión de la Seguridad para la

Cadena de Suministros ISO 28000

José María Zubieta Guillén

Gestión de la Seguridad para

la Cadena de Suministros

ISO 28000

Reservados todos los derechos. Está prohibido, bajo las sanciones

penales y el resarcimiento civil previstos en las leyes, reproducir,

registrar o transmitir esta publicación, íntegra o parcialmente, por

cualquier sistema de recuperación y por cualquier medio, sea

mecánico, electrónico, magnético, electroóptico, por fotocopia o por

cualquier otro, sin la autorización previa por escrito de UNIR.

© José María Zubieta Guillén

© Universidad Internacional de La Rioja

Gran Vía Rey Juan Carlos I, 41

26002 Logroño – La Rioja

© Edición y composición: UNIR

Impreso en España – Printed in Spain

ÍNDICE

Capítulo 1. Sistemas de gestión de seguridad de la cadena de suministro…..……..………..…………… 1

Capítulo 2. Evaluación de los riesgos de seguridad dentro de un SGSCS....…………..……………..… 22

Sistemas de gestión de seguridad de la cadena de suministro

Capítulo 1

Capítulo 1: Sistema de gestión de seguridad de la cadena de suministro

© Universidad Internacional de La Rioja (UNIR)

1.1. Introducción

ISO 28000 nace como una respuesta reglada a los actos terroristas causantes del

perjuicio de la seguridad de la cadena de suministro internacional. Esta

situación constituía una grave amenaza no solo para el comercio internacional en sí

mismo sino al crecimiento económico mismo de los países comerciantes.

De un modo u otro todas las organizaciones confían en su cadena de suministro

como medio para garantizar su continuidad de negocio y valorar su vulnerabilidad en

caso de ver su suministro irrumpido.

Por todo ello la necesidad de asegurar la cadena de suministro constituye día a día

una actividad en auge. Motivado principalmente por la economía global y el flujo

de transporte de mercancías en continua evolución debemos ver la garantía de la

seguridad en la cadena de suministro constituye un elemento básico para la

continuidad misma de las actividades económicas de nuestra organización y llevado

esto a un estamento mayor para el adecuado funcionamiento y desarrollo de la

sociedad.

Los distintos orígenes de las amenazas a las que se ven sometidas nuestras cadenas de

suministros han obligado tanto a gobiernos como a empresas a moverse y

posicionarse dado que dichas amenazas, como bien hemos mencionado

anteriormente, tienen raíces en el terrorismo y el crimen organizado. Esto ha

sido el catalizador de distintas iniciativas que han intentado surgir como respuesta a

ésta situación.

Así nace C-TPAT, Customs-Trade Partnership Against Terrorisme, Aduanas y Socios

de Negocios contra el Terrorismo. Constituye una iniciativa conjunta del Gobierno de

los EE.UU. conjunto a empresas del sector. Su objetivo es desarrollar un refuerzo a la

seguridad de las cadenas de suministro transfronteriza a través de la cooperación

comercial.

La Unión Europea, por otro lado, ha creado la figura del operador económico

autorizado como elemento capaz de desarrollar respuesta ante los riesgos a los que

los países miembros se enfrentan.

2



Se debe a que para ello es necesario ir más allá de los controles aduaneros

preestablecidos incrementando así el papel de las aduanas en la seguridad de la

cadena logística internacional.

Con estas actuaciones se busca, más allá de minimizar el impacto de la amenaza que

supone el terrorismo, colaborar en la lucha contra el crimen organizado y

defender a los ciudadanos en un ámbito mayor tales como dar protección a los

consumidores y mejorar la protección medio ambiental.

C-TPAT y el Operador Económico Autorizado no son las únicas iniciativas

existentes. La Organización Mundial de Aduanas, así como la asociación TAPA

(Asociación para la Protección de Activos Transportados), constituye un foro en donde

se abarcan a los proveedores logísticos, agencias gubernamentales, principales

fabricantes, empresas de transporte, cuerpos del orden público y otras partes

interesadas para poder reducir las pérdidas en la cadena logística y de distribución.

A través de estas iniciativas se busca cubrir ciertas necesidades de seguridad en la

cadena de suministro. Pero identificar medidas y comités no es suficiente;

debemos gestionar. De este modo cobra fuerza la imagen de una gestión basada en un

estándar internacionalmente reconocido como lo es ISO 28000 que nos permite

realizar un sistema de gestión global de la seguridad de la cadena de suministros.

Al desarrollar este estándar, las empresas de logística y trasporte han encontrado un

arma para englobar la gestión de seguridad de modo que son capaces de

mejorar la seguridad global de las cadenas de suministro. Constituye un sistema de

gestión integrable con otros estándares tales como: ISO 9001, 14001, 27001, etc. así

como con otros programas, tanto obligatorias como voluntarias, tales como: C-TPAT,

OEA y TAPA.

Aquellas organizaciones capaces de ver la seguridad no como un gasto sino como un

valor añadido para su organización consiguen despuntar en el mercado como

una organización con una nueva ventaja competitiva y una mayor diferenciación en el

mercado.

3



La implantación de la norma ISO 28000 en la organización revierte los siguientes

beneficios:

Garantía de una sistemática de operaciones orientadas al control de los riesgos

así como la implantación de medidas para su mitigación.

Optimización de los procesos de la organización con la consecuente mejora de

costes, seguridad, eficacia, etc.

Asegura el cumplimiento con los requisitos exigidos por las principales

iniciativas internacionales.

Da valor añadido a la empresa en sus operaciones comerciales.

Da a la empresa una herramienta competitiva y diferencial que puede ser

esgrimida como arma comercial ante clientes, autoridades e inversores.

Recordemos que todo lo anteriormente aprendido sobre seguridad de la información

sigue siendo válido en el ámbito de la norma ISO 28000 al ser estándares

perfectamente integrables.

La norma ISO 28000, tal como ella misma indica, es aplicable a organizaciones de

cualquier tamaño y tipo en la fabricación, servicio, almacenaje o transporte en

cualquier etapa de la cadena de producción o suministro.

4



1.2. Elementos necesarios para la implementación de la norma

ISO 28000

Bajo la cláusula 4 de la norma descansa la obligatoriedad de establecer, documentar,

implementar, mantener y mejorar un sistema de gestión de seguridad que

puede ayudar a la organización a cumplir con los requisitos, leyes y regulaciones

sobre seguridad.

Tanto el detalle como la complejidad aplicada al sistema de gestión, así como la

cantidad de documentación desarrollada, recursos asignados dependerá tanto del

tamaño como la complejidad de la compañía así como de la naturaleza de sus

actividades.

Al igual que ocurre con la norma ISO 27001 no existe obligatoriedad de

implementar la norma 28000 a toda la organización si bien es cierto que, para su

certificación, debe estar bajo su alcance alguna de sus actividades principales.

A la hora de elegir el alcance de la norma deberíamos integrar dentro del mismo las

actividades principales de la organización así como el resto de actividades críticas

requeridas para su funcionamiento o bien actividades que puedan afectar a la seguridad

de empleados y/o partes interesadas.

Política de Seguridad según ISO 28000

Constituye la sub cláusula 4.2 de la norma. Constituye una declaración clara del

compromiso de la alta dirección en materia de seguridad. Marca las tanto las

directrices como los principios en dicha materia para la Organización. Determina

los objetivos globales en materia de seguridad así como su responsabilidad a lo largo

de la empresa.

La política de seguridad de la organización puede incluir información crítica o

clave para la organización por lo que suele ser habitual publicar una segunda política

general resumen de la anterior que pueda hacerse pública.

5



Las entradas típicas para una política de estas características son:

El resto de políticas u objetivos de la organización críticas para su negocio.

Actividades tanto pasadas como presentes en materia de seguridad de la empresa.

Necesidades de los grupos de interés de la compañía: Accionistas, clientes, etc.

Oportunidades de mejora para la organización.

Recursos a comprometer para su consecución.

Contribución de los empleados, contratistas y terceros.

La alta dirección, para una formular y comunicar una Política de Seguridad

eficazmente, debería:

Adecuarla a la naturaleza y los riesgos de seguridad de la organización

mediante una identificación de amenazas, evaluación y gestión del riesgo como

núcleo de gestión del sistema de seguridad.

Manifestar un compromiso con la mejora continua: Vinculándolo con las

responsabilidades legales, nacionales, regulatorias así como cualquier pauta

adicional de aplicación por la organización para la mejora del desempeño en materia

de seguridad de la cadena de suministro. Esto debería hacerse eco a su vez a través

de los objetivos de seguridad y gestionarse conforme el programa de gestión de

seguridad.

Incluir un compromiso para dar, al menos, conformidad a las regulaciones

aplicables y requisitos adicionales contemplados por la organización en materia de

seguridad. Por ejemplo el marco normativo WCO SAFE.

Documentar, implementar y mantener. La eficacia de la política de seguridad

radica en su documentación y revisión periódica para la ajustarse a las nuevas

necesidades de la organización en materia de seguridad.

Comunicarse a todos los empleados: Los empleados deben participar y

comprometerse activamente con la seguridad. Deben ser conscientes de los efectos

sobre la seguridad de la compañía así como su propio trabajo que tienen sus

acciones.

6



Estar disponible: Cualquier grupo de interés debería ser capaz de consultar la

política activamente para el correcto desempeño de su actividad. Ya sea interno o

externo. De ahí la idea de la «doble política» anteriormente expuesta.

Revisarse periódicamente: Debe adaptarse a los cambios técnicos,

reglamentarios, de requisitos de negocio, etc. de la organización. La política de

seguridad constituye un documento vivo y por tanto su actualización resulta

indispensable.

Evaluación de riesgos

Dado que el próximo capítulo constituye un análisis pormenorizado sobre cómo

implementar en una organización un método de evaluación de riesgos no nos

extenderemos más en este apartado.

Cumplimiento legal y reglamentario

La organización debe ser consciente del modo en que la normativa legal así como el

resto de reglamentación aplicable afecta a su actividad y comunicar, dichos

requisitos, al personal oportuno.

La cláusula 4.3.2 ampara dicho requisito. Bajo esta cláusula buscamos implementar

el conocimiento y la comprensión de las responsabilidades heredadas por las

leyes y reglamentos.

Debemos desarrollar un procedimiento para lo cual podríamos emplear las siguientes

elementos a considerar:

Detalles de la cadena de suministro de la organización.

Resultados de las amenazas identificadas, la evaluación y gestión del riesgo.

Buenas prácticas.

Requisitos legales, asociaciones de comercio, etc.

Listado de fuentes de información.

Normas de aplicación.

Requisitos de los grupos de interés.

Procesos para el desempeño de la cadena de suministro.

7



Una vez identificados los objetivos de nuestro procedimiento podemos definir los

medios de tratamiento de la información tales como los soportes. Otra práctica

habitual es definir los accesos a la misma.

Nuestro procedimiento debería ser capaz de establecer la implementación de

controles adecuados para la nueva legislación y reglamentación de seguridad cuando

aparezca.

Objetivos desarrollados para la gestión de la seguridad de la cadena de

suministro

Cubierto por la sub cláusula 4.3.3 se describe cómo han de establecerse los

objetivos de la empresa asociados a esta norma.

Los objetivos de seguridad deben estar alineados con la política de seguridad de la

compañía. Los objetivos deben ser medibles y emplearse allí donde sea necesario

para la organización.

Para la organización establecer objetivos debemos tener en consideración:

Políticas y objetivos generales de la organización. Líneas claves de actuación,

líneas estratégicas, etc.

Política de seguridad así como el compromiso con la mejora continua.

Resultados de las amenazas de seguridad, evaluación y gestión de riesgo.

Requisitos tanto legales como reglamentarios

Tecnología aplicable a la cadena de suministro.

Requisitos financieros, operacionales y comerciales.

Requisitos de los grupos de interés y los empleados.

Retroinformación del sistema de gestión, evaluaciones y actividades de mejora

del lugar del trabajo.

Análisis de objetivos anteriores.

Acciones correctivas y preventivas previas. Incidentes y no conformidades.

Resultado de la revisión por la dirección.

Como podemos apreciar la norma ISO 28000 establece una sinergia que perdura a

través de sus apartados. Al establecer un ciclo de gestión basado en el PDCA las salidas

de un proceso constituyen entradas del siguiente.

8



Tras ello deberíamos ser capaces de identificar, establecer y priorizar los

objetivos de seguridad. Para ello debemos considerar cuantas fuentes de

retroinformación podamos. Muchas veces la gestión de incidencias al dar soporte a

tratamiento con terceros aporta un gran valor añadido a éste respecto.

La evolución de los objetivos de gestión de la seguridad de la cadena de suministro

deberían ser revisados periódicamente para analizar tanto su evolución como su

validez.

Los objetivos de seguridad deberían englobar:

o Seguridad Corporativa: Objetivos de alto nivel para la compañía.

o Objetivos Específico: De más bajo nivel y más cercano a la actividad in situ.

Los objetivos de seguridad corporativa suelen ir vinculados a planes que por tiempo

e inversión suelen retrasarse su implementación y suelen incluir políticas generales

de la corporación. Los objetivos específicos son mucho más cercanos a la

actividad como, por ejemplo, la disminución de incidencias relativas a un evento de

seguridad.

Cada objetivo debería tener asociado indicadores cuando corresponda. La evolución de

los indicadores será el semáforo que marque la evolución de dichos objetivos. Los

objetivos deben ser razonables y alcanzables tanto en su consecución como en su

monitorización. Deben encontrarse planificados.

Dependiendo del tamaño de la organización, los objetivos, se descompondrán en

metas. Deberíamos identificar la interconectividad existente entre las metas y los

objetivos de seguridad.

Se deben comunicar los objetivos al personal de la organización y ser parte de los

programas de gestión de la misma.

Metas

Amparado en la cláusula 4.3.4 de la norma se definen los requisitos a emplear por

el sistema de gestión para su definición e implementación.

9



Constituyen métricas parciales para el análisis de la implementación y evolución de

los objetivos dentro de una horquilla temporal. Las entradas que deberían considerar

las metas de la organización son los mismos que constituyen para los objetivos.

Las metas siempre deberán ser alcanzables al igual que los objetivos a los que están

asociados. Los programas de seguridad deberían incidir en las metas a aplicar así como

en el método de implementación y medición a emplear. Deben ser específicas,

medibles y estar siempre planificadas bajo un horizonte temporal.

Debemos estar atentos a la retroinformación específica de las metas, esto es, estar

atentos a cuanta información tal como incidentes de actividades sobre las que incide

directamente la meta. Debido a la relación causa- efecto establecida entre

objetivos y metas debemos valorar la información obtenida de las metas para valorar

los objetivos. Puede ser que a tenor de los datos obtenidos de las metas descubramos

fallos en la planificación de los objetivos.

Cuando analicemos las metas, necesariamente, deberíamos analizar los objetivos a los

que están asociados. Al modificar una meta debemos valorar el efecto potencial que

ocasionará sobre el objetivo.

Deberemos definir indicadores oportunos para cada meta de seguridad. Cada

indicador debe mostrarnos un seguimiento veraz de la implementación de las metas.

Deberíamos definir un período de tiempo en el que alcanzar la meta. Debemos

comunicar las metas al personal oportuno como parte de la información referida a

sus funciones y responsabilidades.

Programas

Constituyen la relación establecida entre metas y objetivos. Cada programa describe el

modo en que la organización materializará tanto sus objetivos como sus

compromisos de su política en acciones claras para conseguir la consecución tanto de

metas como objetivos de seguridad.

Los programas implicarán el desarrollo de estrategias y planes de acción a

desarrollar. Todo ello debe estar documentado y comunicado.

10



Debe haber un seguimiento, registro y revisión de los programas desarrollados.

Deben considerar en los resultados establecidos por las amenazas, riesgos

identificados y la evaluación de riesgo.

Las entradas a aplicar a los programas serían:

Los objetivos y metas de seguridad.

Requisitos legales y reglamentarios.

Amenazas, evaluación y gestión del riesgo.

Actividades de la organización.

Actividades de supervisión y mejora del lugar de trabajo.

Nuevas tecnologías aplicables al negocio.

Mejora continua.

Recursos disponibles para la obtención de los objetivos.

Para implementar el programa debemos establecer:

o Responsabilidades para lograr los objetivos.

o Medios para lograr los objetivos.

o Espacio temporal para lograr los objetivos.

Debemos considerar reducir las amenazas a través del desarrollo e

implementación de soluciones procedimentadas y/o tecnológicas así como analizar qué

han hecho empresas de similar naturaleza en situaciones similares. Para ello debemos

considerar las limitaciones financieras, operacionales y comerciales de la

organización así como los límites establecidos por los grupos de interés de nuestra

compañía.

La planificación de tareas debe realizarse de manera unitaria para cada tarea

dentro del plan identificando su responsable. Debemos asociar a cada tarea un grupo

de recursos.

El programa deberá considerar allí donde se incurra en alteraciones o

modificaciones significativas en las prácticas de trabajo, procesos, equipos o medios,

deberá identificar la amenaza para la seguridad que ello supone y evaluar su riesgo.

Debe analizar los cambios esperados.

11



Autoridades y responsabilidades

Desarrollado a través de la sub cláusula 4.4.1 de la norma se definen los requisitos para

establecer y mantener la estructura necesaria en cuanto a responsabilidades.

Para realizar una gestión de seguridad en la cadena de suministro es necesario definir,

documentar y comunicar los roles y responsabilidades del personal que afecte a dicha

seguridad.

En aquellas tareas críticas de seguridad deberíamos emplear solo personal propio de

seguridad y dotarles de los recursos necesarios para su ejecución.

Debemos considerar para la definición de roles y responsabilidades:

Estructura de la compañía.

Resultados de los riesgos identificados, evaluados y controlados.

Metas, objetivos y programas de seguridad.


Descripción de las actividades de la organización.

Personas identificadas como personal de seguridad que necesiten o hayan recibido

autorización para el desempeño de actividades de seguridad.

Debemos definir las responsabilidades de todo el personal que afecten al sistema

de gestión de seguridad. En dichas definiciones debemos dejar claros los límites de

cada puesto de trabajo.

Recordemos que la seguridad es responsabilidad de todos. Idea que debe ser

comunicada, mantenida y publicada a todos los niveles de la organización así

como formar parte de las obligaciones de los perfiles de la compañía.

La alta dirección debería recibir la responsabilidad de la definición de la Política de

seguridad de la organización y la responsabilidad de que se implante el sistema de

gestión de la seguridad. Deberíamos definir a tal efecto las funciones y

responsabilidades del representante de la dirección.

El representante de la gestión de la seguridad debería ser responsable de la

implementación y documentación del sistema de gestión de la seguridad. Debe

ser responsable de mantener el acceso por parte de la alta dirección al mismo.

12



También debe ser apoyado por el resto de la estructura para las actividades de

seguimiento y mejora en materia de seguridad. Debería informar de la evolución de los

objetivos y participar de las revisiones de dicho sistema de gestión.

Para documentar los roles y responsabilidades de la organización podemos

definirlos en los siguientes documentos:

Manual del sistema de gestión.

Procedimientos y descripciones de actividades.

Formación de bienvenida.

Perfiles de RRHH

Típicamente se generan perfiles para todos los ámbitos de gestión de la

organización, no sólo seguridad, se implementan a través de un procedimiento de

RRHH y se comunican conforme a la formación de bienvenida.

Los roles y responsabilidades que afecten a la seguridad de la organización deben

comunicarse a los afectados, indistintamente del documento oficial, tanto para

externos como para internos.

Recursos

La dirección deber garantizar los recursos adecuados para operar las actividades

referentes a la seguridad en la cadena de suministro. Esto incluye:

Equipos.

Recursos humanos

Formación.

Deben ser suficientes para desarrollar no solo las actividades in situ de seguridad sino

los programas asociados incluyendo tanto su medición como la supervisión del

desempeño.

Podemos comparar los resultados de las mediciones con los logros obtenidos como

una medida parcial del desempeño de la organización.

13



Compromiso de la dirección

La dirección de la empresa, con la gerencia como uno de sus máximos exponentes, debe

demostrar un claro compromiso con la seguridad. Para ello la revisión por la

dirección es una medida probatoria pero no la única posibilidad a implementar.

La implicación de la dirección en el análisis del desempeño de la empresa así como

personarse en los emplazamientos de la misma pueden ser unas buenas prácticas

que den resultados en cuanto a la mejora no solo de la seguridad sino del desempeño

general de la compañía.

Formación y competencias

La formación en materia de seguridad es una de las actividades con mayor

controversia en los sistemas de gestión de seguridad. A través de la sub cláusula 4.4.2

de la norma se describe los requisitos para dotar formación al personal de la compañía

en materia de seguridad.

Como hemos hablado con anterioridad no hay nada más peligroso que la

desinformación. La frase más típica ante un problema es «yo no sabía...» Pero ISO

28000 favorece la implementación de sistemáticas capaces de asegurar la

competencia del personal en materia de seguridad así como la obligatoriedad de

mostrar consciencia de los riesgos de seguridad a los que se ven potencialmente

afectados.

Para la definición de un proceso correcto de formación, más allá de lo anteriormente

expuesto, deberíamos considerar:

Modos para identificar de forma periódica la toma de conciencia y

competencias de cada perfil en materia de seguridad.

Modos para identificar y solucionar las deficiencias de formación del personal de

la organización en materia de seguridad.

Dar la formación necesaria del modo correcto con la periodicidad adecuada.

Evaluar a las personas de modo que podamos asegurarnos el conocimiento que

han adquirido, su competencia así como su mantenimiento.

Mantener cuantos registros sean necesarios de la formación y competencia del

personal de la organización.

14



Debería determinarse un plan de formación y sensibilización para la organización de

modo que podamos, de forma continuada, informar y formar al personal de:

o Conciencia de los riesgos y amenazas de seguridad.

o Roles y responsabilidades en materia de seguridad.

o Formación continua para las actividades desarrolladas por cada individuo.

o Formación en materia de seguridad que afecte a su puesto.

o Formación en sus competencias dentro del sistema de gestión de seguridad

dentro de la cadena de suministro.

o Formación para personal externo.

o Protocolos de actuación ante amenazas y riesgos.

Comunicación

Como se ha visto anteriormente a lo largo de este capítulo la organización debe

comunicar de forma adecuada la información oportuna al personal adecuado

todo ello se recoge a través de la sub cláusula 4.4.3 de la citada norma.

A la hora de establecer los procedimientos de información la organización debe

considerar los elementos de los que informar:

Política y objetivos de seguridad.

Documentación del sistema de gestión de seguridad.

Identificación de riesgos de seguridad, evaluación de riesgos y procedimientos de

control de riesgo.

Roles y responsabilidades del personal en materia de seguridad.

Consultas formales de seguridad.

Planificación de formación.

Información oportuna adicional; reglamentaria, legal, de grupos de interés, etc.

Sería conveniente la implementación de un procedimiento documentado y/o

protocolo de comunicación entre las partes de forma que la organización pueda

transmitir estos datos tanto dentro como fuera de la misma según sea oportuno.

De este modo la organización podrá obtener una retroalimentación a través de las

consultas realizadas en materia de seguridad por parte tanto de personal interno como

externo.

15



Requisitos para la documentación del sistema de gestión de seguridad de la

cadena de suministro

Al igual que otros sistemas de gestión, ISO 28000, a través de su sub cláusula 4.4.4

establece los requisitos para establecer la documentación del sistema de gestión.

Debemos mantener la documentación que afecte a la gestión de la seguridad

actualizada para asegurarnos que podemos desempeñar sus actividades

eficazmente.

Cabe considerar para ello los detalles específicos desarrollados a través de la

documentación e información desarrollado para el cumplimiento de la presente

norma como de normas complementarias.

Además, también es importante considerar los roles y responsabilidades de su

personal y los soportes sobre los que disponer la información para su gestión así

como las reglas de operación a ellos impuestas para su uso.

Primeramente debemos considerar toda la documentación a desarrollar en este

sistema de gestión. Después deberíamos determinar el soporte en el que la vamos a

trabajar, custodiar, preservar, acceder y distribuir así como su clasificación.

Según su clasificación determinaremos los permisos para su consulta, acceso,

modificación y distribución. No olvidemos los requisitos de seguridad derivados del

soporte en el que se encuentre; no es lo mismo documentación en soporte papel a

soporte informático.

Tenemos considerar siempre las amenazas a las que se ve sometida nuestra

documentación. Asociado a este requisito nos encontramos la sub cláusula 4.4.5 donde

se estipula el control para los documentos y los datos del estándar.

Hay que tener en cuenta que todos los documentos y registros con información crítica

para el sistema de gestión deberían estar identificados y controlados.

Los procedimientos escritos deberían describir el modo en que se identifican,

aprueban, se accede y eliminan o bien recopilan una regla general que aplique a

todos ellos en un procedimiento formal.

16



La documentación y los registros deben preservarse. Deben estar accesibles

para quien disponga de permisos suficientes.

Control operacional de la organización bajo la norma ISO 28000

Amparado en la sub cláusula 4.4.6, la organización, debe determinar el modo en que va

tanto a establecer como a mantener sus operaciones y actividades para alcanzar los

elementos dispuestos conforme a 4.4.6 a, b, c, d, e, f que no son sino un resumen de

los puntos principales ya identificados durante el desarrollo del capítulo.

Deberíamos definir procedimientos para el control de los riesgos identificados,

documentar dichos riesgos, los fallos asociados, así como los impactos sobre la

organización; incidentes, emergencias, no conformidades contra políticas y objetivos de

seguridad.

Los procedimientos de gestión del riesgo deberían ser revisados periódicamente

para comprobar que se encuentran actualizados y eficaces. Las actuaciones

identificadas como necesarias por los procedimientos de gestión del riesgo deberían

implementarse.

Dichos procedimientos deberían considerar las situaciones en las que se afectan a

terceros, o a su información, como parte de la cadena de suministro. Ejemplo:

Outsourcing o bodyshopping.

Estos procedimientos son transversales a la organización y forman parte de la actividad

de la misma como complemento para la garantía de la seguridad de la cadena

de suministro.

Respuesta ante emergencia y vuelta a la seguridad

Dicha respuesta se identifica bajo la sub cláusula 4.4.7 de la norma. Incluye los planes,

acciones preventivas y preparaciones a realizar para actuar caso de desatarse una

catástrofe.

17



Un esquema clásico se encuentra en el capítulo anterior y, al igual que el resto de

información dispuesta en capítulos anteriores, sigue mostrando validez para dar

respuesta a dichos requisitos.

Verificación y acción correctiva

Requisito dispuesto conforme a la sub cláusula 4.5 ISO 28000. Debemos identificar

indicadores clave relacionados con el desempeño del sistema de gestión para

observar si:

Tanto la política como los objetivos de seguridad se logran y mantienen

eficazmente.

Las amenazas se encuentran bajo control o cercanas a estarlo debido a las

medidas preventivas aplicadas eficazmente.

Se está realizando una mejora eficaz a partir de los fallos conocidos de la

organización en materia de seguridad.

La planificación de formación se está llevando a cabo.

Se está captando información veraz para el análisis de la mejora del sistema de

gestión.

El análisis del sistema de seguridad de la organización debería ser:

o Proactivo: Verificar la concordancia con las actividades de seguridad de la

organización.

o Reactivo: Investigar, analizar y registrar fallos en el sistema de gestión de

seguridad.

Para realizar las mediciones emplearemos:

o Resultados de la identificación, evaluación y control de riesgos.

o Inspecciones periódicas del sistema de gestión.

o Inspecciones de seguridad.

o Evaluación de nuevos sistemas de logística para la cadena de suministro.

o Revisión y evaluación de modelos estadísticos.

o Estado de inspección del equipo de seguridad.

o Disponibilidad y efectividad del personal de seguridad.

o Evaluación de la aptitud de los trabajadores para la seguridad.

o Análisis de documentación y registros.

o Benchmarking de otras organizaciones similares.

o Retroalimentación de grupos de interés.

18



Una vez identificado los elementos a los que vamos a realizar el seguimiento

deberíamos indicar los responsables, duración del seguimiento y recursos a

comprometer. Sería conveniente documentar un procedimiento de calibración

para los equipos de calibración y medida; integrable plenamente con ISO 9001.

Deberíamos realizar una calibración con trazabilidad ENAC para garantizarnos la

fiabilidad de la misma y un mantenimiento tanto correctivo como preventivo

para los equipos de medición.

Deberíamos identificar el estado de calibración de los equipos de medida,

especialmente los que se encuentren sin calibración, así como el período de validez

de la calibración.

Deberíamos documentar la revisión los planes de gestión de seguridad de modo

que podamos evidenciar la capacidad de la empresa para el cumplimiento de su

política, metas y objetivos.

Como se ha mencionado con anterioridad los requisitos legales deben ser

revisados periódicamente para analizar su repercusión sobre la seguridad de la

cadena de suministro y la organización.

Debemos asegurar que los planes y procedimientos de seguridad se mantienen

actualizados y alineados tanto con los requisitos como con las necesidades de la

organización.

Como parte de la revisión de los planes y procedimientos de seguridad debemos tomar

en consideración los incidentes detectados, evaluación y control del riesgo,

informes de auditoría, revisión por la dirección, objetivos, así como los cambios

detectados en la legislación vigente. Las condiciones de trabajo deberán ser una

entrada adicional para estas revisiones.

A través del análisis y revisión del sistema de gestión seremos capaces de:

Mejora en los procesos y actividades de la organización.

Disminución de no conformidades.

Mejora en el cumplimiento legal.

Identificación de amenazas, evaluación y registros de riesgos eficaces.

19



Evidencia de la evaluación de la eficacia así como acciones correctivas y

preventivas.

Deberíamos desarrollar procedimientos para informar, evaluar e investigar las

emergencias, incidentes de seguridad así como las no conformidades detectadas

para prevenir que vuelvan a ocurrir.

Los procedimientos deberían describir el criterio para la detección, análisis y

eliminación de sus causas. Igualmente debería aplicar a la detección y eliminación

de efectos dañinos potenciales a través de las acciones preventivas.

Dicho procedimiento debería dictaminar los criterios a aplicar para la catalogación

de las acciones, su conservación y custodia.

Los registros de la organización deben ser capaces de demostrar la conformidad de

la actividad de la misma con los requisitos establecidos en la presente norma. Los

registros deberían ser mantenidos, estar debidamente identificados y ser

legibles.

Deberíamos describir los métodos para la conservación, acceso y custodia de los

registros, en especial, para los registros que contengan información crítica para el

sistema de gestión.

Debemos definir los tiempos de conservación para los registros del sistema de

gestión así como los requisitos reglamentarios, caso de haber alguno, que les afecten.

Debería definirse el método de protección para los registros críticos de la

organización.

Hacer mención que, como todos los sistemas de gestión, ISO 28000 establece la

auditoría interna como herramienta de gestión. Dado que con anterioridad

hemos dedicado, a las auditorías, tiempo suficiente al respecto no incidiremos más en

la materia en el presente capítulo.

Mejora continua y revisión por la dirección

Bajo la sub cláusula 4.6 de la norma se dictaminan los requisitos para la revisión

por la dirección y, por extensión, mejora continua del sistema.

20



Algunos de los elementos que conviene analizar en la revisión por la dirección para su

buen desarrollo sería:

Resultados de las auditorías del sistema de gestión.

Acciones correctivas y preventivas en el presente ejercicio.

Resultados de los simulacros de seguridad y de los planes de continuidad.

Información sobre indicadores, objetivos, metas y planes de seguridad.

Informes sobre amenazas, riesgos y su gestión.

Efectividad de las medidas implementadas en el sistema.

Resultados de las métricas.

Revisiones por la dirección anteriores.

Informes sobre la compañía en materia de seguridad tanto internos como

externos.

Una revisión eficaz del sistema de gestión ayuda a garantizar la continuidad del

mismo así como que su efectividad perdure en el tiempo.

21

Evaluación de los riesgos de seguridad dentro de un SGSCS

Capítulo 2

Capítulo 2: Evaluación de los riesgos de seguridad de un SGSCS


2.1. Introducción

A través de la sub cláusula 4.3 de la norma se establecen los requisitos para la

implementación de una evaluación y planificación de los riesgos de la seguridad

dentro de un SGSCS.

El problema, dentro del requisito, es la indefinición de un método concreto para

su implantación; dejando solo un grupo de directrices como timón al que aferrarse para

su desarrollo.

Esto constituye un problema claro, de indefinición, pero una gran ventaja pues

nos permite adaptar nuestro método de evaluación de riesgos a nuestra

organización. Existen precedentes similares donde podemos observar casos parecidos:

ISO 14001, ISO 27001, etc.

La norma ISO 28000, como todas las normas de gestión, recordamos dispone de un

grado elevado dentro de su trazabilidad interna. Esto significa que los puntos de

la norma están interconectados entre sí. Su efecto, sobre la evaluación de riesgos, es

total pues es una actividad que resulta el corazón de la norma.

2.2. Finalidad

Nuestra empresa implementa una evaluación de los riesgos de seguridad dentro de un

SGSCS para obtener una visión de todos los riesgos de seguridad significativos,

las amenazas y vulnerabilidades asociadas. Para ello emplearemos los procesos

de identificación de amenazas, evaluación y gestión del riesgo.

Recordemos que para todo sistema de seguridad, incluido 27001, la identificación de

amenazas, la evaluación y gestión de los riesgos resultan procesos vitales.

Deberíamos identificar la relación entre dichos procesos, entradas y salidas, para

definir el modo en que interactuarán dentro del sistema de gestión.

Deberíamos definir también los modos de interacción entre el resto de sistema de

gestión y los procesos anteriormente descritos. Una vez identificada la amenaza a la

seguridad serán los procesos de evaluación y gestión del riesgo los que dictaminen

23



si la actuación sobre ella realizada es suficiente. Estos procesos constituyen una base

para la continuidad de negocio, de hecho, deberían constituir una entrada para la

misma.

Dada la importancia para la organización, los procesos de identificación de amenazas,

evaluación y gestión de los riesgos, deben ver asegurada su continuidad dentro de la

organización. La organización debería documentar el modo en que los revisará,

actualizará, tomará en consideración y alimentará con información de interés para los

mismos.

Tal y como hemos visto al inicio del apartado la norma nos deja campo abierto para la

definición de los procesos de identificación de la amenaza, evaluación y gestión

del riesgo para adecuarnos, así, al tamaño de la organización, ubicación, naturaleza de

su actividad, complejidad, etc.

Cabe pensar que la norma, en su concepción, está diseñada para todo tipo de

organizaciones independientemente del tamaño y actividad de modo que no puede

encorsetar en exceso dichos procesos. Dichos procesos deberían valorar tanto

económicamente como en tiempo los trabajos de ellos derivados.

La legislación aplicable así como otros reglamentos empleados por la organización

constituye una valiosa información de entrada para estos procesos. Deberíamos

considerar el nivel de control efectivo que podemos llegar a desempeñar sobre las

amenazas identificables. No siempre podremos eliminar en su totalidad una amenaza.

La valoración de amenazas debería considerar la organización en su conjunto,

actividades que desarrolla, etc. debemos recordar que, si bien el alcance puede aplicar

solo a una parte de la organización, las amenazas a nuestro ámbito de gestión pueden

llegar de actividades ajenas que se desarrollen en la empresa.

Deberíamos documentar la metodología empleada para la evaluación de riesgo de

modo que podamos asegurar su repetitividad, mantenimiento y

perdurabilidad en el tiempo.

Los encargados de liderar la evaluación de riesgo deberían ser personas calificadas

en materia de seguridad y versados en estas herramientas.

24



Podemos realizar una evaluación inicial para analizar el estado de la organización y, así,

obtener una comparativa clara del avance de la organización conforme

implementemos medidas. Dentro de la revisión inicial deberíamos considerar:


Amenazas de seguridad identificadas.

Información obtenida de cuerpos de seguridad.

Análisis de las prácticas que realiza la empresa, a fecha actual, en materia de

seguridad.

Histórico de incidentes de seguridad de la organización.

Una vez realizada la evaluación inicial procedemos a enumerar los pasos a seguir

para la realización de una evaluación de riesgos en una SGSCS.

2.3. Paso 1: Identificación del alcance de la evaluación de la

seguridad

Debemos asegurarnos que el alcance de la evaluación abraza las actividades

desarrolladas por la organización. Dicho alcance debe evaluarse periódicamente y

revisar también el plan de seguridad cuando proceda. Podemos hacernos eco de

estas evaluaciones a través de la revisión por la dirección.

El alcance debe cubrir:

Sistema de información.

Documentos.

Redes que afecten a la manipulación y movimiento de bienes mientras se

encuentren bajo custodia de la organización.

Acuerdos de seguridad.

25



2.4. Paso 2: Personal a cargo de la evaluación

La persona al cargo de la evaluación, recordamos, debería poseer destrezas y/o

conocimientos en los siguientes puntos:

Técnicas de evaluación de riesgos: Para así poder aplicarlos a la cadena de

suministro de inicio a fin de la misma.

Aplicación de medidas para mantener la confidencialidad de la información

de la compañía.

Las operaciones realizadas en las actividades de envío, trasporte, personal, etc.

aplicables en la cadena de suministro por la organización.

Amenazas de seguridad y metodologías para su tratamiento.

ISO 28000.

Deberíamos registrar el responsable o los responsables de la evaluación de riesgos

así como el grupo de personas que colaboran con ella. Una buena idea, al igual que en

ISO 27001, es constituir un comité de seguridad multidisciplinar para tareas

como esta.

En él deberíamos, al menos, contar con personal con capacidad de decisión de la

compañía así como personal con capacidad de aprobar presupuestos, personal de

los departamentos económico/financiero, para agilizar las medidas en ellas detectadas.

2.5. Paso 3: Evaluación

Debemos definir, implementar y mantener un método de evaluación para

identificar las acciones a emplear para actuar sobre las amenazas detectadas.

Debemos realizar una identificación de escenarios bajo amenazas; es decir, debemos

identificar las vulnerabilidades sobre las que operan estas amenazas y sus efectos

potenciales.

Para cada escenario debemos evaluar la probabilidad y las consecuencias de cada

escenario identificado. Deberemos implementar medidas hasta que el escenario

definido quede bajo control.

26



Deberíamos documentarlo, para asegurar su repetitividad y que perdure en el

tiempo, lo siguiente:

Situaciones bajo amenaza consideradas.

Métodos de evaluación de amenazas empleados.

Soluciones propuestas identificadas.

Para la identificación de amenazas deberíamos considerar si existe algún tipo de

amenaza del emplazamiento específico donde se desarrolla una actividad. Son

puntos clave para este análisis:

o Ubicación de procesado de producto previo a su preparación para el transporte.

o Punto de preparación de pedidos.

o Puntos de almacenaje de productos.

o Transporte de productos.

o Puntos de carga y descarga de pedidos.

o Puntos donde exista un cambio de custodia en la cadena de suministro.

o Puntos donde se desarrolle documentación relativa al producto transportado.

o Rutas de transporte.

o Puntos en los que terceros participan en la cadena de suministro.

o Puntos donde terceros tengan acceso a información referente a la cadena de

suministro y/o producto suministrado.

Pero antes de nada retomemos el orden. Es muy importante la identificación de

amenazas pero para una correcta identificación debemos efectuar los pasos

correctos dentro de la evaluación de riesgos:

o Listar todas las actividades identificadas bajo el alcance de la evaluación de

riesgos.

o Identificar los controles de seguridad ya existentes en la organización.

o Identificar las situaciones/escenarios de amenazas a la seguridad.

Una vez identificadas las actividades así como los controles pre existentes que afecten a

la seguridad en la organización damos paso a la identificación de escenarios.

27



Identificación de escenarios de amenazas a la seguridad

Algunos ejemplos son:

Tomar el control de los medios de transporte de la carga dentro de la cadena de

suministro.

Uso de la cadena de suministro con fines ajenos a los preestablecidos.

Manipulación de la información.

Daño de la integridad de la carga.

Uso no autorizado de los activos de la organización.

Intercepción del envío.

Desvío del envío de la ruta preestablecida.

Avería.

Filtrado de información.

Acceso por personal no autorizado a la carga.

Para una correcta evaluación de riesgo debemos considerar los siguientes aspectos

condicionantes dentro de la misma:

Accesos de la organización: Tanto físicos como lógicos, tanto a la cadena de

suministro como a la información a ella referida.

Medios de transporte: Los que empleamos bajo uso habitual y aquellos que

empleemos de forma esporádica en situación de emergencia. Incluir también a los

subcontratistas.

Fallos en el tratamiento de la carga: En la preparación del pedido, carga,

movimiento, descarga, etc.

Medio por el que circulará el transporte.

Inspecciones a realizar en la cadena de suministro.

Empleados: Formación y capacitación para el desempeño de sus tareas.

Comunicación: Tanto interna como externa. La desinformación constituye una

amenaza clara.

Actualización de la documentación en vigor en los puntos de aplicación.

Tratamiento de la información adecuado para aquella información referente a,

o, de aplicación a la cadena de suministro.

Una vez hecho esto debemos proceder a la evaluación de las consecuencias. La

evaluación de consecuencias debería considerar desde la pérdida de vidas a la pérdida

económica potencial. Una clasificación habitual de las consecuencias a aplicar a

28



cada incidente es la de alto, medio o bajo. Deberíamos documentar el criterio de

clasificación para asegurarnos la homogeneidad de aplicación del método.

Debemos tener cuidado con el método en los límites de valores. Es decir, en la

medida de lo posible, deberemos identificar unívocamente las situaciones a clasificar

cada uno para evitar dudas en la aplicación del criterio.

La horquilla para cada uno de los valores debe ser suficiente para la organización

según su tipo, tamaño y complejidad de tareas pero, a su vez, para la gestión.

Deberían resulta tales que la organización pueda realizar una gestión adecuada

permitiendo tener cabida a todos los eventos detectados.

Podemos realizar un cruce entre consecuencia y probabilidad para establecer un

criterio de actuación o priorización de medidas. Un ejemplo sería:

“Matriz de priorización de

actuación”

Gravedad consecuencia

Alta Media Baja

Probabilidad

amenaza

Alta Alta Alta Media

Media Alta Media Baja

Baja Media Baja Baja

En el criterio presentado para la priorización de actuaciones se pretende que,

aquellas amenazas, con probabilidad alta se acometan lo antes posible salvo que su

consecuencia sea baja.

Se ha combinado con el criterio de actuación sobre consecuencias con gravedad alta

salvo que la probabilidad sea baja. Al combinar criterios lo que conseguimos es

priorizar la actuación sobre las amenazas de mayor probabilidad y mantener bajo

control aquellas con peores consecuencias para la organización. Esto, en sí mismo,

ya es gestionar los riesgos.

29



La aceptabilidad es la cantidad de perjuicio está dispuesto a soportar la

organización bajo ciertas circunstancias. Un ejemplo de clasificación de

consecuencias sería:

Valor Consecuencia

Alto

Fallecimiento

Daño en activos críticos para las actividades de la organización

Destrucción de un gran área de un ecosistema

Medio

Mutilación e incapacidad total

Daño en activos no críticos para actividades de la organización

Daño a largo plazo en un ecosistema

Bajo

Incapacidad temporal

Leve perjuicio sobre activos no críticos para actividades de la

organización

Daño leve al ecosistema

Al clasificar los incidentes de seguridad potenciales hay que considerar el tipo de

medidas a aplicar en la cadena de suministro. Las medidas pueden ser de todo tipo:

Físicas.

Operacionales: Que afectan a la actividad.

Documentación.

Tecnológicas.

Un criterio a aplicar para la clasificación de los incidentes de seguridad son:

Probabilidad Efectividad de las medidas

Alta Las medidas implementadas para el control de la amenaza resultan

inexistentes o insuficientes.

Media Las medidas implementadas para el control de la amenaza resulta

potencialmente ineficaz.

Baja Las medidas implementadas para el control de la amenaza resulta

eficaz.

30



Deberíamos documentar el criterio de aplicación para cada criterio. Una vez

identificadas la cuantía de acciones a realizar para el control o eliminación de una

amenaza, sus consecuencias o probabilidad, debemos proceder a su definición.

El objetivo es llegar a unos escenarios bajo control en los que podamos operar el

sistema de gestión en la cadena de suministro de modo controlado. De este modo

podremos operar de un modo ordenado nuestra cadena de suministro sabiendo a qué

atenernos.

Al implementar las acciones buscamos mantener la actividad bajo control. Las acciones

a implementar pueden operar bajo los siguientes criterios:

Actuar sobre la situación problemática: Podemos afectar a la probabilidad, a

la amenaza o al impacto que ejerce sobre la organización. Para ello

dispondremos de medidas de contención o protocolos de actuación.

Transferir el riesgo: Podemos realizar subcontrataciones o bien actuar sobre

las que ya disponemos para transferirles el riesgo. No obstante debemos considerar

el riesgo potencial al que incurrimos por el hecho de hacerlo ya que, recordemos, se

puede delegar la actividad pero nunca la responsabilidad.

Cese: Si el riesgo excede el riesgo asumible por la organización y, esta, dictamina

que el coste, tanto en medios económicos como humanos y/o tiempo, es excesivo es

posible que la conclusión lógica sea el cese de la actividad problemática.

Una de las opciones que puede tomar la organización es decidir no actuar un riesgo.

Debemos documentar la decisión tomada y ser consciente de los efectos potenciales

a los que nos vemos sometidos.

Llegados a este punto debemos implementar las contramedidas. Estas

contramedidas, expresadas como acciones correctivas y/o preventivas, deberían llevar

un plan de acción asociado. El plan de acción debería llevar, como vimos

anteriormente, una descripción de los principales hitos, responsables, recursos

destinados (incluidos económicos y tiempo del personal) para una eficaz implantación.

Nuestras contramedidas modificarán la operatividad de la organización. Bien

poniendo barreras físicas, bien por cambios en los trabajos realizados, bien por

cambios en las rutas, etc. de modo que deberán ser aprobadas por la dirección.

31



Cuando estemos en disposición de implementar una contramedida debemos valorar

el impacto que va a generar sobre el resto de actividades de la organización.

Deberíamos valorar la eficacia de la contramedida. Para ello sería conveniente,

dentro de su descripción, incluir la descripción de los controles que se le van a aplicar

para su medida de eficacia. Esto se puede resumir en:

Responsable del control

Duración de la medición.

Criterio de eficacia. Valores esperados obtener de la medición.

Si la contramedida resultase insuficiente en su control y/o valoración o se estima en

una primera aproximación falta de efectividad deberemos imponer cuantas medidas

estimemos oportunas para disponer de la situación bajo control.

Estas operaciones se repetirán a lo largo de todos los escenarios descritos hasta

disponer de ellos bajo control.

Recordemos que el proceso de evaluación es un proceso continuo. Esto significa que

deberemos realizar un control continuado para la supervisión de la eficacia de las

medidas implantadas así como una nueva evaluación de los escenarios cuando sea

necesario. Típicamente se revisa al menos una vez al año.

Los motivos que llevan a una re evaluación de un escenario son:

Cambios significativos de operación.

Cambios significativos de personal.

Cambios significativos de la legislación aplicable.

Cambios de significativos en las rutas de transporte.

Cambios significativos en las externalizaciones.

Aplicación de nuevas tecnologías al proceso productivo.

Reducción de recursos a comprometer para el desarrollo de la actividad.

32



2.6. Métodos cuantitativos vs métodos cualitativos de

evaluación.

Como hemos visto hemos desarrollado la explicación específica desarrollando matrices

de decisión y priorización conforme a criterios cualitativos.

Una de las opciones es realizar las valoraciones conforme medios cuantitativos. Así

lo que se pretende es ganar cierto grado de objetividad. Para ello desarrollaremos

fórmulas de cálculo. Por ejemplo:

Riesgo=Probabilidad Amenaza x Impacto Amenaza

De este modo podemos identificar el riesgo asumido por la organización y realizar

una comparativa numérica contra los valores de riesgo. Es un método más directo

pero perdemos la apreciación subjetiva.

Al realizar las nuevas valoraciones siempre podemos desarrollar el método numérico

ganando así objetividad al poder comparar valores concretos y no abstractos. Al

añadir una dimensión más, la numérica, nos vemos forzados a elaborar escalas de

valores.

El problema de las escalas es su tamaño. Las escalas iniciales para la gestión deberían

presentar valores enteros: uno, dos, tres, cuatro, etc. con no más de cuatro valores.

De esta forma podemos centrar mucho la valoración. Por ejemplo:

Numérico Significado

1 Poco

2 Bastante

3 Mucho

Este es el punto en el que conviven ambos métodos. Es, quizás, la forma más simple

de explicar el método de valoración en una primera instancia. De esta manera, las

valoraciones se muestran siempre acotadas. Además, resulta, que si

implementamos la fórmula de riesgo anteriormente mostrada los valores del riesgo van

de uno a nueve.

33



Tenemos que pensar que es algo bastante gráfico. Por nuestra educación estamos muy

acostumbrados, prácticamente todos, a asociar valoraciones numéricas iguales o

menores a diez.

Valoración de riesgo

Probabilidad Impacto Riesgo Numérico Valoración

1 1 1 Riesgo Bajo

2 1 2 Riesgo Bajo

3 1 3 Riesgo Bajo

1 2 4 Riesgo Medio

2 2 5 Riesgo Medio

3 2 6 Riesgo Medio

1 3 7 Riesgo Alto

2 3 8 Riesgo Alto

3 3 9 Riesgo Alto

La valoración cuantitativa no es necesaria pero en muchos casos conveniente por

su orientación. Si ponemos un riesgo asumido con valor de, por ejemplo seis,

actuaremos sobre los valores emplazados entre siete y nueve. Es algo que, de haber

realizado una valoración cualitativa, no dispondríamos la sutileza para la gestión.

Lo bueno de la evaluación cuantitativa es que siempre podemos variar los rangos

asociados a las medidas. Primer año de uno a tres, siguiente de uno a cinco, etc. según

vayamos necesitando de mayor detalle para ganar exactitud al proceso de

evaluación de riesgo.

Realicemos un ejemplo de valoración de eficacia. Supongamos un riesgo asumido con

valor seis en un escenario con la fórmula de cálculo de riesgo anteriormente expuesta:

Riesgo ¿Desarrollar medida? Descripción medida Nuevo valor de riesgo

4 No

6 No

8 Sí ACP01-2012 6

7 Sí ACP02-2012 6

3 No

34



Este podría ser un extracto de una valoración de riesgo donde sea necesaria la

implementación de una medida. En la descripción de la medida podemos hacer la

referencia, como es el caso, a una codificación de acción correctiva o preventiva

en la que se describa la actuación.

La descripción de las acciones en las que se describiría los eventos sería, por ejemplo,

como sigue:

Tipo Acción Correctiva Codificación AC01-2012

Responsable Resp. Seguridad Fecha 16/10/2012

Descripción de la acción problemática:

Se ha encontrado un valor de riesgo excesivo para la amenaza "falta de formación del personal en materia de seguridad" dentro del escenario "gestión de la planificación de la cadena de suministro"

Causa de la acción problemática:

No se había identificado la necesidad formativa.

Actuación

Hito Responsable Fecha Seguimiento

Planificación formación

Resp. RRHH 25/10/2012 Cumplimiento plazo

Planificación Sensibilización seguridad anual


Selección formador Resp. RRHH 25/10/2012 Cumplimiento plazo

Selección grupos formación


Realizar formación Resp. Seguridad 30/10/2012 Evaluación formación

Evaluación formación

Resp. RRHH 3/11/2012 % Formación conforme >90%

Seguimiento

Control Responsable Recursos Tiempo uso

control

Cumplimientos de plazo

Resp. Seguridad Planificador de tareas de la organización y 1 h Resp. Seguridad

Medida única

% Eficacia >90% Resp. RRHH 1 h Resp. RRHH Medida anual, revisión con la formación anual sensibilización

Eficacia de la Acción* Alta Firma responsable Rsp. Seguridad

Media Baja

35



* Marcar la eficacia de la acción desarrollada con una X. Alta, media o baja

Ahora, por último, a modo de ejemplo para ordenar todo lo expuesto durante este

capítulo diseñaremos un ejemplo de procedimiento documentado para la

evaluación de riesgos de seguridad dentro de un SGSCS.

Como siempre, al ser un ejemplo, no dispondrá de todas las sutilezas de un

procedimiento más riguroso pero bien podría ser una buena base para la

implementación en una organización.

Ejemplo:

Codificación: P01_Procedimiento_Evaluación_Riesgos_SGSCS Revisión: 0

Objeto: Descripción de un procedimiento documentado para la identificación de

amenazas, evaluación de riesgos y su gestión.

Alcance: A todas las actividades de la organización dentro del alcance marco del

SGSCS.

Referencia normativa: ISO 28000, sub cláusula 4.3.1

Clasificación de la información: Restringida

Editado por: Revisado por: Aprobado por:

Resp. Seguridad Gerencia Gerencia

Cambios en el documento

Cambio Fecha

Creación del documento 16/10/2012

Responsabilidades

Responsabilidad seguridad: Coordinar e implantar el método de evaluación de

riesgos dentro de su alcance.

Comité de seguridad: Identificar las amenazas y escenarios para el SGSCS dentro

del alcance marcado, evaluar su probabilidad e impacto para el mismo, determinar

36



las acciones a tomar y evaluar el riesgo para la organización de dichas amenazas en

los escenarios marcados.

Dirección: Definir y aprobar el riesgo asumido por la organización.

Toda la organización: Colaborar en la detección de amenazas, incidentes de

seguridad, implantación del SGSC y acciones a tomar.

Desarrollo

En vista del alcance del presente documento, el Comité de seguridad, identificará los

flujos generados como parte del alcance. Dentro de dichos flujos se determinará desde

el inicio de la actividad hasta la entrega del producto en las instalaciones del

cliente. Esta operación se realizará para tantas actividades como se vean contemplado

en el alcance marco del sistema de gestión.

Dentro de cada actividad se enumerarán las sub actividades desarrolladas dentro

de la misma, esto es, todas aquellas actividades dentro del troncal vitales para su

consecución. Por ejemplo:

Actividad: Producción, distribución y entrega de Cable ARJ.

Producción.

Preparación de pedido.

Expedición.

Ruta.

Entrega.

Para cada actividad, el responsable de seguridad, identificará los controles de seguridad

existentes: barreras físicas, contratos de confidencialidad, etc.

Coordinado por el responsable de seguridad se identificará, para el SGSC, por parte

del Comité de seguridad, los escenarios de amenazas para la seguridad y el modo en

que aplica a la organización. Se listarán de la forma expuesta en el siguiente ejemplo:

Actividad Escenario Amenaza

Producción, distribución y

entrega Cable ARJ Integridad de la carga

Manipulación indebida por

parte de personal no

autorizado.

37



Una vez identificados, para cada actividad, los escenarios con sus respectivas amenazas,

el Comité de seguridad, coordinado por el responsable de seguridad, evalúan las

consecuencias de cada amenaza. Para ello aplicarán el siguiente criterio.

Valor Consecuencia

Alto

Fallecimiento

Daño en activos críticos para las actividades de la organización

Destrucción de un gran área de un ecosistema

Medio

Mutilación e incapacidad total

Daño en activos no críticos para actividades de la organización

Daño a largo plazo en un ecosistema

Bajo

Incapacidad temporal

Leve perjuicio sobre activos no críticos para actividades de la

organización

Daño leve al ecosistema

A cada valor se le asignará un numérico, de uno a tres, siendo uno el valor «bajo» y tres

el valor «Alto».

Una vez clasificadas las consecuencias, el Comité de seguridad, se encargará de

clasificar la probabilidad de los incidentes de seguridad. Para ello valorará el valor

de eficacia de las medidas aportadas por el responsable de seguridad. De este modo el

criterio a seguir, condicionado por las medidas aplicadas, sería:

Probabilidad Efectividad de las medidas

Alta Las medidas implementadas para el control de la amenaza resultan

inexistentes o insuficientes.

Media Las medidas implementadas para el control de la amenaza resulta

potencialmente ineficaz.

Baja Las medidas implementadas para el control de la amenaza resulta

eficaz.

A cada valor se le asignará un numérico, de uno a tres, siendo uno el valor «bajo» y tres

el valor «Alto».

38



De este modo tendremos un listado tal que:

Actividad Escenario Amenaza Consecuencia Probabilidad

Producción,

distribución y

entrega Cable

ARJ

Integridad de

la carga

Manipulación

indebida por

parte de

personal no

autorizado.

2 2

La organización ha establecido como fórmula de cálculo para el riesgo derivado

de dichos escenarios:

Riesgo = Consecuencia x Probabilidad

De este modo calcularemos todos los riesgos para todas las amenazas incluidas en cada

escenario de cada actividad.

Una vez obtenidos los valores y tras reflexionar sobre los requisitos legales de

aplicación, política de gestión, indicadores establecidos, elementos estratégicos de

aplicación, futuras líneas de negocio a desarrollar se valora la validez de los

resultados obtenidos y se procede a definir el riesgo asumido por la organización.

Dirección, aprobará en última instancia, el riesgo asumido.

Todo este proceso será documentado en un acta de reunión con las conclusiones

establecidas así como los criterios aplicados para identificar el riesgo asumido así como

para las acciones a desempeñar por parte de la organización.

Para el tratamiento de los riesgos a tratar se agruparán las acciones a tomar y, para

cada grupo, se desarrollará una acción correctiva y/o preventiva indicando, en

cada caso, la resolución a tomar con el riesgo a tratar:

Tratar el riesgo.

Transferir el riesgo.

Terminar con la actividad.

39



En el caso de asumir valores de riesgo el comité de seguridad, dentro del acta,

documentará los riesgos asumidos, escenarios, amenazas, probabilidad y

consecuencia así como el motivo por el cual, en vista de los datos prestados, se opta por

asumir el riesgo. En caso de asumir riesgos, de forma adicional, se notificará

expresamente a gerencia a través de un comunicado formal.

En las acciones tomadas habrán sido consensuados, por parte del comité de

seguridad, los plazos de implementación de las medidas así como sus

responsables y controles que les son de aplicación.

Conforme venzan los plazos para las fases de implantación de la medida, el responsable

de cada plazo, se reunirá con el responsable de seguridad con quien, bajo acta de

reunión, explicará el estado de implantación de la medida junto con los

problemas que haya podido encontrar en la implantación de su fase.

Una vez acabadas las fases el responsable de seguridad valorará la eficacia de la

medida. Tras ello se volverá a reunir el responsable de seguridad con el comité de

seguridad para la re evaluación de los puntos, ahora, bajo las medidas

implantadas. Si se detectase alguna evaluación deficiente se identificarán e

implementarán nuevas medidas.

El comité de seguridad conjunto y el responsable de seguridad se reunirán para repetir

la evaluación del riesgo con periodicidad anual. Todo ello será justificado y

argumentado bajo acta de reunión con fecha, identificación de participantes, motivo

de reunión, conclusiones y firma de los mismos.

Dichas reuniones pueden presentar una periodicidad extraordinaria caso de

presentarse uno de los siguientes eventos:

Cambios significativos de operación.

Cambios significativos de personal.

Cambios significativos de la legislación aplicable.

Cambios de significativos en las rutas de transporte.

Cambios significativos en las externalizaciones.

Aplicación de nuevas tecnologías al proceso productivo.

Reducción de recursos a comprometer para el desarrollo de la actividad.

Incidencias repetitivas asociadas a un escenario.

40



Problemas repetitivos asociados a un escenario.

Nuevas actividades dentro del ámbito.

Fallos críticos de actividad detectados.

41

josé mª zubieta guillén - logistica empresarial · sido el catalizador de distintas iniciativas...

Documents