Análisis de Riesgos CTPAT - OEA - iso 31000
REQUISITO OEA:
La empresa debe establecer medidas para identificar, analizar y mitigar los riesgos de seguridad dentro de la cadena de suministros y en sus instalaciones. Por lo anterior, debe desarrollar un proceso por escrito para determinar riesgos con base en el modelo de su organización (ejemplo: ubicación de las instalaciones, tipo de mercancías y país de origen, volumen, clientes, proveedores, rutas, contratación de personal, clasificación y manejo de documentos, Tecnología de la Información, amenazas potenciales, etcétera), que le permita implementar y mantener medidas de seguridad apropiadas. Con base en lo anterior, la empresa también debe tener un proceso escrito basado en su análisis de riesgo para seleccionar nuevos socios comerciales y monitorear a los socios con los que ya se encuentra trabajando.
Este procedimiento debe actualizarse por lo menos una vez al año, de manera que permita identificar de forma permanente otros riesgos o amenazas que se consideren en su operación y en la cadena de suministros, por el resultado de algún incidente de seguridad o cuando se originen por cambios en las condiciones iniciales de la empresa, así como para identificar que las políticas, procedimientos y otros mecanismos de control y seguridad se estén cumpliendo. Es importante señalar, que el Comité de Seguridad de la compañía debe de participar en la elaboración y actualización del análisis de riesgo, así como en el mantenimiento del Programa Operador Económico Autorizado.
El procedimiento para identificar riesgos en la cadena de suministro y sus instalaciones deberá contemplar el proceso de apreciación y gestión del riesgo, e incluir los siguientes aspectos:
- Establecimiento de un contexto (cultural, político, legal, económico, geográfico, social, etc.).
- Identificación de los riesgos en su cadena de suministros y sus instalaciones.
- Análisis del riesgo (causas, consecuencias, probabilidades y controles existentes para determinar el nivel de riesgo como “alto”, “medio” y “bajo”).
- Evaluación del riesgo (toma de decisiones para determinar los riesgos a tratar y prioridad para implementar el tratamiento).
- Tratamiento del riesgo (aplicación de alternativas para cambiar la probabilidad de que los riesgos ocurran).
- Seguimiento y revisión del riesgo (monitoreo de los resultados del análisis de riesgo y verificación de la eficacia de su tratamiento).
En el 2023 el programa OEA actualizo los perfiles de seguridad incluyendo nuevos requisitos, en donde se hace mención, que para construir un programa sólido de seguridad de la cadena de suministro, la empresa debe de contar con un Comité de Seguridad que incorpore representantes de todos los departamentos relevantes, formando un equipo multifuncional que identifique áreas de oportunidad y proponga acciones de mejora continua a lo largo de la cadena de suministro e instalaciones de la compañía. Este comité de seguridad debe estar integrado por los representantes de área que participan activamente en el programa como lo es: seguridad, compras, logistica, almacén, recursos humanos, comercio exterior, etc.
El estándar señala que el Comité de Seguridad de la compañía como parte de sus responsabilidades, debe de participar en la elaboración y actualización del análisis de riesgo, las auditorías internas, las auditorías a socios comerciales, en la elaboración del programa de capacitación, así como en el mantenimiento del Programa Operador Económico Autorizado.
Tomando en consideración lo anteriormente mencionado, en 3PP hemos diseñado un Taller Práctico de Análisis de Riesgos de Seguridad en la Cadena de Suministros basado en las normas ISO 31000, ISO 31010 e ISO 28000 de acuerdo a lo especificado en el subestándar 1.1. Análisis de Riesgos, en donde trabajamos de la mano con el Comité de Seguridad OEA para construir la matriz de riesgos, paso a paso, cubriendo todos los puntos que marca el proceso de Gestión de Riesgos y a su vez vamos desarrollando todas las evidencias necesarias para demostrar que el comité participa activamente en el análisis de riesgos y al finalizar del taller terminamos con una matriz de riesgos concluida que cumple con todo lo que exige el perfil OEA, de acuerdo al propio contexto de la organización, sus cadenas de suministro y el Comité de Seguridad se queda con el conocimiento de como llevar a cabo el análisis de riesgos, para poder explicar la matriz al auditor OEA en una visita de validación, ya que la falta de conocimiento llevaría a un hallazgo de incumplimiento por parte de la autoridad.
REQUISITO CTPAT: La amenaza continua de grupos terroristas y organizaciones delictivas dirigida a las cadenas de suministro enfatiza la necesidad de que los miembros evalúen la exposición real y potencial a estas amenazas en desarrollo. CTPAT reconoce que cuando una empresa tiene múltiples cadenas de suministro con diferentes socios empresariales, enfrenta una mayor complejidad para asegurar esas cadenas de suministros. Cuando una empresa cuenta con varias cadenas de suministro, se debería enfocar en áreas geográficas o cadenas de suministro que tengan un mayor riesgo.
Al determinar el riesgo dentro de sus cadenas de suministro, los miembros deben considerar varios factores como el modelo comercial, la ubicación geográfica de los proveedores y otros aspectos que pueden ser exclusivos a una cadena de suministro específica.
“Análisis de Riesgos en 5 Pasos” recomendada por el programa CTPAT Customs Trade Partnership Against Terrorism de la aduana de Estados Unidos. La cual contempla:
- El análisis del flujo de la carga e identificación de socios comerciales y sus procesos: Trazando el flujo de la mercancía e identificando a los socios comerciales (contratados directa o indirectamente).
- El análisis de amenazas del entorno: Realizando un análisis de riesgos enfocado en terrorismo, contrabando de materiales ilícitos, contrabando de personas, crimen organizado, condiciones en un país/región que puedan aumentar el riesgo de tales amenazas, y clasificar el riesgo.
- Análisis de vulnerabilidades: Calificación del riesgo en la organización, realizando un análisis de vulnerabilidad con los requisitos de CTPAT & OEA, de acuerdo con los Criterios para el análisis de Riesgo establecidos en el paso numero 5.
- Plan de Acción y seguimiento: La generación de un plan de trabajo y acciones correctivas.
- Documentación del proceso: Criterios para el análisis de riesgos.
CTPAT define al riesgo como: La medida del daño potencial de un evento no deseado. Abarca la amenaza, la vulnerabilidad y la consecuencia. Lo que determina el nivel de riesgo es qué tan probable es que una amenaza tenga lugar. Una alta probabilidad de que ocurra un incidente por lo general será equivalente a un nivel de riesgo alto. Puede ser que el riesgo no se elimine, pero se puede mitigar al gestionarlo, mediante la reducción de la vulnerabilidad o el impacto general en la empresa.
En 3PP ponemos a su disposición los siguientes servicios dirigidos al cumplimiento de requisitos para el análisis de Riesgos para cumplimiento de Normas ISO, CTPAT & OEA, que incluyen todas las etapas para la Gestión de Riesgos:
- Identificación y análisis de vulnerabilidades.
- Análisis del contexto interno y externo.
- Evaluación, calificación y ponderación de riesgos.
- Diseño de planes de acción.
- Seguimiento puntual y personalizado.
- Planes de contingencia para la continuidad de operaciones.
- Análisis de Riesgos en 5 Pasos requerido por CTPAT.
- Análisis de Riesgos de acuerdo a las normas internacionales ISO 31000, ISO 31010 e ISO 28000, requerido por OEA.