Para su elaboración, nos hemos referido a manuales de seguridad para el transporte de carga
editados por la Oficina de Aduanas y Protección Fronteriza de los Estados Unidos, así como
de varias páginas en Internet que abordan el tema de administración de riesgos y seguridad.
1
INDICE
Introducción 3
Objetivos 3
Alcance 3
PARTE 1
Administración de Riesgos 3
Los Principios del Éxito en la Administración y Manejo de Riesgos 4
Introducción al Proceso 6
Listas de Riesgos 7
La Lista de Riesgos Superiores 7
Lista de Riesgos Eliminados 8
Los Cinco Pasos de la Administración y Manejo de Riesgos 9
Paso 1: Identificar el Riesgo 9
Paso 2: Analizar el Riesgo 15
Paso 3: Planear la Acción del Riesgo 17
Paso 4: Realizar un Seguimiento Del Riesgo 19
Paso 5: Controlar los Riesgos 20
PARTE II
2
INTRODUCCION
La seguridad describe las medidas que previenen o detienen a intrusos antes de que accedan
a una instalación, recurso o información. Puede ser tan simple como una puerta con seguro o
tan elaborada como un Circuito Cerrado de Televisión, monitoreado externamente.
Los profesionales en todas las áreas que son responsables de procesos críticos para la misión
de la empresa, han visto cambiar su trabajo de tal manera que la administración de riesgos es
cada vez más importante. El mundo de la empresa se basa más que antes en la obtención de
información y en el movimiento de carga, lo que acrecienta el impacto de cualquier error; el
entorno de una empresa tiene más partes móviles de las que tenía, lo que aumenta la
probabilidad de que surjan problemas; cada vez es mayor el número de personas que percibe
los problemas y reacciona ante ellos, lo que crea consecuencias adicionales para el error; y
cada vez es más la infraestructura que queda fuera del control directo del responsable del área.
Al mismo tiempo, la empresa tiene menos tiempo para reaccionar y menos posibilidades de
administrar los riesgos mediante la aplicación de medidas estrictas de control de los cambios.
El crimen organizado cada día se adentra más en organizaciones lícitas por lo que el manejo
de un Sistema de Gestión en Control y Seguridad, SGCS, es a la vez más imperioso.
OBJETIVOS
· Las transacciones entre empresas dependen cada vez más de la seguridad, por lo que los
errores en cada departamento tienen más posibilidades de afectar a la empresa y de que el
impacto resulte grave.
· El entorno del negocio es cada vez más complejo, por lo que incluso en el caso de que se
mantenga el tamaño de la empresa, crece el número de puntos de errores potenciales.
· La infraestructura es cada vez mayor, por lo que la administración de la posibilidad de error
es más importante por el hecho de que se tiene menos posibilidades de reaccionar una vez
que se materializa el riesgo.
· Cuando se materializa un riesgo, el tiempo que transcurre entre esto y el impacto sobre la
empresa, es menor.
· La rapidez en el acceso a la información es cada vez más visible, por lo que aumenta el
número de personas que reaccionan negativamente ante la materialización del riesgo.
Además, la organización contará con una herramienta de fácil consulta para implementar el
SGCS.
3
ALCANCE
Estas Buenas Prácticas de Seguridad, están dirigidas a todos los niveles de la organización,
pues el tema de la seguridad es responsabilidad de cada integrante de la empresa, sea este
accionista, ejecutivo, funcionario, empleado, cliente, proveedor o visitante.
PARTE I
ADMINISTRACIÓN DE RIESGOS
Para iniciar este tema, trataremos de definir lo que es el riesgo. Para esto nos valemos de
algunas definiciones ya establecidas:
· “El suceso incierto, futuro y susceptible de ser valorado. Probabilidad de que ocurra un
evento que pueda generar lesiones físicas a las personas, daños a la propiedad y/o
alteraciones en el medio ambiente”.
Según los conceptos de ORM (Operacional Risk Management) los riesgos han sido definidos
como el proceso de tomar decisiones que puedan minimizar los efectos de pérdidas que
genera la materialización de éstos. Por eso es importante manejar, medir y sopesar sus
consecuencias para que le ayude a tomar decisiones para prevenirlo, de manera que el futuro
de la empresa dependa de su elección y no de la elección de otros. Un manejo adecuado del
riesgo permite que se generen menos pérdidas, que sea menos severo, menos frecuente y sea
más predecible.
El riesgo tiene algunos aspectos básicos que la mayoría de la gente no entiende o en los que
no piensa, pero que un modelo de administración y manejo de riesgos que quiera tener éxito ha
de reconocer. Algunos aspectos son éstos:
4
· El riesgo es una parte fundamental de las operaciones. El único entorno sin riesgo será
aquel cuyo futuro no incluya incertidumbres: el que no se pregunte si una carga llegará a
destino, o si un disco duro fallará o cuándo lo hará; quien no le importe si el transportista
conoce de medidas de seguridad; a quien no le preocupe que una enfermedad pueda dejar
con escaso personal el departamento de ventas o de servicio al cliente. Un entorno así no
existe.
· El riesgo no es bueno ni malo. Un riesgo es una posibilidad de pérdida futura y aunque
ésta pueda ser considerada como "mala", por sí mismo el riesgo no lo es. Puede ayudar a
entender que una oportunidad es la posibilidad de una ganancia futura. No hay riesgo sin
oportunidad y no hay oportunidad sin riesgo.
· El riesgo no hay que temerlo, sino administrarlo. Como el riesgo no es bueno ni malo,
no es algo que haya que evitar. Las empresas tratan los riesgos reconociendo y
minimizando la incertidumbre, y haciendo frente proactivamente a cada riesgo identificado.
Si una pérdida es un posible resultado futuro, los otros resultados posibles son ganancias,
pérdidas menores o pérdidas mayores. La administración y manejo de riesgos le permite
cambiar la situación para favorecer un resultado en lugar de otro.
· Valorar los riesgos continuamente. Significa que el empleado nunca debe dejar de
buscar riesgos nuevos, así como que hay que volver a evaluar periódicamente los riesgos
existentes. Si algo de esto no se produce, la administración y manejo de riesgos no
beneficiará a la organización.
5
· Usar una programación basada en riesgos. Mantener un entorno suele significar la
realización de cambios de manera secuencial, pero siempre que sea posible la empresa
debe abordar primero los cambios de mayor riesgo. Un ejemplo es la contratación de nuevo
personal. Si la organización va a verificar los datos de todo el personal, pero hay
empleados nuevos en áreas y posiciones críticas, esos son las primeros que hay que
verificar. Si se comprobaran en último lugar y uno de ellos es un delincuente, la empresa
habría malgastado los recursos invertidos en la verificación de los demás.
INTRODUCCIÓN AL PROCESO
Cuando las empresas utilizan una administración y manejo de riesgos proactiva, valoran los
riesgos continuamente y utilizan los resultados para tomar decisiones. La empresa va
buscando los riesgos y los trata hasta que dejan de ser importantes o hasta que se producen y
se convierten en problemas conocidos.
El diagrama siguiente ilustra los cinco pasos del proceso de administración y manejo de
riesgos: identificar, analizar, planear, hacer un seguimiento y controlar. Es importante entender
que en cada riesgo hay que recorrer todos estos pasos al menos una vez, aunque a menudo
se recorren numerosas veces. Además, cada riesgo tiene su propio marco de tiempo, por lo
que múltiples riesgos se pueden encontrar en cada paso y en cada momento.
6
LISTAS DE RIESGOS
La manera más simple de ver el proceso consiste en que los cinco pasos den información, y la
obtengan, a las tres listas de riesgos: la lista de riesgos principales, la lista de riesgos
superiores y la lista de riesgos eliminados. La comprensión de las tres listas facilita el
aprendizaje de los cinco pasos.
En cada paso del proceso, la empresa recopila información referente a un riesgo particular y la
agrega a la lista de riesgos principales. Cada paso subsiguiente se basa en los anteriores,
agregando más elementos de riesgo, o en los elementos actuales como ayuda a la toma de
decisiones. Por ejemplo, el paso de análisis inicial agrega información acerca de la probabilidad
y el impacto del riesgo. El proceso es cíclico, por lo que cada vez que se pase por la fase de
análisis se deben revisar los cálculos de probabilidad y de impacto.
La lista de riesgos principales es independiente de la tecnología. Puede ser algo tan simple
como la falta de conciencia para usar tarjetas de identificación, aunque en tal caso algunas
funciones (como la clasificación y vinculación) consumirían mucho tiempo. La lista se puede
implementar como un documento de Word o una hoja de cálculo, o puede ser tan compleja
como una aplicación de base de datos de múltiples niveles.
Todos los riesgos, son principales. Identifique cada uno por ejemplo en: transporte, empaque,
reclutamiento de personal, almacenaje, con los clientes, con los proveedores, etc. No importa
cuan importante sea visto a primera instancia el riesgo. Todos los riesgos identificados, van a la
lista de riesgos principales.
La administración y manejo de riesgos quita tiempo y esfuerzo a las actividades diarias, por lo
que es importante que la empresa equilibre la sobrecarga de administración y manejo de
riesgos con el ahorro que cabe esperar del proceso. Esto suele significar la identificación de un
número pequeño de riesgos graves que son los que merecen el tiempo y los recursos limitados
de la empresa.
7
Una forma de realizar esto es que la lista de riesgos principales tiene prioridad, pero los riesgos
que ocupan el lugar superior de la lista, los que tienen una importancia que les hace
merecedores de una administración activa, pasan a formar parte de la lista de riesgos
superiores. Son a estos a los que usted les va a dedicar su empeño.
La lista de riesgos principales contiene todos los que la empresa ha identificado, sean o no lo
bastante importantes para aparecer en la lista de riesgos superiores. Algunos de esos riesgos
no desaparecen nunca, como por ejemplo los que se relacionan con desastres naturales. Otros
llegan a un punto en el que no son ya relevantes. Por ejemplo, la empresa podría reducir a cero
la probabilidad de un riesgo X. O bien la fuente del riesgo puede desaparecer del entorno.
Siempre que un riesgo llega a ser irrelevante, se pasa de la lista de riesgos principales a la lista
de riesgos eliminados. Esta lista es una referencia histórica en la que la empresa puede volver
a basarse en el futuro. Por ejemplo, si la empresa ha realizado previamente un seguimiento de
los riesgos relacionados con los procesos de resguardo de la información, pero este proceso se
subcontrata a otra organización, podrían retirarse algunos de los riesgos relacionados con el
resguardo de información. Si la función del departamento de archivos vuelve a ser interna, la
empresa podrá basarse como guía en la lista de riesgos eliminados. Además, esta lista puede
ser consultada como punto de partida para la identificación de riesgos nuevos. Finalmente, si la
empresa rebaja a cero la probabilidad o impacto de un riesgo, las notas relativas a lo que hizo
la empresa pueden beneficiar a otros que se enfrenten a riesgos similares.
Cuando piense en eliminar riesgos, puede ser útil considerar que los riesgos tienen múltiples
instancias. Por ejemplo, una fusión de empresas introduce el riesgo de graves recortes de
personal y de presupuesto. Si la empresa sobrevive, una de las partes fusionadas puede
eliminar esa instancia de riesgo, pero la otra instancia permanece porque podrían producirse
posteriores fusiones.
Estas sugerencias se aplican a las cinco fases del modelo de administración del riesgo.
8
Tenga en cuenta que las prácticas recomendadas para administración del riesgo, hacen más
seguro un proceso, pero algunas también incrementan su complejidad.
Una práctica creciente consiste en designar agentes principales de riesgos (CRO, Chief Risk
Officers) y tener un equipo de administración y manejo de riesgos dentro de la organización
que sea independiente de la empresa. En estos casos debe ser muy clara la separación entre
las responsabilidades de la organización y las de esta empresa contratada.
A primera vista, la posición del CRO parece contradecir el principio clave de integrar la
administración y manejo de riesgos con todos los procesos. La distinción se basa en que todo
el mundo juega un papel en la administración y manejo de riesgos. Si es así, tener un papel
específico, como un CRO, centrado a tiempo completo en la administración y manejo de
riesgos puede ser muy útil, pues actuará como especialista y mentor, además de coordinar
actividades de administración y manejo de riesgos que en otro caso podrían resultar
ineficientes o incluso contradictorias.
9
En este paso, la empresa identifica los componentes del planteamiento del riesgo:
o Condición
o Consecuencias para las operaciones
o Consecuencias para la empresa
o Origen del riesgo
o Modo del error
Condición y consecuencias
Una manera intuitiva de analizar el futuro se basa en las frases del tipo "si ... entonces…". La
condición es la parte del "si", mientras las consecuencias son expresadas con el "entonces".
Por ejemplo, "si falla la única fuente de alimentación del servidor Web, entonces el sitio Web
de la organización no estará disponible".
Tenga en cuenta que entre la condición y las consecuencias puede haber una relación de
muchos a muchos. Una sola condición puede causar numerosas consecuencias:
Condición Consecuencias
Condiciones Consecuencia
10
Es importante separar la consecuencia en dos partes durante la identificación del riesgo: la
consecuencia para las operaciones y la consecuencia para la empresa. Siguiendo con el
ejemplo anterior, las consecuencias para las operaciones incluyen el costo de una fuente de
alimentación y el trabajo de instalarlo; las consecuencias para la empresa podrían incluir el
daño a la reputación de la organización y los ingresos perdidos si el sitio se utilizaba por
ejemplo para ventas electrónicas. Distinguir entre éstas es decisivo para una fase posterior del
proceso, cuando la empresa clasifica los riesgos para garantizar que los más importantes
reciban la atención que merecen, porque un riesgo puede tener muchas consecuencias para
las operaciones, pero pocas para la empresa, o viceversa.
· Las personas. Todo el mundo comete errores, por lo que incluso aunque la tecnología y
los procesos de la empresa no tengan errores, los errores humanos pueden ser un riesgo
para la empresa.
· El proceso. Los procesos con errores o mal documentados pueden ser un riesgo para la
empresa incluso aunque se sigan a la perfección.
· La tecnología. El personal puede seguir perfectamente un proceso muy bien diseñado,
pero producir errores para la empresa por problemas de hardware, software, CCTV,
códigos de barra, lectores biométricos, sensores de movimiento, etc.
· Externo. Algunos factores quedan fuera del control, pero pueden dañar la infraestructura y
provocar fallos en la empresa. Entran en esta categoría los sucesos naturales, como
terremotos e inundaciones, así como problemas generados externamente por el ser
humano, como perturbaciones civiles, ataques de virus informáticos, conspiraciones
externas y cambios en las regulaciones gubernamentales.
Hay muchas maneras de decidir la categoría a la que corresponde un riesgo, pero es más
importante definir una y mantenerla en lugar de perder tiempo buscando la forma "perfecta".
Una opción consiste en preguntar si el responsable del proceso tiene algún control sobre la
causa del riesgo. Si no es así, el origen es externo. En cuanto a los otros tres orígenes, ¿se
habría producido el problema si hubiera sido diferente la persona, el proceso o la tecnología?
Así se definiría el fallo del operador como "personal" si el empleado no prestó atención durante
el entrenamiento u olvidó la lección, o de "proceso" si el entrenamiento fue incompleto o estuvo
mal diseñado.
¿Por qué preocuparse por la fuente del riesgo? Porque afectará a la forma en que la empresa
administrará el riesgo en los pasos posteriores del proceso. Por ejemplo, la empresa tratará de
manera diferente la posibilidad de que los entrenados no presten atención y la de que los
materiales de entrenamiento sean de mala calidad.
11
Modo del error
o Costo. Los procesos pueden funcionar adecuadamente, pero con un costo demasiado alto,
produciendo una amortización de la inversión demasiado baja.
o Agilidad. Los procesos pueden funcionar adecuadamente, pero carecer de la capacidad
de cambiar con rapidez suficiente para atender a las necesidades de la empresa. Los
problemas de capacidad son el caso más evidente. Por ejemplo, alguien puede tener una
docena de camiones nuevos listos para dar servicio al incremento de necesidades de
proceso, pero olvidó que los mecánicos del mantenimiento de estos camiones estaban ya
al máximo de capacidad y no se podrá contratar a más.
o Rendimiento. Los procesos pueden no dar satisfacción a las expectativas de los usuarios
bien porque éstas eran erróneas o porque el rendimiento de la infraestructura es incorrecto.
o Seguridad. Los procesos pueden fallar por no proporcionar protección suficiente a los
recursos o por tener una seguridad tan estricta que los usuarios legítimos no tienen acceso
a los recursos.
PRÁCTICAS RECOMENDADAS
Estas prácticas recomendadas serán beneficiosas durante el paso de identificación del riesgo.
Identificación continua
Cuando una empresa adopta un modelo de administración y manejo de riesgos, el primer paso
suele ser una sesión de “lluvia de ideas para identificarlos”. Pero la identificación no termina en
esa reunión. La identificación se produce con la misma frecuencia con la que los cambios
pueden impactar en la infraestructura, es decir, se produce todos los días.
Discusiones
Las discusiones acerca de la identificación son muy importantes y una clave de su éxito está en
que se encuentren representados todos los puntos de vista relevantes, lo que incluye a quienes
tienen interés en la empresa, así como diversas partes del personal. Es una manera eficaz de
que se expongan las suposiciones y los diferentes puntos de vista.
Pensar en el riesgo es una habilidad que tarda en desarrollarse y es mucho más fácil lograrlo
en discusiones de empresa que a solas en el despacho del jefe.
12
Matriz del modo de origen
Establecer todas las condiciones posibles es un trabajo casi infinito, por no mencionar que el
gran volumen dificulta al equipo centrarse en una cosa cada vez, sobre todo durante una
sesión de “lluvia de ideas”. Una solución efectiva, y que produce beneficios en las fases
posteriores del proceso, consiste en subdividir todas las condiciones posibles en una tabla, con
una fila por cada uno de los cuatro orígenes de riesgo y una columna por cada uno de los
cuatro modos de error:
Así la empresa podrá centrarse en una celda de la tabla cada vez. Por ejemplo, los
supervisores se pueden preguntar: "¿Cómo pueden las personas de empaque cometer errores
que nos hagan realizar el trabajo correcto con un costo demasiado elevado?" O pueden
preguntarse: "¿Cómo puede nuestra tecnología no cumplir las expectativas de rendimiento del
cliente? O más específicamente, "¿cómo una mala selección de un transportista puede
incrementar la exposición a un riesgo de contaminación con drogas?"
Antes de que un equipo pueda administrar un riesgo, lo debe expresar con claridad, lo que en
la práctica puede representar un desafío mucho mayor de lo que parecía al principio:
· La expresión verbal de un riesgo suele requerir volver a pensar en lo que se daba por
supuesto acerca de una situación y volver a evaluar los elementos que son más
importantes.
· Escribir los riesgos es decisivo; sin embargo, por diversas razones, los riesgos en los que
ha pensado una persona suelen quedar atrapados en su propia mente. La empresa no
puede administrar un riesgo que no haya sido compartido.
El planteamiento del riesgo debería incluir todas las partes que aparecen en el diagrama del
ejemplo siguiente. Tenga en cuenta que la condición y las dos consecuencias reflejan
respectivamente el origen del riesgo y el modo de fallo.
13
Formulario de planteamiento del riesgo
Una forma útil de presentar la información reunida durante este paso es el formulario de
planteamiento del riesgo, que puede agregar información que será de utilidad más tarde,
durante la fase de seguimiento del riesgo. Además de las cinco partes del planteamiento del
riesgo (condición, origen del riesgo, modo de fallo, consecuencia para las operaciones,
consecuencia para la empresa), el formulario del planteamiento debería incluir lo siguiente:
14
Pistas de alta Pistas de exposición Pistas de baja
Riesgo
exposición media exposición
El impacto del riesgo mide la gravedad de los efectos adversos, o la magnitud de una pérdida,
causados por la consecuencia.
La solución más efectiva es una consecuencia numérica. Decidir la manera de estimar las
pérdidas no es un asunto trivial. La mejor solución es una escala numérica: cuanto mayor sea
el número, mayor el impacto.
15
Como regla general, la escala debería llegar al menos al tres para ofrecer una gama de valores
de exposición. Sin embargo, tenga en cuenta que cuanto más alta sea la escala, más tiempo
se empleará en elegir exactamente el número correcto, sin que de ello se derive mucha
precisión adicional.
Exposición al riesgo
Al estimar la probabilidad y el impacto suele ser útil anotar su nivel de confianza. Por ejemplo,
si un riesgo materializado puede producir una pérdida de un millón de dólares, pero la
confianza en la precisión de los datos es sólo del 20%, documéntelo así para que quienes
analicen el riesgo puedan poner ese cálculo en su perspectiva adecuada.
PRÁCTICAS RECOMENDADAS
Estas prácticas recomendadas serán beneficiosas durante el paso de análisis del riesgo.
Suele ser útil calcular aproximadamente el impacto en términos económicos, registrándose ese
cálculo junto con la estimación numérica del impacto. Si varios riesgos tienen el mismo valor de
exposición, el cálculo económico puede ayudar a determinar cuál es el más importante.
Además, los datos financieros ayudan a planear el paso para garantizar que el costo de
prevención de un riesgo sea inferior al que producirían las consecuencias.
Si decide utilizar una escala económica del impacto, lo debe hacer con todos los riesgos. Si el
impacto de un riesgo utiliza una escala numérica y el de otro una económica, no se pueden
comparar uno con otro, por lo que no hay manera de clasificarlos.
16
Realizar un análisis del impacto sobre la empresa
Realice un análisis del impacto sobre la empresa, por ejemplo utilizando un cuestionario, que
rellenarán los usuarios, para estimar la importancia y el impacto de las interrupciones del
servicio. Esto ayuda a que los usuarios (clientes) entiendan el valor con el que se percibe el
servicio, lo que puede ser un valor a considerar durante la clasificación de los riesgos.
A algunos empresas les resulta útil categorizar la naturaleza del impacto, como gasto de
capital, legal, trabajo, etc.
Las tareas clave de este paso incluyen la definición de tres elementos más de riesgo:
mitigaciones, desencadenadores y contingencias.
Mitigaciones
Las mitigaciones son los pasos que la empresa puede dar antes de que se produzca la
condición y cada uno de los tres efectos sobre el riesgo:
· Reducir. La reducción del riesgo minimiza la probabilidad del riesgo, su impacto o ambas
cosas. Por ejemplo, la redundancia suele reducir el impacto del riesgo. Cuando falla un
componente no hay impacto porque el componente redundante sigue funcionando. Llevar
un seguimiento de la duración esperada de un componente y sustituirlo antes de que se
espere que falle reduce la probabilidad del fallo. Idealmente, un método de reducción
reduce a cero la probabilidad o el impacto, aunque esto no es siempre posible.
· Evitar. Evitar el riesgo previene que la empresa emprenda acciones que incrementen
demasiado la exposición para justificar el beneficio. Un ejemplo sería una ampliación de la
bodega de producto terminado que incluya varios puntos de acceso a esta. En la mayoría
de los casos, el beneficio no justifica la exposición.
17
Es de importancia esencial asignar un propietario a todo plan de mitigación, así como es útil
definir los hitos del plan para hacer un seguimiento de su progreso y medirlo para saber si está
produciendo el efecto deseado.
Desencadenadores
En la definición de los elementos de riesgo puede resultar difícil distinguir entre consecuencias
y desencadenadores. En una situación ideal, el desencadenador se produce antes que la
consecuencia. Es útil pensar en ellos como indicadores luminosos que se encienden cuando
todavía hay tiempo de evitar el peligro. Por ejemplo, si la condición es que el proveedor de
sellos de seguridad no podrá hacer una nueva entrega, el desencadenador podría ser que el
stock existente llegue al 95%.
En algunos casos, los desencadenadores pueden estar controlados por datos. Utilizando el
ejemplo anterior, se puede poner un desencadenador en la fecha más reciente en la que el
stock podría mantenerse hasta tener un nuevo proveedor.
Contingencias
PRÁCTICAS RECOMENDADAS
Esta práctica recomendada será beneficiosa durante el paso de planear la acción de riesgo.
Establecer prioridades
18
PASO 4: REALIZAR UN SEGUIMIENTO DEL RIESGO
Durante la fase de seguimiento, la empresa recopila información acerca del modo en que
cambian los riesgos; esta información sirve de base para las decisiones y acciones que se
tomarán en el paso siguiente (control).
Este paso supervisa los cambios anteriores en tres marcos de tiempo principales:
En los análisis de las operaciones, la empresa debería mostrar los riesgos más importantes y el
estado de las acciones de la administración y manejo de riesgos. Si los análisis de las
operaciones se han programado con regularidad (mensualmente o en hitos importantes), sirve
de ayuda mostrar la clasificación anterior de los riesgos así como el número de veces que un
riesgo estuvo en la lista de riesgos superiores.
19
PRÁCTICAS RECOMENDADAS
Esta práctica recomendada será beneficiosa durante el paso de seguimiento del riesgo.
Revisar rutinariamente
Convertir en tarea regular el análisis de riesgos. Eso significa que se convierte en un elemento
de agenda permanente para cualquier reunión. El análisis puede ser muy eficaz sin consumir
demasiado tiempo. Esto es clave en la administración continuada de los riesgos.
Busque tendencias en los datos relativos a los riesgos. Por ejemplo, si la probabilidad de un
determinado riesgo ha aumentado un 5% cada semana durante el último mes, aunque la
probabilidad siga siendo baja la tendencia puede justificar que ese riesgo ocupe una posición
más alta en la lista de riesgos superiores.
El paso anterior (seguimiento) recopila información acerca de un riesgo y cuando cambia algo,
el paso de control ejecuta una reacción planeada a ese cambio:
Al principio este paso puede no parecer necesario, no resultando clara la distinción con el paso
de seguimiento. En la práctica, la necesidad de actuar suele ser detectada por una herramienta
o por personas que carecen de la responsabilidad, autoridad o experiencia que les permite
reaccionar. El paso de control garantiza que sean las personas apropiadas las que reaccionen
en el momento oportuno.
20
Por ejemplo:
PRÁCTICAS RECOMENDADAS
El paso de control tiene una gran dependencia de la efectividad de las comunicaciones, tanto
para recibir la notificación de que partes de los riesgos y los planes han cambiado como para
garantizar que la acción la realicen las personas adecuadas en el momento oportuno. El paso
de control será tan efectivo como lo sea la comunicación.
Para finalizar esta primera parte de las Buenas Prácticas de Seguridad, podemos decir a
manera de resumen que, la administración del riesgo, varía de una organización a otra, incluso
con el transcurrir del tiempo, no se puede hablar de un conjunto de reglas o procedimientos
únicos que nos garanticen la seguridad de todas las personas y bienes, en todos los sitios y en
todo momento.
21
PARTE II
EL SISTEMA DE GESTION EN CONTROL Y SEGURIDAD SGCS
Todas las personas que participan en la decisión de implantar un SGCS deben contar con una
comprensión básica de lo que esto supone. Normalmente, al implantarlo por primera vez, la
alta dirección toma la decisión de hacerlo, pero la responsabilidad de llevar a cabo todo el
proceso recae sobre el director de implantación, que puede ser, por ejemplo, el director, jefe,
gerente de la seguridad.
Lo idóneo es que, al tomar esta decisión, la alta dirección cuente con la información necesaria,
puesto que su respaldo es básico tanto durante la propia implantación como durante el uso
posterior del sistema.
Es imprescindible hacerlo en algún momento. Puede parecer una tarea ardua y aburrida, pero
todas las personas que vayan a implantar el sistema deben leer la Norma en su totalidad y
familiarizarse con ella.
Puede resultar muy beneficioso que la alta dirección asista a un curso de formación
introductorio, de 2 horas de duración. También sacará provecho de este curso el
Representante de la Alta Dirección, aunque para él puede ser conveniente desarrollar una
comprensión más amplia a través del curso de Auditor Interno del SGCS y de la lectura de
publicaciones sobre el tema.
22
Formación del personal sobre el SGCS para familiarizarse con él
La elección puede resultar compleja, puesto que hay varios factores que se deben tener en
cuenta, que incluyen:
· Cobertura geográfica
· Experiencia en el sector
· Acreditación
· Estructura de precios y honorarios
Proceso de certificación
Una vez elegido el Capítulo más adecuado para sus necesidades, el proceso de certificación
constará de los siguientes pasos:
Después de tanto trabajo dedicado a conseguir implantar y certificar el SGCS, las ventajas no
se limitan al ámbito interno. Promocionar el hecho de tener un SGCS certificado ante los
clientes y otras partes interesadas puede conllevar ventajas significativas.
El mantenimiento y la mejora continua del SGCS son el siguiente paso. Como cualquier
empresa, el sistema de gestión en control y seguridad es un organismo vivo, y es preciso
modificarlo y actualizarlo constantemente para que sea eficaz. El mantenimiento y la mejora
continua del sistema a través del proceso de auditorias internas y de control, es de carácter
obligatorio para conservar la certificación.
23
La versión V4-2012 de los Estándares y la Norma del Sistema de Gestión en Control y
Seguridad BASC, contienen criterios mínimos de seguridad del Customs Trade Partnership
Against Terrorism, CTPAT, de la Oficina de Aduanas y Protección Fronteriza de los Estados
Unidos, CBP.
Es importante mencionar que en la versión 3-2008, existía en los estándares una parte A y una
parte B. Lo que se hizo en la versión 4-2012, es incorporar la parte B en los estándares de la
parte A y algunos aspectos que se incluían en la parte B, trasladarlos al contenido de la Norma.
De esta manera se logró una estructura más fácil de implementar, de mantener y de auditar.
Ø Mantenga un listado de aquellos requisitos que por ley Usted debe cumplir para el
funcionamiento de su empresa; además, tenga los documentos que certifiquen que Usted
cumple con la Ley.
24
Ø El desarrollo de una política de seguridad comprende la identificación de los activos
organizativos, evaluación de amenazas potenciales, la evaluación del riesgo,
implementación de las herramientas y tecnologías disponibles para hacer frente a los
riesgos. Es el compromiso de la alta gerencia para con accionistas, empleados, clientes y
proveedores. Si usted tiene ya una política de algún otro sistema de gestión, incluya lo
relacionado a la política de seguridad. Estos son ejemplos de una política:
Ø Para que la política de seguridad se cumpla, la alta dirección debe establecer objetivos
parciales que pueden estar relacionados al cumplimiento de la política de seguridad.
Recuerde que todo objetivo que respalde el cumplimiento de la política de seguridad, debe
ser medible y realizable.
Ø Las auditorías internas son la mejor forma para asegurar el mantenimiento del SGCS. Al
menos 2 veces al año, se las debe efectuar y las mismas pueden ser revisadas por el
gerente general o el RAD. Es recomendable que el auditor interno sea una persona
distinta al jefe de seguridad.
Ø Para hacer las auditorías internas, los auditores deben haber sido previamente calificados
por el Capítulo BASC.
25
Ø Disponga de un mapa de procesos. Un mapa de procesos no es más que un gráfico que
indique la forma en que se cumple el proceso. Un proceso puede ser definido como un
conjunto de actividades interrelacionadas entre sí que, a partir de una o varias entradas de
materiales o información, dan lugar a una o varias salidas también de materiales o
información con valor añadido. En otras palabras, es la manera en la que se hacen las
cosas en la organización.
Ø Es indispensable que al realizar una auditoria, quede evidencia de las acciones que se
tomarán para cerrar una no conformidad. Esta evidencia se llama Solicitud de Acción
Correctiva y/o Preventiva, según sea el caso. El detalle de cómo elaborarlo, se
proporciona en el curso de Auditor Interno.
El elemento humano es el eslabón más débil o el eslabón más fuerte en una cadena de
prevención de riesgos. Administrar el recurso humano, es la dinámica que impulsa la debida
utilización de los recursos humanos y tiene como finalidad combinar a los grupos de trabajo de
una empresa para imprimir mayor eficacia en el logro de los objetivos de seguridad.
Cada nuevo empleado de la Organización es una apuesta de futuro. La empresa asigna una
serie de tareas y responsabilidades al nuevo empleado, y le proporciona los medios materiales
y la información necesaria para que pueda llevarlas a cabo. Por lo tanto, debe existir un
procedimiento de reclutamiento que tenga en cuenta los siguientes aspectos relativos a la
seguridad:
Ø Definición del puesto: Para cada nueva vacante se Debe definir la criticidad del puesto a
cubrir según su responsabilidad y la información que maneja. Cada empresa Debe definir
su criterio propio. Algunos puestos críticos pueden ser directivos, personal de seguridad,
personal de contabilidad, empacadores, choferes, etc.
26
Ø Accesos: Los accesos a la información y sistemas informáticos deben ser solicitados
siempre por el responsable directo del empleado, al departamento de sistemas. Dichos
accesos debe ser siempre justificables por la labor que se va a realizar, y en caso de ser
privilegiados, el departamento de seguridad, debe aprobar su concesión.
Ø Difunda a través de carteles informativos, el daño que hace consumir drogas y alcohol.
Elabore folletos sobre el tema. Incluya dentro de su cronograma de capacitación, charlas
al respecto. Descargue afiches en www.basc-pichincha.org
27
Todo el SGCS está enfocado a la seguridad de los procesos, al cuidado de las personas y los
bienes, a través de otras personas o de medios tecnológicos. Es importante para ello, entre
otras cosas que:
Ø La empresa de seguridad que usted contrate, debe cumplir sus requerimientos. Usted es
quien paga por el servicio. Asegúrese de que los guardias de la empresa contratada,
hayan cumplido con sus procedimientos de selección y contratación de personal. Verifique
que sea personal capacitado. Contrate una empresa que cumpla con todos los requisitos
legales y que los guardias tengan un seguro de vida.
Ø En caso de que sea necesario evacuar las instalaciones, la empresa debe contar con
métodos que alerten al personal para que abandone las instalaciones; por ejemplo,
sirenas, pitos, altoparlantes o cualquier dispositivo que indique que una emergencia se ha
presentado. Pruebe constantemente estos dispositivos y deje un registro de estas
pruebas.
Por ejemplo, una contingencia en el transporte puede ser un bloqueo de una carretera. Su
plan de contingencia indicará las vías alternas. Por otro lado, un incendio de grandes
proporciones, es una emergencia que le impedirá continuar trabajando hasta que el
incendio haya sido sofocado y se hayan evaluado los daños. Si usted tiene ya claro
cuando es una emergencia y cuando una contingencia, realice prácticas o simulacros para
verificar que todos los empleados sepan cómo actuar en cada caso. Deje una evidencia de
la realización de estas prácticas.
28
Logística es el conjunto de acciones que realiza un empresario desde que inicia la compra de
insumos y materia prima hasta la entrega del producto terminado al cliente, incluyendo el
transporte, la producción, embalaje, almacenamiento y distribución de sus productos. Para que
esto funcione, usted debe asegurar el mantener disponible al información que le permita hacer
trazabilidad a todos sus procesos, ya que esto le permitirá saber con exactitud, cómo y quién
ha manipulado su carga en determinado momento de la cadena logística. La trazabilidad hace
un seguimiento de un determinado proceso.
Ø Elabore un procedimiento que permita identificar su carga. Marque por ejemplo las cajas
con alguna señal que solo usted reconozca. Utilice códigos de barras, embalaje especial,
cintas de embalaje con su marca, etc.
Ø Use sellos de alta seguridad para sus contenedores de exportación. Estos sellos deben
cumplir o superar la Norma ISO17712.
En cuanto al uso de materia prima y material de empaque, tenga mucho cuidado. La materia
prima es el elemento que la industria, con su tecnología, es capaz de transformar en producto
elaborado. Puede ser un elemento de la naturaleza, recurso natural, o un producto semi-
elaborado por otro proceso industrial.
Ø Coloque algún distintivo especial que diferencie al material de empaque para los productos
de exportación del nacional o de venta local. Si Usted utiliza el mismo material de
empaque para exportación y venta local, el nivel de riesgo que esta asumiendo, aumenta,
pues las organizaciones al margen de la ley que quieran conspirar contra la empresa,
usando su marca, tendrán mayor facilidad para hacerlo.
Ø Es importante que este procedimiento incluya lo que se hace con este material que haya
sido declarado inservible. Coloque algún distintivo que indique que el material puede ser
desechado y que desde ese momento, ya no es su responsabilidad sobre el uso que se
haga de él. Por ejemplo, córtelo en trozos pequeños, márquelos con una “x”, etc. Siempre
deje un acta cuando dé de baja material de empaque inservible, indicando cantidad, peso,
características, personas presentes en la destrucción, donación, o lo que se haya decidido
hacer.
Ø Bajo ningún concepto deje de cumplir sus obligaciones legales con respecto al uso de
sustancias químicas controladas. En Ecuador, el CONSEP exige el cumplimiento de un
reporte mensual por el uso de sustancias controladas. Si usted no está seguro de qué
sustancias usa, haga la consulta respectiva al CONSEP, o visite
http://www.consep.gov.ec/sustan.htm donde encontrará el detalle de todas las sustancias
controladas y que si las usa en su proceso, debe cumplir la legislación vigente. Este
reporte, en Ecuador, debe ser entregado hasta el 10 de cada mes como máximo.
29
Para que todo funcione adecuadamente, tenga mucho cuidado con respecto al uso, manejo,
protección de la información. Un documento es el testimonio material de un hecho o acto
realizado en el ejercicio de sus funciones por organizaciones o personas físicas, jurídicas,
públicas o privadas, registrado en una unidad de información en cualquier tipo de soporte
(papel, cintas, discos magnéticos, películas, fotografías, etc.).
Por otro lado, la seguridad de la información consiste en proteger uno de los principales activos
de cualquier empresa. La seguridad de la información es requisito previo para la existencia a
largo plazo de cualquier negocio u organización. La información es usada en cada uno de los
ámbitos empresariales, los cuales dependen de su almacenamiento, procesado y presentación.
· Confidencialidad. La información Debe ser accedida sólo por las personas autorizadas
a recibirla.
· Integridad. La información Debe ser correcta y completa.
La información podría sin los controles adecuados, ser mal utilizada o utilizada sin autorización.
Se entiende por utilización no autorizada una condición del entorno del sistema de información
que, dada una oportunidad, podría dar lugar a que se produjese una violación de la seguridad
(confidencialidad, integridad, disponibilidad). La política de seguridad y el análisis de riesgos
habrán identificado las amenazas que han de ser contrarrestadas. Un ataque no es más que la
realización de una amenaza.
30
Interrupción: un recurso del sistema es destruido o se vuelve no disponible. Este es un
ataque contra la disponibilidad. Ejemplos de este ataque son la destrucción de un
equipo (hardware), como un disco duro, o cortar una línea de comunicación.
Intercepción: una entidad no autorizada consigue acceso a un recurso. Este es un
ataque contra la confidencialidad. La entidad no autorizada podría ser una persona, un
programa o un computador. Ejemplos de este ataque son “pinchar” una línea para
hacerse con datos que circulen por la red y la copia ilícita de ficheros o programas
(intercepción de datos), o bien la lectura de las cabeceras de paquetes para desvelar la
identidad de uno o más de los usuarios implicados en la comunicación observada
ilegalmente (intercepción de identidad).
Modificación: una entidad no autorizada no sólo consigue acceder a un recurso, sino
que es capaz de manipularlo. Este es un ataque contra la integridad. Ejemplos de este
ataque son el cambio de valores en un archivo de datos, alterar un programa para que
funcione de forma diferente y modificar el contenido de mensajes que están siendo
transferidos por la red.
Fabricación: una entidad no autorizada inserta objetos falsificados en el sistema. Este
es un ataque contra la autenticidad, ejemplos de este ataque son la inserción de
mensajes espurios en una red o añadir registros a un archivo
Ø Redacte un procedimiento para el uso de sus documentos. Determine por ejemplo, cuáles
son confidenciales y codifíquelos, y cuáles no lo son. Indique las personas autorizadas a
manejar cada tipo de documento. Exija con sus empleados contractualmente un
compromiso de confidencialidad sobre la documentación e información de la empresa.
Cuando haya codificado a todos los documentos de su empresa, elabore un listado de
todos ellos.
Ø La codificación es algo que asusta porque jamás hacemos algo parecido en nuestra vida,
pero es realmente fácil. Este es un ejemplo que funciona muy fácil:
M = Manual
P = Procedimiento
I = Instrucciones de trabajo
F = Formato
D = Dibujo o Plano
N = Norma, Documento externo, requisitos legales
OP = Operaciones
FB = Fabricación
MN = Manufactura
GA = Gerencia Administrativa
RH = Recursos Humanos
GS = Gerencia de Seguridad
31
Y finalmente los XXX son un número correlativo, 001, 002, 003 y así en adelante,
de esta manera el manual de seguridad sería:
Ahora, lo que se debe hacer es crear una lista de documentos que necesitará de acuerdo
con la norma, y codificarlos, entonces se tendría algo así:
Ø El o los sitios en dónde se almacenen los documentos, necesariamente deben contar con
seguridad. Los archivadores por ejemplo, deben estar cerrados y bajo llave. Ya hemos
visto, que debe haber control sobre las llaves. Si usted terceriza el manejo de su archivo,
establezca contractualmente la confidencialidad de la información y haga visitas a la
empresa que maneja sus archivos a fin de verificar las seguridades empleadas.
Ø Designe un limitado número de personas para firmar y sellar los documentos. El firmar
“por”, debe estar plenamente establecido quien puede hacerlo.
Ø Tenga bajo licencia, todo lo susceptible de contar con una. Verifique siempre los derechos
de autor de la información que usted utilice.
32
Backups del Sistema Operativo (en caso de tener varios Sistemas Operativos o
versiones, se contará con una copia de cada uno de ellos).
Backups del Software Base (Paquetes y/o Lenguajes de Programación con los cuales
han sido desarrollados).
Backups del Software Aplicativo (Considerando tanto los programas fuentes, como los
programas objetos correspondientes, y cualquier otro software o procedimiento que
también trabaje con la data, para producir los resultados con los cuales trabaja el
usuario final). Se Debe considerar también las copias de los listados fuentes de los
programas definitivos, para casos de problemas.
Backups de los Datos (Bases de Datos, Índices, tablas de validación, contraseñas, y
todo archivo).
Backups del Hardware.
Un cliente es quien habitualmente sostiene con una empresa comercial relaciones de demanda
de un bien o un servicio. Es quien en base a sus requerimientos, sostiene nuestra
organización. La movilización efectiva de las mercancías se desarrolla a través de un proceso
de selección de clientes, pues si la empresa no sabe con exactitud quienes son, podría
manejar un nivel de riesgo no aceptable.
Ø Establezca un procedimiento para saber quienes son sus clientes. Por ejemplo verifique
sus antecedentes crediticios, visite sus instalaciones, establezca contractualmente el
cumplimiento de obligaciones por parte del cliente en cuanto a seguridad se refiere. Por
ejemplo, recomiéndele el uso de determinada agencia de carga aérea o marítima que esté
certificada en BASC. Deje registros de estas acciones.
Ø Mantenga actualizada y disponible una lista de sus clientes que contenga nombres,
direcciones, teléfonos, etc., y verifique estos datos
33
Es absolutamente importante que usted involucre a sus proveedores, especialmente a
aquellos que se los considera críticos en el Sistema de Gestión en Control y Seguridad,
dado el fundamental papel de estos en la consecución de la seguridad en la empresa.
La contaminación de una carga, es común que no se lo haga en la carga como tal, sino en
el cartón, en la madera o en cualquier otro material que sirva para su embalaje y empaque,
además en el camión o en el contenedor; y comúnmente estos bienes y servicios, son
proporcionados por una empresa ajena a la suya.
Ø Verifique quienes son sus proveedores. Realice auditorias de segunda parte a sus
proveedores, levante no conformidades, haga seguimiento a las solicitudes de acción
correctiva y preventiva. Si ellos quieren seguir trabajando con usted, deben cumplir sus
requerimientos de seguridad y calidad.
Ø Sea igual o más exigente que con un cliente al seleccionar a un proveedor. Hay varios
documentos que usted puede requerir: RUC (verifique en www.sri.gov.ec (o en la
agencia de gobierno correspondiente en su país) si su proveedor está registrado y
cumple sus obligaciones), certificado de cumplimiento de obligaciones y existencia
legal, etc.
Ø Estas visitas deben ser registradas a través de una auditoria interna. Si usted está
calificado por BASC como auditor interno, puede y debe hacer auditorias de segunda
parte a sus proveedores.
En definitiva, únase, haga alianzas estratégicas, pues es esta uno de los principales
instrumentos que deben utilizar las organizaciones para resolver exitosamente los desafíos
planteados por la globalización y competitividad que a su vez implican mayores riesgos en
cuanto al movimiento de la carga.
La Alianza Estratégica es un entendimiento que se produce entre dos o más actores sociales
diferentes, quienes gracias al diálogo y a la detección de objetivos de consenso, pueden definir
un Plan de Acción conjunto para lograr beneficios de mutua conveniencia.
Para su realización, hay que cambiar nuestra mentalidad y volver a mirar el escenario que nos
rodea, para reevaluar a enemigos, amigos y desconocidos, buscando aquello que a nosotros
nos conviene y que a otros actores también les podría convenir.
Ø Para cumplir con los objetivos específicos de la empresa. Es decir, para conseguir todo
aquello que le conviene de manera directa (ganancia económica, consolidación
institucional, bases de estabilidad, contactos, prestigio, influencias, etc.) y por supuesto
en el tema que nos ocupa, incrementar el nivel de seguridad de nuestra organización.
34
Ø Para ayudar a crear un sistema de convivencia más armonioso, favoreciendo así al
conjunto de toda la sociedad.
Ø Para generar oportunidades de desarrollo que no sólo sirvan para la propia empresa,
sino para que otros también se beneficien. De esa manera, hay también un beneficio
indirecto, pues habrán más clientes, más amigos, más aliados, más apoyos, una
interacción más agradable y más posibilidades para todos.
Ø Para mejorar la integración social y para propiciar formas de participación más eficaz.
Si las alianzas estratégicas se multiplican, será más fácil entenderse entre los distintos
sectores; el manejo de la empresa será más simple y eficiente; la coordinación práctica
de actores diferentes en la cadena logística será más fluida y efectiva; y se
incrementarán las posibilidades para que mejorar la información, la participación en las
decisiones, en las acciones y en los beneficios, por parte de todos los involucrados.
Ø Hay que promover la toma de consciencia sobre la importancia y utilidad práctica de las
alianzas estratégicas, en los diferentes niveles de la empresa, comenzando por su
dirección general, para que la empresa pueda hacer un uso eficiente de este recurso
estratégico.
En principio, hay que desarrollarlas con todo el mundo, pues así como todos tienen
defectos, también todos tienen algo positivo que aportar. Hasta quienes aparentemente son
insignificantes, pueden ser útiles y su alianza para la empresa puede resultar beneficiosa.
Sólo en lo que se refiere al beneficio directo de la empresa (ya que también pueden
plantearse alianzas estratégicas para el desarrollo de la comunidad, el desarrollo de la
cultura, la protección del medio ambiente, la prevención de la delincuencia, etc.), los
candidatos más obvios son:
o Proveedores
o Trabajadores de la propia empresa
o Clientes reales (los que ya son)
o Clientes y proveedores potenciales (los que pueden llegar a ser, si es que…)
o Competidores (el antagonismo aparente, puede dar paso a un racional entendimiento
para lograr beneficios comunes)
o Representantes del Gobierno Central (ministerios, policía, etc.) o de gobiernos
seccionales (Juntas Parroquiales, Municipios, Consejos Provinciales, bomberos, etc.)
o Representantes de la Sociedad Civil (Fundaciones, ONG´s, entidades culturales,
deportivas, religiosas, financieras, etc.)
o Agencias internacionales de desarrollo.
En general, toda persona, natural o jurídica, toda institución, que quiera lograr algo similar o
coherente a lo que quiere lograr uno mismo. Es decir, todo el mundo, ya que siempre habrá
aspectos de interés común y siempre será posible identificar beneficios compartidos que
pueden ser alcanzados mediante la cooperación.
35
Evitar los dogmatismos. Quien cree tener verdades definitivas puede sufrir grandes
frustraciones y grandes fracasos. Hay que respetar y evaluar con mucho cuidado a grandes
y a chicos. Si manejamos mal las cosas, cualquiera puede hacernos daño. Si manejamos
bien las cosas, cualquiera puede sernos útil.
36