Análisis de Riesgos CTPAT - OEA - iso 31000
REQUISITO OEA: La empresa debe establecer medidas para identificar, analizar y mitigar los riesgos de seguridad dentro de la cadena de suministros y en sus instalaciones. Por lo anterior, debe desarrollar un proceso por escrito para determinar riesgos con base en el modelo de su organización (ejemplo: ubicación de las instalaciones, tipo de mercancías y país de origen, volumen, clientes, proveedores, rutas, contratación de personal, clasificación y manejo de documentos, tecnología de la información, amenazas potenciales, etc.), que le permita implementar y mantener medidas de seguridad apropiadas.
El procedimiento para identificar riesgos en la cadena de suministro y sus instalaciones deberá contemplar el proceso de apreciación y gestión del riesgo, e incluir los siguientes aspectos:
- Establecimiento de un contexto (cultural, político, legal, económico, geográfico, social, etc.).
- Identificación de los riesgos en su cadena de suministros y sus instalaciones.
- Análisis del riesgo (causas, consecuencias, probabilidades y controles existentes para determinar el nivel de riesgo como “alto”, “medio” y “bajo”).
- Evaluación del riesgo (toma de decisiones para determinar los riesgos a tratar y prioridad para implementar el tratamiento).
- Tratamiento del riesgo (aplicación de alternativas para cambiar la probabilidad de que los riesgos ocurran).
- Seguimiento y revisión del riesgo (monitoreo de los resultados del análisis de riesgo y verificación de la eficacia de su tratamiento).
Este procedimiento debe actualizarse por lo menos una vez al año, de manera que permita identificar de forma permanente otros riesgos o amenazas que se consideren en su operación y en la cadena de suministros, por el resultado de algún incidente de seguridad o cuando se originen por cambios en las condiciones iniciales de la empresa, así como para identificar que las políticas, procedimientos y otros mecanismos de control y seguridad se estén cumpliendo.
Cuando se encuentren inconsistencias, la empresa deberá comunicarlo a su socio comercial y proporcionar un período justificado para atender las observaciones identificadas o, en caso contrario, tener las medidas necesarias para sancionarla.
El programa OEA recomienda utilizar las técnicas de administración, gestión y evaluación de riesgos de acuerdo a las normas internacionales ISO 31000, ISO 31010 e ISO 28000 que, de acuerdo a su modelo de negocio deban implementar.
REQUISITO CTPAT: La amenaza continua de grupos terroristas y organizaciones delictivas dirigida a las cadenas de suministro enfatiza la necesidad de que los miembros evalúen la exposición real y potencial a estas amenazas en desarrollo. CTPAT reconoce que cuando una empresa tiene múltiples cadenas de suministro con diferentes socios empresariales, enfrenta una mayor complejidad para asegurar esas cadenas de suministros. Cuando una empresa cuenta con varias cadenas de suministro, se debería enfocar en áreas geográficas o cadenas de suministro que tengan un mayor riesgo.
Al determinar el riesgo dentro de sus cadenas de suministro, los miembros deben considerar varios factores como el modelo comercial, la ubicación geográfica de los proveedores y otros aspectos que pueden ser exclusivos a una cadena de suministro específica.
“Análisis de Riesgos en 5 Pasos” recomendada por el programa CTPAT Customs Trade Partnership Against Terrorism de la aduana de Estados Unidos. La cual contempla:
- El análisis del flujo de la carga e identificación de socios comerciales y sus procesos: Trazando el flujo de la mercancía e identificando a los socios comerciales (contratados directa o indirectamente).
- El análisis de amenazas del entorno: Realizando un análisis de riesgos enfocado en terrorismo, contrabando de materiales ilícitos, contrabando de personas, crimen organizado, condiciones en un país/región que puedan aumentar el riesgo de tales amenazas, y clasificar el riesgo.
- Análisis de vulnerabilidades: Calificación del riesgo en la organización, realizando un análisis de vulnerabilidad con los requisitos de CTPAT & OEA, de acuerdo con los Criterios para el análisis de Riesgo establecidos en el paso numero 5.
- Plan de Acción y seguimiento: La generación de un plan de trabajo y acciones correctivas.
- Documentación del proceso: Criterios para el análisis de riesgos.
CTPAT define al riesgo como: La medida del daño potencial de un evento no deseado. Abarca la amenaza, la vulnerabilidad y la consecuencia. Lo que determina el nivel de riesgo es qué tan probable es que una amenaza tenga lugar. Una alta probabilidad de que ocurra un incidente por lo general será equivalente a un nivel de riesgo alto. Puede ser que el riesgo no se elimine, pero se puede mitigar al gestionarlo, mediante la reducción de la vulnerabilidad o el impacto general en la empresa.
En 3PP ponemos a su disposición los siguientes servicios dirigidos al cumplimiento de requisitos para el análisis de Riesgos para cumplimiento de Normas ISO, CTPAT & OEA, que incluyen todas las etapas para la Gestión de Riesgos:
- Identificación y análisis de vulnerabilidades.
- Análisis del contexto interno y externo.
- Evaluación, calificación y ponderación de riesgos.
- Diseño de planes de acción.
- Seguimiento puntual y personalizado.
- Planes de contingencia para la continuidad de operaciones.
- Análisis de Riesgos en 5 Pasos requerido por CTPAT.
- Análisis de Riesgos de acuerdo a las normas internacionales ISO 31000, ISO 31010 e ISO 28000, requerido por OEA.