Este documento, llamado Buenas Prácticas de Seguridad, BPS, fue elaborado por BASC

Pichincha, aplicando sencillas recomendaciones para la implementación del Sistema de

Gestión en Control y Seguridad BASC. Además, se ha incluido información relevante de cómo
una organización puede hacer una adecuada administración y manejo del riesgo. El contenido
de este manual no representa bajo ningún concepto lo que se debe hacer, más bien es una
guía que podría servirle a una organización que busque implementar un SGCS.

Para su elaboración, nos hemos referido a manuales de seguridad para el transporte de carga
editados por la Oficina de Aduanas y Protección Fronteriza de los Estados Unidos, así como
de varias páginas en Internet que abordan el tema de administración de riesgos y seguridad.

No se ha descartado tampoco, la experiencia de más de 8 años de ejecución de auditorias de

seguridad a empresas en Ecuador y Perú por parte de su autor y el trabajo desarrollado por
más de 10 años en el área de seguridad en la Fuerza Aérea del Ecuador.

Los derechos de este documento le pertenecen a BASC Capítulo Pichincha.

Quinta Edición 2013.

1
 INDICE

Introducción 3
Objetivos 3
Alcance 3

PARTE 1

Administración de Riesgos 3
Los Principios del Éxito en la Administración y Manejo de Riesgos 4
Introducción al Proceso 6
Listas de Riesgos 7
La Lista de Riesgos Superiores 7
Lista de Riesgos Eliminados 8
Los Cinco Pasos de la Administración y Manejo de Riesgos 9
Paso 1: Identificar el Riesgo 9
Paso 2: Analizar el Riesgo 15
Paso 3: Planear la Acción del Riesgo 17
Paso 4: Realizar un Seguimiento Del Riesgo 19
Paso 5: Controlar los Riesgos 20

PARTE II

El Sistema de Gestión en Control y Seguridad SGCS 22

Comprensión del Sistema de Gestión en Control y Seguridad y sus Requisitos 22
Implantación del Sistema 22
Certificación del Sistema de Gestión 23
Promoción y Mantenimiento del SGCS 23
Los Estándares del Sistema de Gestión en Control y Seguridad 24
Los Anexos del Sistema de Gestión en Control y Seguridad 24
Estudio Legal 25
Sistema de Gestión 25
Administración de Personal 27
Sistema de Seguridad 29
Logistica de Recibo y Despacho de Carga 31
Control de Materias y Material de Empaque 32
Control de Documentos y de la Información 33
Sobre los asociados de negocios 37
Sobre sus aliados estratégicos 38

2
INTRODUCCION

A pesar de que se invierten miles y en ocasiones millones de dólares en equipo de tecnología

de punta para lograr los objetivos económicos que se propone una empresa, actualmente nos
encontramos con que muchas organizaciones sufren de incidentes en donde se viola la
seguridad física de sus instalaciones y la seguridad de los procesos, por terceros e inclusive
por personal interno.

Y es que la seguridad es en muchas ocasiones tomada como un elemento de “menor

prioridad”, sea por iniciativa corporativa o por omisión.

La seguridad describe las medidas que previenen o detienen a intrusos antes de que accedan
a una instalación, recurso o información. Puede ser tan simple como una puerta con seguro o
tan elaborada como un Circuito Cerrado de Televisión, monitoreado externamente.

Los profesionales en todas las áreas que son responsables de procesos críticos para la misión
de la empresa, han visto cambiar su trabajo de tal manera que la administración de riesgos es
cada vez más importante. El mundo de la empresa se basa más que antes en la obtención de
información y en el movimiento de carga, lo que acrecienta el impacto de cualquier error; el
entorno de una empresa tiene más partes móviles de las que tenía, lo que aumenta la
probabilidad de que surjan problemas; cada vez es mayor el número de personas que percibe
los problemas y reacciona ante ellos, lo que crea consecuencias adicionales para el error; y
cada vez es más la infraestructura que queda fuera del control directo del responsable del área.
Al mismo tiempo, la empresa tiene menos tiempo para reaccionar y menos posibilidades de
administrar los riesgos mediante la aplicación de medidas estrictas de control de los cambios.

El crimen organizado cada día se adentra más en organizaciones lícitas por lo que el manejo
de un Sistema de Gestión en Control y Seguridad, SGCS, es a la vez más imperioso.

OBJETIVOS

Con estas BPS, podremos saber que:

· Las transacciones entre empresas dependen cada vez más de la seguridad, por lo que los
errores en cada departamento tienen más posibilidades de afectar a la empresa y de que el
impacto resulte grave.
· El entorno del negocio es cada vez más complejo, por lo que incluso en el caso de que se
mantenga el tamaño de la empresa, crece el número de puntos de errores potenciales.
· La infraestructura es cada vez mayor, por lo que la administración de la posibilidad de error
es más importante por el hecho de que se tiene menos posibilidades de reaccionar una vez
que se materializa el riesgo.
· Cuando se materializa un riesgo, el tiempo que transcurre entre esto y el impacto sobre la
empresa, es menor.
· La rapidez en el acceso a la información es cada vez más visible, por lo que aumenta el
número de personas que reaccionan negativamente ante la materialización del riesgo.

Además, la organización contará con una herramienta de fácil consulta para implementar el
SGCS.

3
ALCANCE

Estas Buenas Prácticas de Seguridad, están dirigidas a todos los niveles de la organización,
pues el tema de la seguridad es responsabilidad de cada integrante de la empresa, sea este
accionista, ejecutivo, funcionario, empleado, cliente, proveedor o visitante.

PARTE I
ADMINISTRACIÓN DE RIESGOS

Para iniciar este tema, trataremos de definir lo que es el riesgo. Para esto nos valemos de
algunas definiciones ya establecidas:

· “La probabilidad de que se produzca una pérdida.”

· “Es la proximidad o probabilidad de un daño. En la "Guía para el Jefe de Tropa" se lee:

"Deploro la tendencia moderna de poner la seguridad ante todo. Una cierta cantidad de
riesgo es necesaria para la vida.”

· “Combinación de la frecuencia o probabilidad que puedan derivarse de la materialización

de un peligro”.

· “El suceso incierto, futuro y susceptible de ser valorado. Probabilidad de que ocurra un
evento que pueda generar lesiones físicas a las personas, daños a la propiedad y/o
alteraciones en el medio ambiente”.

Según los conceptos de ORM (Operacional Risk Management) los riesgos han sido definidos
como el proceso de tomar decisiones que puedan minimizar los efectos de pérdidas que
genera la materialización de éstos. Por eso es importante manejar, medir y sopesar sus
consecuencias para que le ayude a tomar decisiones para prevenirlo, de manera que el futuro
de la empresa dependa de su elección y no de la elección de otros. Un manejo adecuado del
riesgo permite que se generen menos pérdidas, que sea menos severo, menos frecuente y sea
más predecible.

El modelo de administración y manejo del riesgo para operaciones aplica técnicas

comprobadas de administración y manejo de riesgos a los problemas a los que se enfrenta
todos los días el personal de una empresa. En la administración y manejo de riesgos hay
muchos modelos, marcos de referencia y procesos. Todos tratan de planear un futuro incierto.
Esta propuesta de modelo, ofrece más valor que muchos otros gracias a sus principios clave, a
una terminología personalizada, a su proceso en cinco pasos estructurado y repetible, y a la
integración en un marco de referencia de operaciones más amplio. Todos estos elementos se
detallan a continuación.

Características de los riesgos

El riesgo tiene algunos aspectos básicos que la mayoría de la gente no entiende o en los que
no piensa, pero que un modelo de administración y manejo de riesgos que quiera tener éxito ha
de reconocer. Algunos aspectos son éstos:

4
· El riesgo es una parte fundamental de las operaciones. El único entorno sin riesgo será
aquel cuyo futuro no incluya incertidumbres: el que no se pregunte si una carga llegará a
destino, o si un disco duro fallará o cuándo lo hará; quien no le importe si el transportista
conoce de medidas de seguridad; a quien no le preocupe que una enfermedad pueda dejar
con escaso personal el departamento de ventas o de servicio al cliente. Un entorno así no
existe.
· El riesgo no es bueno ni malo. Un riesgo es una posibilidad de pérdida futura y aunque
ésta pueda ser considerada como "mala", por sí mismo el riesgo no lo es. Puede ayudar a
entender que una oportunidad es la posibilidad de una ganancia futura. No hay riesgo sin
oportunidad y no hay oportunidad sin riesgo.
· El riesgo no hay que temerlo, sino administrarlo. Como el riesgo no es bueno ni malo,
no es algo que haya que evitar. Las empresas tratan los riesgos reconociendo y
minimizando la incertidumbre, y haciendo frente proactivamente a cada riesgo identificado.
Si una pérdida es un posible resultado futuro, los otros resultados posibles son ganancias,
pérdidas menores o pérdidas mayores. La administración y manejo de riesgos le permite
cambiar la situación para favorecer un resultado en lugar de otro.

LOS PRINCIPIOS DEL ÉXITO EN LA ADMINISTRACIÓN Y MANEJO DE RIESGOS

El modelo de administración del riesgo incluye estos principios:

· Valorar los riesgos continuamente. Significa que el empleado nunca debe dejar de
buscar riesgos nuevos, así como que hay que volver a evaluar periódicamente los riesgos
existentes. Si algo de esto no se produce, la administración y manejo de riesgos no
beneficiará a la organización.

· Integrar la administración y manejo de riesgos en todos los papeles y funciones. En

un alto nivel, esto significa que cada función de la empresa tiene su parte de
responsabilidad en la administración y manejo de riesgos y que cada proceso se diseña
teniendo en cuenta la administración y manejo de riesgos. En un nivel más concreto,
significa que cada propietario de un proceso o de parte de él, debe:

o Identificar las fuentes potenciales de riesgo.

o Valorar la posibilidad de que el riesgo llegue a producirse.
o Hacer planes para minimizar esa probabilidad.
o Entender el impacto potencial.
o Hacer planes para minimizar ese impacto.
o Identificar los indicadores que muestran la inminencia del riesgo.
o Planear cómo reaccionar si el riesgo se produce.

Por ejemplo, el transportista con responsabilidad general con respecto a la función de

movilizar la carga terminada, realiza todas las tareas para identificar y administrar los
riesgos que tienen más importancia para él. Otros miembros de ese equipo pueden realizar
un subconjunto de esas tareas; todos ayudarán a identificar nuevos riesgos, pero quizá
sólo haya una o dos personas con la responsabilidad de calcular las probabilidades o de
crear planes para minimizar el impacto.

· Tratar positivamente la identificación de riesgos. Para que la administración y manejo

de riesgos tenga éxito, los miembros de la organización deben identificar los riesgos sin
temor a ser criticados por ello. Identificar un riesgo sólo significa que la empresa tiene
menos probabilidades de enfrentarse a una sorpresa desagradable. El personal no puede
prepararse para un riesgo hasta que éste haya sido identificado.

5
· Usar una programación basada en riesgos. Mantener un entorno suele significar la
realización de cambios de manera secuencial, pero siempre que sea posible la empresa
debe abordar primero los cambios de mayor riesgo. Un ejemplo es la contratación de nuevo
personal. Si la organización va a verificar los datos de todo el personal, pero hay
empleados nuevos en áreas y posiciones críticas, esos son las primeros que hay que
verificar. Si se comprobaran en último lugar y uno de ellos es un delincuente, la empresa
habría malgastado los recursos invertidos en la verificación de los demás.

· Establecer un nivel formal aceptable. El éxito requiere un proceso que la empresa

entienda y utilice. Es un acto de equilibrio. Si el proceso está poco estructurado, la gente lo
podrá utilizar pero los resultados no serán útiles; si es demasiado preceptivo, es probable
que la gente no lo utilice.

Estos principios se resumen en el término proactividad. Un equipo que practica la

administración proactiva de los riesgos reconocerá que un riesgo es una parte normal
de las operaciones y en lugar de temerlo la empresa lo considera como una oportunidad
de defensa para el futuro. Los miembros de la empresa demuestran una mentalidad proactiva
cuando adoptan un proceso visible, mensurable, repetible y continuo mediante el que evalúan
objetivamente los riesgos y las oportunidades, y actúan sobre las causas y los síntomas de los
mismos.

INTRODUCCIÓN AL PROCESO

Cuando las empresas utilizan una administración y manejo de riesgos proactiva, valoran los
riesgos continuamente y utilizan los resultados para tomar decisiones. La empresa va
buscando los riesgos y los trata hasta que dejan de ser importantes o hasta que se producen y
se convierten en problemas conocidos.

El diagrama siguiente ilustra los cinco pasos del proceso de administración y manejo de
riesgos: identificar, analizar, planear, hacer un seguimiento y controlar. Es importante entender
que en cada riesgo hay que recorrer todos estos pasos al menos una vez, aunque a menudo
se recorren numerosas veces. Además, cada riesgo tiene su propio marco de tiempo, por lo
que múltiples riesgos se pueden encontrar en cada paso y en cada momento.

Más adelante detallaremos estos pasos.

Figura 1 El proceso de administración proactiva de los riesgos

6
LISTAS DE RIESGOS

La manera más simple de ver el proceso consiste en que los cinco pasos den información, y la
obtengan, a las tres listas de riesgos: la lista de riesgos principales, la lista de riesgos
superiores y la lista de riesgos eliminados. La comprensión de las tres listas facilita el
aprendizaje de los cinco pasos.

La lista de riesgos principales

En cada paso del proceso, la empresa recopila información referente a un riesgo particular y la
agrega a la lista de riesgos principales. Cada paso subsiguiente se basa en los anteriores,
agregando más elementos de riesgo, o en los elementos actuales como ayuda a la toma de
decisiones. Por ejemplo, el paso de análisis inicial agrega información acerca de la probabilidad
y el impacto del riesgo. El proceso es cíclico, por lo que cada vez que se pase por la fase de
análisis se deben revisar los cálculos de probabilidad y de impacto.

La lista de riesgos principales es independiente de la tecnología. Puede ser algo tan simple
como la falta de conciencia para usar tarjetas de identificación, aunque en tal caso algunas
funciones (como la clasificación y vinculación) consumirían mucho tiempo. La lista se puede
implementar como un documento de Word o una hoja de cálculo, o puede ser tan compleja
como una aplicación de base de datos de múltiples niveles.

Tenga en cuenta que el tamaño de la lista de riesgos principales es un indicador de la

minuciosidad de la empresa en saber identificarlos.

Todos los riesgos, son principales. Identifique cada uno por ejemplo en: transporte, empaque,
reclutamiento de personal, almacenaje, con los clientes, con los proveedores, etc. No importa
cuan importante sea visto a primera instancia el riesgo. Todos los riesgos identificados, van a la
lista de riesgos principales.

La lista de riesgos superiores

La administración y manejo de riesgos quita tiempo y esfuerzo a las actividades diarias, por lo
que es importante que la empresa equilibre la sobrecarga de administración y manejo de
riesgos con el ahorro que cabe esperar del proceso. Esto suele significar la identificación de un
número pequeño de riesgos graves que son los que merecen el tiempo y los recursos limitados
de la empresa.

7
Una forma de realizar esto es que la lista de riesgos principales tiene prioridad, pero los riesgos
que ocupan el lugar superior de la lista, los que tienen una importancia que les hace
merecedores de una administración activa, pasan a formar parte de la lista de riesgos
superiores. Son a estos a los que usted les va a dedicar su empeño.

Lista de riesgos eliminados

La lista de riesgos principales contiene todos los que la empresa ha identificado, sean o no lo
bastante importantes para aparecer en la lista de riesgos superiores. Algunos de esos riesgos
no desaparecen nunca, como por ejemplo los que se relacionan con desastres naturales. Otros
llegan a un punto en el que no son ya relevantes. Por ejemplo, la empresa podría reducir a cero
la probabilidad de un riesgo X. O bien la fuente del riesgo puede desaparecer del entorno.

Siempre que un riesgo llega a ser irrelevante, se pasa de la lista de riesgos principales a la lista
de riesgos eliminados. Esta lista es una referencia histórica en la que la empresa puede volver
a basarse en el futuro. Por ejemplo, si la empresa ha realizado previamente un seguimiento de
los riesgos relacionados con los procesos de resguardo de la información, pero este proceso se
subcontrata a otra organización, podrían retirarse algunos de los riesgos relacionados con el
resguardo de información. Si la función del departamento de archivos vuelve a ser interna, la
empresa podrá basarse como guía en la lista de riesgos eliminados. Además, esta lista puede
ser consultada como punto de partida para la identificación de riesgos nuevos. Finalmente, si la
empresa rebaja a cero la probabilidad o impacto de un riesgo, las notas relativas a lo que hizo
la empresa pueden beneficiar a otros que se enfrenten a riesgos similares.

Cuando piense en eliminar riesgos, puede ser útil considerar que los riesgos tienen múltiples
instancias. Por ejemplo, una fusión de empresas introduce el riesgo de graves recortes de
personal y de presupuesto. Si la empresa sobrevive, una de las partes fusionadas puede
eliminar esa instancia de riesgo, pero la otra instancia permanece porque podrían producirse
posteriores fusiones.

PRÁCTICAS RECOMENDADAS PARA TODO EL PROCESO

Estas sugerencias se aplican a las cinco fases del modelo de administración del riesgo.

Adoptar la administración y manejo de riesgos

Si el o los responsables de un proceso no tienen todavía una cultura de administración y

manejo de riesgos, su adopción puede ser un cambio significativo. El mayor obstáculo al
cambio será la complejidad del proceso. Quienes todavía no realizan una administración y
manejo de riesgos de una manera estructurada, no suelen ver la necesidad del cambio; y si el
proceso de administración y manejo de riesgos es demasiado complejo, probablemente será
rechazado con la consideración de una tarea laboriosa e improductiva.

8
Tenga en cuenta que las prácticas recomendadas para administración del riesgo, hacen más
seguro un proceso, pero algunas también incrementan su complejidad.

Agentes principales de riesgos

Una práctica creciente consiste en designar agentes principales de riesgos (CRO, Chief Risk
Officers) y tener un equipo de administración y manejo de riesgos dentro de la organización
que sea independiente de la empresa. En estos casos debe ser muy clara la separación entre
las responsabilidades de la organización y las de esta empresa contratada.

A primera vista, la posición del CRO parece contradecir el principio clave de integrar la
administración y manejo de riesgos con todos los procesos. La distinción se basa en que todo
el mundo juega un papel en la administración y manejo de riesgos. Si es así, tener un papel
específico, como un CRO, centrado a tiempo completo en la administración y manejo de
riesgos puede ser muy útil, pues actuará como especialista y mentor, además de coordinar
actividades de administración y manejo de riesgos que en otro caso podrían resultar
ineficientes o incluso contradictorias.

Equipos de respuesta de emergencia

Las organizaciones grandes suelen tener equipos de respuesta de emergencia (ERT,

Emergency Response Teams) o brigadas, que reaccionan a los desastres y riesgos
materializados. Son entrenados para que respondan siguiendo planes de contingencia y de
emergencia establecidos. Estos equipos necesitan ser incluidos en todas las fases de
administración y manejo de riesgos, pero especialmente en la planeación de contingencia y
emergencia.

Entrenamiento y recursos humanos

La administración y manejo de riesgos depende mucho del personal. Debería comenzar el

mismo día en que es contratado un empleado. Idealmente, las habilidades para la
administración de riesgo deberían ser un factor a tener en cuenta al contratar personal. Dar
acceso a todos al entrenamiento en administración y manejo de riesgos. Además, garantizar
que todos reciban un entrenamiento adecuado en su trabajo. Cuanto mejor entienda la gente
un trabajo, más eficazmente identificará y hará frente a sus riesgos.

LOS CINCO PASOS DE LA ADMINISTRACIÓN Y MANEJO DE RIESGOS

PASO 1: IDENTIFICAR EL RIESGO

La identificación del riesgo es el primer paso del proceso de administración y manejo de

riesgos proactiva. Proporciona las oportunidades, pistas e información que permiten al equipo
plantear los riesgos mayores antes de que afecten adversamente a las operaciones y, por
tanto, a la empresa.

9
En este paso, la empresa identifica los componentes del planteamiento del riesgo:

o Condición
o Consecuencias para las operaciones
o Consecuencias para la empresa
o Origen del riesgo
o Modo del error

Condición y consecuencias

Una manera intuitiva de analizar el futuro se basa en las frases del tipo "si ... entonces…". La
condición es la parte del "si", mientras las consecuencias son expresadas con el "entonces".
Por ejemplo, "si falla la única fuente de alimentación del servidor Web, entonces el sitio Web
de la organización no estará disponible".

Tenga en cuenta que entre la condición y las consecuencias puede haber una relación de
muchos a muchos. Una sola condición puede causar numerosas consecuencias:

Condición Consecuencias

Si falla la única fuente de alimentación del entonces el servidor no estará disponible.

servidor Web...

entonces el equipo de operaciones incurrirá en

el costo de sustituir la fuente de alimentación.

entonces alguien debe interrumpir su trabajo

normal para instalar la nueva fuente de
alimentación.

O bien, numerosas condiciones pueden causar la misma consecuencia:

Condiciones Consecuencia

Si falla la única fuente de alimentación del el servidor no estará disponible.

servidor Web...

Si un técnico desconecta el servidor para

instalar una revisión de la aplicación ...

Si un trabajador de la construcción corta el

cable enterrado que vincula el centro de datos
con el resto de la organización ...

10
Es importante separar la consecuencia en dos partes durante la identificación del riesgo: la
consecuencia para las operaciones y la consecuencia para la empresa. Siguiendo con el
ejemplo anterior, las consecuencias para las operaciones incluyen el costo de una fuente de
alimentación y el trabajo de instalarlo; las consecuencias para la empresa podrían incluir el
daño a la reputación de la organización y los ingresos perdidos si el sitio se utilizaba por
ejemplo para ventas electrónicas. Distinguir entre éstas es decisivo para una fase posterior del
proceso, cuando la empresa clasifica los riesgos para garantizar que los más importantes
reciban la atención que merecen, porque un riesgo puede tener muchas consecuencias para
las operaciones, pero pocas para la empresa, o viceversa.

Origen del riesgo

Hay cuatro orígenes principales del riesgo:

· Las personas. Todo el mundo comete errores, por lo que incluso aunque la tecnología y
los procesos de la empresa no tengan errores, los errores humanos pueden ser un riesgo
para la empresa.
· El proceso. Los procesos con errores o mal documentados pueden ser un riesgo para la
empresa incluso aunque se sigan a la perfección.
· La tecnología. El personal puede seguir perfectamente un proceso muy bien diseñado,
pero producir errores para la empresa por problemas de hardware, software, CCTV,
códigos de barra, lectores biométricos, sensores de movimiento, etc.
· Externo. Algunos factores quedan fuera del control, pero pueden dañar la infraestructura y
provocar fallos en la empresa. Entran en esta categoría los sucesos naturales, como
terremotos e inundaciones, así como problemas generados externamente por el ser
humano, como perturbaciones civiles, ataques de virus informáticos, conspiraciones
externas y cambios en las regulaciones gubernamentales.

Se trata de categorías amplias que, además, se superponen. Por ejemplo, si un empleado

recién contratado es entrenado en empaque de mercadería terminada y semanas más tarde
comete un error que provoca el fallo del proceso, ¿la fuente del riesgo es la "persona" o el
"proceso"? Si la organización confía en una empresa de telecomunicaciones para el acceso a
Internet y falla el hardware de ésta, ¿el error es "tecnológico" o "externo"?

Hay muchas maneras de decidir la categoría a la que corresponde un riesgo, pero es más
importante definir una y mantenerla en lugar de perder tiempo buscando la forma "perfecta".
Una opción consiste en preguntar si el responsable del proceso tiene algún control sobre la
causa del riesgo. Si no es así, el origen es externo. En cuanto a los otros tres orígenes, ¿se
habría producido el problema si hubiera sido diferente la persona, el proceso o la tecnología?
Así se definiría el fallo del operador como "personal" si el empleado no prestó atención durante
el entrenamiento u olvidó la lección, o de "proceso" si el entrenamiento fue incompleto o estuvo
mal diseñado.

¿Por qué preocuparse por la fuente del riesgo? Porque afectará a la forma en que la empresa
administrará el riesgo en los pasos posteriores del proceso. Por ejemplo, la empresa tratará de
manera diferente la posibilidad de que los entrenados no presten atención y la de que los
materiales de entrenamiento sean de mala calidad.

11
Modo del error

Las operaciones pueden crear un fallo en la empresa de cuatro maneras diferentes:

o Costo. Los procesos pueden funcionar adecuadamente, pero con un costo demasiado alto,
produciendo una amortización de la inversión demasiado baja.
o Agilidad. Los procesos pueden funcionar adecuadamente, pero carecer de la capacidad
de cambiar con rapidez suficiente para atender a las necesidades de la empresa. Los
problemas de capacidad son el caso más evidente. Por ejemplo, alguien puede tener una
docena de camiones nuevos listos para dar servicio al incremento de necesidades de
proceso, pero olvidó que los mecánicos del mantenimiento de estos camiones estaban ya
al máximo de capacidad y no se podrá contratar a más.
o Rendimiento. Los procesos pueden no dar satisfacción a las expectativas de los usuarios
bien porque éstas eran erróneas o porque el rendimiento de la infraestructura es incorrecto.
o Seguridad. Los procesos pueden fallar por no proporcionar protección suficiente a los
recursos o por tener una seguridad tan estricta que los usuarios legítimos no tienen acceso
a los recursos.

PRÁCTICAS RECOMENDADAS

Estas prácticas recomendadas serán beneficiosas durante el paso de identificación del riesgo.

Identificación continua

Cuando una empresa adopta un modelo de administración y manejo de riesgos, el primer paso
suele ser una sesión de “lluvia de ideas para identificarlos”. Pero la identificación no termina en
esa reunión. La identificación se produce con la misma frecuencia con la que los cambios
pueden impactar en la infraestructura, es decir, se produce todos los días.

Discusiones

Las discusiones acerca de la identificación son muy importantes y una clave de su éxito está en
que se encuentren representados todos los puntos de vista relevantes, lo que incluye a quienes
tienen interés en la empresa, así como diversas partes del personal. Es una manera eficaz de
que se expongan las suposiciones y los diferentes puntos de vista.

El objetivo último de la discusión acerca de la identificación es mejorar la administración y

manejo de riesgos de la empresa. Hay que medir el progreso en relación con el objetivo por la
sustancia de la discusión, no por el número de palabras en el planteamiento de riesgos que
surja ni por los minutos que se tarda en producir cada planteamiento de riesgos. A veces las
discusiones más valiosas son las que ocupan más tiempo pero producen un planteamiento con
pocas palabras.

Pensar en el riesgo es una habilidad que tarda en desarrollarse y es mucho más fácil lograrlo
en discusiones de empresa que a solas en el despacho del jefe.

12
Matriz del modo de origen

Establecer todas las condiciones posibles es un trabajo casi infinito, por no mencionar que el
gran volumen dificulta al equipo centrarse en una cosa cada vez, sobre todo durante una
sesión de “lluvia de ideas”. Una solución efectiva, y que produce beneficios en las fases
posteriores del proceso, consiste en subdividir todas las condiciones posibles en una tabla, con
una fila por cada uno de los cuatro orígenes de riesgo y una columna por cada uno de los
cuatro modos de error:

Así la empresa podrá centrarse en una celda de la tabla cada vez. Por ejemplo, los
supervisores se pueden preguntar: "¿Cómo pueden las personas de empaque cometer errores
que nos hagan realizar el trabajo correcto con un costo demasiado elevado?" O pueden
preguntarse: "¿Cómo puede nuestra tecnología no cumplir las expectativas de rendimiento del
cliente? O más específicamente, "¿cómo una mala selección de un transportista puede
incrementar la exposición a un riesgo de contaminación con drogas?"

El planteamiento del riesgo

Antes de que un equipo pueda administrar un riesgo, lo debe expresar con claridad, lo que en
la práctica puede representar un desafío mucho mayor de lo que parecía al principio:

· La expresión verbal de un riesgo suele requerir volver a pensar en lo que se daba por
supuesto acerca de una situación y volver a evaluar los elementos que son más
importantes.
· Escribir los riesgos es decisivo; sin embargo, por diversas razones, los riesgos en los que
ha pensado una persona suelen quedar atrapados en su propia mente. La empresa no
puede administrar un riesgo que no haya sido compartido.

El planteamiento del riesgo debería incluir todas las partes que aparecen en el diagrama del
ejemplo siguiente. Tenga en cuenta que la condición y las dos consecuencias reflejan
respectivamente el origen del riesgo y el modo de fallo.

13
Formulario de planteamiento del riesgo

Una forma útil de presentar la información reunida durante este paso es el formulario de
planteamiento del riesgo, que puede agregar información que será de utilidad más tarde,
durante la fase de seguimiento del riesgo. Además de las cinco partes del planteamiento del
riesgo (condición, origen del riesgo, modo de fallo, consecuencia para las operaciones,
consecuencia para la empresa), el formulario del planteamiento debería incluir lo siguiente:

· Papel o función. La función o parte del proceso implicada más directamente en la

situación de riesgo.
· Contexto del riesgo. Un párrafo que contenga información de antecedentes adicionales
que ayuden a clarificar la situación de riesgo.
· Riesgos relacionados.

Gráficos de factor de riesgo

Un gráfico de factor de riesgo ayuda a la empresa a determinar rápidamente la exposición a la

que se enfrenta en las categorías generales de riesgo. Una línea de ese gráfico podría tener
este aspecto:

14
 Pistas de alta Pistas de exposición Pistas de baja
Riesgo
exposición media exposición

Si la empresa Nadie está Los dueños de la Se han realizado

de seguridad formalmente organización de seguridad pruebas a los guardias
falla, sus encargado de no consideran prioritario el para verificar su
errores supervisar a los tener una certificación de conocimiento sobre
podrían guardias. Sólo un un sistema de gestión en seguridad. Nos han
perjudicar a guardia ha sido seguridad. La empresa de informado que la
nuestra entrenado en el seguridad ha enviado capacitación que
organización sistema de gestión en personal a las charlas del reciben se da
control y seguridad. SGCS, pero han sido únicamente cuando
Este guardia es empleados sin poder de ingresan a la empresa.
asignado solamente decisión dentro de la Sólo nuestro jefe de
dos veces por empresa. seguridad les
semana. proporciona
entrenamiento.

PASO 2: ANALIZAR EL RIESGO

El análisis del riesgo se basa en la información generada en la fase de identificación, que se

convierte ahora en información para la toma de decisiones. En la fase del análisis, la empresa
agrega tres elementos o efectos más, a las entradas de riesgo de la lista de riesgos principales:
la probabilidad, el impacto y la exposición al riesgo. Estos elementos permiten al equipo
categorizar los riesgos, lo que a su vez le permite dedicar más energía a la administración de
los riesgos más importantes.

Probabilidad del riesgo

Es la probabilidad de que una condición se produzca realmente. La probabilidad del riesgo

debe ser superior a cero, pues si no el riesgo no plantea una amenaza a la empresa.
Asimismo, la probabilidad debe ser inferior al 100% o el riesgo será una certeza; dicho de otro
modo, es un problema conocido.

La probabilidad se puede entender también como la posibilidad de las consecuencias, porque

si la condición se produce se supone que la probabilidad de la consecuencia será del 100%.

Impacto del riesgo

El impacto del riesgo mide la gravedad de los efectos adversos, o la magnitud de una pérdida,
causados por la consecuencia.

La solución más efectiva es una consecuencia numérica. Decidir la manera de estimar las
pérdidas no es un asunto trivial. La mejor solución es una escala numérica: cuanto mayor sea
el número, mayor el impacto.

15
Como regla general, la escala debería llegar al menos al tres para ofrecer una gama de valores
de exposición. Sin embargo, tenga en cuenta que cuanto más alta sea la escala, más tiempo
se empleará en elegir exactamente el número correcto, sin que de ello se derive mucha
precisión adicional.

Exposición al riesgo

La exposición es el resultado de multiplicar la probabilidad por el impacto. A veces, un riesgo

de alta probabilidad tiene un bajo impacto y se puede ignorar sin problemas; otras veces, un
riesgo de alto impacto tiene una baja probabilidad, por lo que también se puede ignorar. Los
riesgos que tienen un alto nivel de probabilidad y de impacto son los que más necesidad tienen
de administración, pues son los que producen los valores de exposición más elevados.

Al estimar la probabilidad y el impacto suele ser útil anotar su nivel de confianza. Por ejemplo,
si un riesgo materializado puede producir una pérdida de un millón de dólares, pero la
confianza en la precisión de los datos es sólo del 20%, documéntelo así para que quienes
analicen el riesgo puedan poner ese cálculo en su perspectiva adecuada.

PRÁCTICAS RECOMENDADAS

Estas prácticas recomendadas serán beneficiosas durante el paso de análisis del riesgo.

Asentar las diferencias de opinión

Es poco probable que un equipo se ponga unánimemente de acuerdo en la clasificación de un

riesgo, porque los miembros de la empresa con diferentes experiencias o puntos de vista
clasificarán de modo distinto la probabilidad y el impacto. Fácilmente, las discusiones se
pueden volver emocionales, o al menos políticas, por lo que para mantener la objetividad en la
discusión y limitar las discusiones hay que decidir cómo resolver esas diferencias antes de
iniciar este paso. Entre las opciones se incluye la votación por mayoría, la elección del cálculo
de peores consecuencias, o aceptar la opinión de la persona con mayor experiencia en la
situación en la que se produce el riesgo.

Medir el impacto económico

Suele ser útil calcular aproximadamente el impacto en términos económicos, registrándose ese
cálculo junto con la estimación numérica del impacto. Si varios riesgos tienen el mismo valor de
exposición, el cálculo económico puede ayudar a determinar cuál es el más importante.
Además, los datos financieros ayudan a planear el paso para garantizar que el costo de
prevención de un riesgo sea inferior al que producirían las consecuencias.

Puede parecer preferible el cálculo económico, utilizándose entonces en lugar de un valor

numérico. Sin embargo, en la práctica, los valores del impacto económico suelen necesitar
mucho más trabajo para producir la misma lista de riesgos superiores.

Si decide utilizar una escala económica del impacto, lo debe hacer con todos los riesgos. Si el
impacto de un riesgo utiliza una escala numérica y el de otro una económica, no se pueden
comparar uno con otro, por lo que no hay manera de clasificarlos.

16
Realizar un análisis del impacto sobre la empresa

Realice un análisis del impacto sobre la empresa, por ejemplo utilizando un cuestionario, que
rellenarán los usuarios, para estimar la importancia y el impacto de las interrupciones del
servicio. Esto ayuda a que los usuarios (clientes) entiendan el valor con el que se percibe el
servicio, lo que puede ser un valor a considerar durante la clasificación de los riesgos.

Registrar la clasificación del impacto

A algunos empresas les resulta útil categorizar la naturaleza del impacto, como gasto de
capital, legal, trabajo, etc.

PASO 3: PLANEAR LA ACCIÓN DEL RIESGO

El paso de planeación convierte la información del riesgo en decisiones y acciones. Planear

significa desarrollar acciones para los riesgos individuales, dando prioridad a las acciones
relacionadas con cada riesgo y creando un plan integrado de la administración y manejo de
riesgos.

Las tareas clave de este paso incluyen la definición de tres elementos más de riesgo:
mitigaciones, desencadenadores y contingencias.

Mitigaciones

Las mitigaciones son los pasos que la empresa puede dar antes de que se produzca la
condición y cada uno de los tres efectos sobre el riesgo:

· Reducir. La reducción del riesgo minimiza la probabilidad del riesgo, su impacto o ambas
cosas. Por ejemplo, la redundancia suele reducir el impacto del riesgo. Cuando falla un
componente no hay impacto porque el componente redundante sigue funcionando. Llevar
un seguimiento de la duración esperada de un componente y sustituirlo antes de que se
espere que falle reduce la probabilidad del fallo. Idealmente, un método de reducción
reduce a cero la probabilidad o el impacto, aunque esto no es siempre posible.

· Evitar. Evitar el riesgo previene que la empresa emprenda acciones que incrementen
demasiado la exposición para justificar el beneficio. Un ejemplo sería una ampliación de la
bodega de producto terminado que incluya varios puntos de acceso a esta. En la mayoría
de los casos, el beneficio no justifica la exposición.

· Transferir. Mientras que la estrategia de evitar elimina o minimiza un riesgo, la estrategia

de transferencia suele dejar el riesgo intacto, pero cambia la responsabilidad a otra
empresa. Por ejemplo, una empresa podría subcontratar a otra empresa el servicio del
transporte de la carga. Los riesgos siguen existiendo, pero pasan a ser responsabilidad de
la empresa subcontratada. Sin embargo, si la empresa subcontratada es absolutamente
eficaz en el transporte, la transferencia de los riesgos sirve también para reducirlos.

17
Es de importancia esencial asignar un propietario a todo plan de mitigación, así como es útil
definir los hitos del plan para hacer un seguimiento de su progreso y medirlo para saber si está
produciendo el efecto deseado.

Desencadenadores

Los desencadenadores indican al equipo que una condición va a producirse, o se ha producido,

por lo que ha llegado el momento de poner en marcha el plan de contingencia.

En la definición de los elementos de riesgo puede resultar difícil distinguir entre consecuencias
y desencadenadores. En una situación ideal, el desencadenador se produce antes que la
consecuencia. Es útil pensar en ellos como indicadores luminosos que se encienden cuando
todavía hay tiempo de evitar el peligro. Por ejemplo, si la condición es que el proveedor de
sellos de seguridad no podrá hacer una nueva entrega, el desencadenador podría ser que el
stock existente llegue al 95%.

En algunos casos, los desencadenadores pueden estar controlados por datos. Utilizando el
ejemplo anterior, se puede poner un desencadenador en la fecha más reciente en la que el
stock podría mantenerse hasta tener un nuevo proveedor.

Contingencias

Una contingencia es un paso que da la empresa si la condición se produce o el

desencadenador llega a darse. El plan de contingencia documenta el conjunto de contingencias
que utilizará la empresa al reaccionar ante una condición particular.

Siguiendo con el ejemplo anterior, si no se consigue un nuevo proveedor y el desencadenador

se produce, una contingencia podría consistir en solicitar prestados un stock de sellos a una
empresa filial.

PRÁCTICAS RECOMENDADAS

Esta práctica recomendada será beneficiosa durante el paso de planear la acción de riesgo.

Establecer prioridades

Un plan de mitigación se podría componer de varias acciones y la secuencia podría afectar al

éxito de la mitigación al reducir, evitar o transferir el riesgo, por lo que es importante dar
prioridad a los pasos de este plan.

En esencia, un plan de contingencia es una descripción de cómo apartarse del funcionamiento

normal cuando se produce una condición. Especialmente en el caso de que las consecuencias
interrumpan numerosos servicios, puede ser útil reiniciar primero determinados procesos.
Decida de antemano el orden en que lo hará.

18
PASO 4: REALIZAR UN SEGUIMIENTO DEL RIESGO

Durante la fase de seguimiento, la empresa recopila información acerca del modo en que
cambian los riesgos; esta información sirve de base para las decisiones y acciones que se
tomarán en el paso siguiente (control).

Este paso supervisa tres cambios principales:

· Desencadenar valores. Si un desencadenador llega a producirse, habrá que ejecutar el

plan de contingencia.

· La condición, consecuencias, probabilidad e impacto del riesgo. Si cualquier de estos

factores cambia (o se descubre que no es exacto), debe ser evaluado de nuevo.

· El progreso de un plan de mitigación. Si el plan va retrasado con respecto a lo

programado o no produce el efecto deseado, debe ser evaluado nuevamente.

Este paso supervisa los cambios anteriores en tres marcos de tiempo principales:

· Constante. Muchos riesgos de las operaciones se pueden supervisar de manera

constante, o al menos muchas veces cada día. Por ejemplo, un circuito cerrado de
televisión puede supervisar automáticamente durante toda la jornada, el trabajo que se
desarrolla en la sala de empaque, el control al personal en determinada área, etc.

· Periódico. La empresa revisa periódicamente la lista de riesgos superiores, para buscar

cambios en los riesgos más importantes. Esto suele producirse en las reuniones de la
empresa, reuniones del comité de seguridad, etc.

· Específico. En algunos casos, alguien observa que parte de un riesgo ha cambiado.

Informar del estado del riesgo

En los análisis de las operaciones, la empresa debería mostrar los riesgos más importantes y el
estado de las acciones de la administración y manejo de riesgos. Si los análisis de las
operaciones se han programado con regularidad (mensualmente o en hitos importantes), sirve
de ayuda mostrar la clasificación anterior de los riesgos así como el número de veces que un
riesgo estuvo en la lista de riesgos superiores.

19
PRÁCTICAS RECOMENDADAS

Esta práctica recomendada será beneficiosa durante el paso de seguimiento del riesgo.

Revisar rutinariamente

Convertir en tarea regular el análisis de riesgos. Eso significa que se convierte en un elemento
de agenda permanente para cualquier reunión. El análisis puede ser muy eficaz sin consumir
demasiado tiempo. Esto es clave en la administración continuada de los riesgos.

Analizar los desencadenadores

Si la empresa tiene desencadenadores muy visibles que son automáticos y se supervisan

constantemente, puede ser fácil centrarse en ellos y omitir los que no se pueden automatizar.
Olvidarse de analizar los desencadenadores durante una reunión de la empresa significa que si
uno de ellos ha llegado a producirse, no será percibido hasta después, lo que retrasará la
ejecución del plan de contingencia y complicará, a menudo, las consecuencias.

Analizar las tendencias

Busque tendencias en los datos relativos a los riesgos. Por ejemplo, si la probabilidad de un
determinado riesgo ha aumentado un 5% cada semana durante el último mes, aunque la
probabilidad siga siendo baja la tendencia puede justificar que ese riesgo ocupe una posición
más alta en la lista de riesgos superiores.

PASO 5: CONTROLAR LOS RIESGOS

El paso anterior (seguimiento) recopila información acerca de un riesgo y cuando cambia algo,
el paso de control ejecuta una reacción planeada a ese cambio:

· Si se ha cumplido un valor de desencadenador, ejecute entonces el plan de contingencia.

· Si un riesgo se ha vuelto irrelevante, retírelo entonces.
· Si la condición o la consecuencia ha cambiado, rehaga entonces el paso de identificación
para evaluar de nuevo el elemento.
· Si ha cambiado la probabilidad o el impacto, vaya al paso de análisis para actualizarlo.
· Si ya no está en marcha el plan de mitigación, vaya entonces al paso de planeación para
revisarlo.

Al principio este paso puede no parecer necesario, no resultando clara la distinción con el paso
de seguimiento. En la práctica, la necesidad de actuar suele ser detectada por una herramienta
o por personas que carecen de la responsabilidad, autoridad o experiencia que les permite
reaccionar. El paso de control garantiza que sean las personas apropiadas las que reaccionen
en el momento oportuno.

20
Por ejemplo:

· Se ha detectado falta de capacitación del personal en un área técnica. Se ha definido un

desencadenador según el cual si el empleado no responde correctamente al 80% de un
cuestionario, el resultado de la evaluación le avisa al responsable de capacitación para
ejecutar un plan de contingencia que asigne más horas. La detección forma parte del paso
de seguimiento, el aviso al jefe de capacitación es la transición entre los pasos de
seguimiento y de control, mientras que la acción del jefe de capacitación es el paso de
control propiamente dicho.
· El responsable de un proceso puede no tener la experiencia necesaria en el mantenimiento
de un cuarto frío, por lo que esa falta de experiencia crea riesgos. Supongamos que se ha
contratado con otra organización el mantenimiento, en cuyo caso algunos de esos riesgos
pueden no ser ya relevantes. La percepción de que algunos riesgos pueden ser ahora
irrelevantes forma parte del paso de seguimiento. El paso de control inicia la nueva
evaluación y, si el riesgo se considera ya irrelevante, el paso de control lo retira.
· Supongamos que alguien que investiga problemas de seguridad descubre que el impacto
de un riesgo conocido puede ser mucho menor que lo que se había calculado. Comprender
la necesidad de volver a evaluar el riesgo pertenece al paso de seguimiento. En el paso de
control se asigna a alguien la nueva evaluación de la probabilidad y el control del riesgo
pasa a la fase de análisis, donde la probabilidad puede ser revisada.
· Supongamos que se diseñó un plan de mitigación para reducir un 20% en tres meses la
probabilidad de un determinado riesgo. La revisión periódica del plan de mitigación revela
que en los dos primeros meses la probabilidad sólo se ha reducido un 5%, por lo que se le
indica al propietario del riesgo que investigue ese déficit. El análisis periódico forma parte
del paso de seguimiento. El paso de control consiste en notificar al propietario que el plan
de mitigación ha de ser evaluado nuevamente.

PRÁCTICAS RECOMENDADAS

El paso de control tiene una gran dependencia de la efectividad de las comunicaciones, tanto
para recibir la notificación de que partes de los riesgos y los planes han cambiado como para
garantizar que la acción la realicen las personas adecuadas en el momento oportuno. El paso
de control será tan efectivo como lo sea la comunicación.
Para finalizar esta primera parte de las Buenas Prácticas de Seguridad, podemos decir a
manera de resumen que, la administración del riesgo, varía de una organización a otra, incluso
con el transcurrir del tiempo, no se puede hablar de un conjunto de reglas o procedimientos
únicos que nos garanticen la seguridad de todas las personas y bienes, en todos los sitios y en
todo momento.

En la actualidad se debe revisar e implementar procedimientos de seguridad confiables, para

minimizar la probabilidad de que ocurra un evento no deseado.

21
 PARTE II
EL SISTEMA DE GESTION EN CONTROL Y SEGURIDAD SGCS

La implantación de un sistema de gestión de cualquier tipo es una tarea de gran envergadura

para cualquier organización que desee mejorar su actividad empresarial, más si se trata de un
Sistema de Gestión en Control y Seguridad; sin embargo, una planificación adecuada y el
respaldo de la alta dirección pueden facilitar en gran medida este proceso.

1. COMPRENSIÓN DEL SISTEMA DE GESTIÓN EN CONTROL Y SEGURIDAD Y SUS

REQUISITOS

Participación de la alta dirección

Todas las personas que participan en la decisión de implantar un SGCS deben contar con una
comprensión básica de lo que esto supone. Normalmente, al implantarlo por primera vez, la
alta dirección toma la decisión de hacerlo, pero la responsabilidad de llevar a cabo todo el
proceso recae sobre el director de implantación, que puede ser, por ejemplo, el director, jefe,
gerente de la seguridad.

Lo idóneo es que, al tomar esta decisión, la alta dirección cuente con la información necesaria,
puesto que su respaldo es básico tanto durante la propia implantación como durante el uso
posterior del sistema.

Lectura de la Norma BASC

Es imprescindible hacerlo en algún momento. Puede parecer una tarea ardua y aburrida, pero
todas las personas que vayan a implantar el sistema deben leer la Norma en su totalidad y
familiarizarse con ella.

Aumento de la comprensión del Sistema de Gestión

Puede resultar muy beneficioso que la alta dirección asista a un curso de formación
introductorio, de 2 horas de duración. También sacará provecho de este curso el
Representante de la Alta Dirección, aunque para él puede ser conveniente desarrollar una
comprensión más amplia a través del curso de Auditor Interno del SGCS y de la lectura de
publicaciones sobre el tema.

2. IMPLANTACIÓN DEL SISTEMA

Repaso de las opciones y la documentación de referencia

También existen cursos de formación y publicaciones disponibles si desea implantar el SGCS

sin ayuda. No obstante, numerosas empresas contratan servicios de consultoría para que les
ayuden en esta parte del proceso. Los consultores conocen a la perfección el uso del SGCS y
saben qué debe hacer una empresa para utilizarlo con eficacia. Le podrán ayudar a lo largo de
todo el proceso de implantación, además de asesorarle sobre cómo personalizar el SGCS de la
manera más apropiada para satisfacer las necesidades de su empresa y sobre cómo sacar el
máximo partido de su uso.

22
Formación del personal sobre el SGCS para familiarizarse con él

Durante la implantación es importante que todo el personal que afecte a la seguridad en la

empresa se familiarice con el SGCS, es decir, que sepan qué es y cómo va a afectar a sus
tareas cotidianas. Una vez más, los cursos de formación pueden resultar de gran ayuda,
aunque muchas empresas prefieren desarrollar cursos específicos para sus requisitos
concretos.

3. CERTIFICACIÓN DEL SISTEMA DE GESTIÓN EN CONTROL Y SEGURIDAD

Cuando el SGCS ya está en marcha, es fundamental certificarlo a través de un Capítulo BASC,

a fin de garantizar su eficacia a largo plazo. Al momento de elaborar la quinta edición de este
manual, existen 27 Capítulos BASC, en 11 países.

Elección del Capítulo Certificador

La elección puede resultar compleja, puesto que hay varios factores que se deben tener en
cuenta, que incluyen:

· Cobertura geográfica
· Experiencia en el sector
· Acreditación
· Estructura de precios y honorarios

Proceso de certificación

Una vez elegido el Capítulo más adecuado para sus necesidades, el proceso de certificación
constará de los siguientes pasos:

· Programa de capacitación inductivo

· Auditoria de precertificación
· Auditoria de certificación
· Auditorias de control
· Auditorias de recertificación

4. PROMOCIÓN Y MANTENIMIENTO DEL SGCS

Después de tanto trabajo dedicado a conseguir implantar y certificar el SGCS, las ventajas no
se limitan al ámbito interno. Promocionar el hecho de tener un SGCS certificado ante los
clientes y otras partes interesadas puede conllevar ventajas significativas.

El mantenimiento y la mejora continua del SGCS son el siguiente paso. Como cualquier
empresa, el sistema de gestión en control y seguridad es un organismo vivo, y es preciso
modificarlo y actualizarlo constantemente para que sea eficaz. El mantenimiento y la mejora
continua del sistema a través del proceso de auditorias internas y de control, es de carácter
obligatorio para conservar la certificación.

23
La versión V4-2012 de los Estándares y la Norma del Sistema de Gestión en Control y
Seguridad BASC, contienen criterios mínimos de seguridad del Customs Trade Partnership
Against Terrorism, CTPAT, de la Oficina de Aduanas y Protección Fronteriza de los Estados
Unidos, CBP.

Esta versión tiene 8 estándares:

1. REQUISITOS DE ASOCIADOS DE NEGOCIOS

2. SEGURIDAD DEL CONTENEDOR Y DE LA CARGA
3. CONTROL DE ACCESO FÍSICO
4. SEGURIDAD DEL PERSONAL PROPIO, SUBCONTRATADO Y TEMPORAL
5. SEGURIDAD EN LOS PROCESOS
6. SEGURIDAD FISICA
7. SEGURIDAD EN LA TECNOLOGÍA INFORMÁTICA
8. ENTRENAMIENTO DE SEGURIDAD Y CONCIENCIACIÓN SOBRE AMENAZAS.

La Norma por su parte, está dividida en 4 numerales:

1. OBJETO, ALCANCE, APLICACIÓN Y EXCLUSIONES

2. REFERENCIAS NORMATIVAS
3. TÉRMINOS Y DEFINICIONES
4. REQUISITOS DEL SISTEMA DE GESTIÓN EN CONTROL Y SEGURIDAD SGCS

Es importante mencionar que en la versión 3-2008, existía en los estándares una parte A y una
parte B. Lo que se hizo en la versión 4-2012, es incorporar la parte B en los estándares de la
parte A y algunos aspectos que se incluían en la parte B, trasladarlos al contenido de la Norma.
De esta manera se logró una estructura más fácil de implementar, de mantener y de auditar.

A continuación, brevemente explicaremos algunos de los aspectos a considerar para la

implementación del SGCS:

Ø El completo cumplimiento de la legislación vigente en cuanto al funcionamiento de una

empresa, es el primer paso en el proceso de certificación BASC.

Ø Mantenga un listado de aquellos requisitos que por ley Usted debe cumplir para el
funcionamiento de su empresa; además, tenga los documentos que certifiquen que Usted
cumple con la Ley.

Ø El Sistema de Gestión en Control y Seguridad, es una serie de elementos que interactúan

o que están interrelacionados, para establecer y cumplir con una Política y Objetivos, con
el fin de dirigir y controlar una organización con respecto a la seguridad.

Ø Antes de la primera auditoria de tercera parte, un documento que indique el estado en el

que se encuentra la empresa con respecto al SGCS. Para poder hacerlo, se requiere que
haya con anterioridad un auditor interno certificado, quien con las herramientas que posee,
podrá con facilidad realizar este diagnóstico. El resultado de una auditoria interna, bien
puede ser la evidencia objetiva.

24
 Ø El desarrollo de una política de seguridad comprende la identificación de los activos
organizativos, evaluación de amenazas potenciales, la evaluación del riesgo,
implementación de las herramientas y tecnologías disponibles para hacer frente a los
riesgos. Es el compromiso de la alta gerencia para con accionistas, empleados, clientes y
proveedores. Si usted tiene ya una política de algún otro sistema de gestión, incluya lo
relacionado a la política de seguridad. Estos son ejemplos de una política:

· “(Nombre de la empresa) proporciona/vende/exporta (detalle su producto o servicio)

que ofrecen un valor agregado en cuanto a los procedimientos de seguridad que aquí
cumplimos, mejorando continuamente nuestra organización y, de esta manera,
generar confianza en nuestros, clientes, accionistas y empleados.”
· “La calidad y la seguridad es la base de todas las actividades en (nombre de la
empresa); todo empleado debe prestar una aportación significativa a la calidad y a la
seguridad. Esta política es la base de trabajo de cada empleado de (nombre de la
empresa). La política de “no contaminación” en todos nuestros productos, procesos y
prestaciones de servicios es esencial para asegurar el futuro de la compañía. Nuestro
mayor objetivo es la satisfacción de nuestros clientes. Lo cumplimos con productos
sin fallas, con puntualidad y bajo estrictos parámetros de seguridad.”

Ø Para que la política de seguridad se cumpla, la alta dirección debe establecer objetivos
parciales que pueden estar relacionados al cumplimiento de la política de seguridad.
Recuerde que todo objetivo que respalde el cumplimiento de la política de seguridad, debe
ser medible y realizable.

Ø La empresa debe definir quienes cumplirán funciones de seguridad y establecer las

responsabilidades de cada uno. Por ejemplo: responsabilidades del jefe de exportaciones,
del jefe de sistemas, del encargado del transporte, de los transportistas, de los guardias,
del jefe de personal, etc. La empresa determinará en un documento en quienes recae y
cuáles son estas responsabilidades de cada uno. Las funciones y responsabilidades del
personal que afecta a la seguridad, deberían salir de su matriz de riesgos.

Ø Durante la auditoria se debe evidenciar que el máximo representante de la empresa ha

realizado una revisión total del sistema. Puede aplicarse por ejemplo que en las auditorías
internas realizadas, se evidencie una firma del gerente general, disponiendo el
cumplimiento inmediato de las solicitudes de acción correctiva.

Ø Como en todo sistema de gestión, el SGCS, requiere que se evidencie mediante un

documento, el nombramiento de una persona delegada del gerente general. Esta persona
es el RAD, Representante de la Alta Dirección, y es el nexo directo entre la empresa y el
Capítulo certificador. Esta persona debe ser del nivel directivo de la empresa.

Ø El manual de seguridad es un documento indispensable para poder realizar una auditoria,

sea interna o externa. Este manual detalla el “como” se cumple cada uno de los requisitos
del SGCS.

Ø Las auditorías internas son la mejor forma para asegurar el mantenimiento del SGCS. Al
menos 2 veces al año, se las debe efectuar y las mismas pueden ser revisadas por el
gerente general o el RAD. Es recomendable que el auditor interno sea una persona
distinta al jefe de seguridad.

Ø Para hacer las auditorías internas, los auditores deben haber sido previamente calificados
por el Capítulo BASC.

25
Ø Disponga de un mapa de procesos. Un mapa de procesos no es más que un gráfico que
indique la forma en que se cumple el proceso. Un proceso puede ser definido como un
conjunto de actividades interrelacionadas entre sí que, a partir de una o varias entradas de
materiales o información, dan lugar a una o varias salidas también de materiales o
información con valor añadido. En otras palabras, es la manera en la que se hacen las
cosas en la organización.

Ø Ejemplos de procesos son el de producción y entrega de bienes y/o servicios, el de

gestión de relaciones con los clientes, el de desarrollo de la estrategia, el de desarrollo de
nuevos productos/servicios, el transporte de la carga, etc. Estos procesos deben estar
correctamente gestionados empleando distintas herramientas de la gestión de procesos.

Ø Un mapa de procesos correctamente elaborado, puede fácilmente ser caracterizado

indicando en cada etapa del proceso, las actividades que en esa etapa se cumplen y quien
o quienes son los responsables de su ejecución.

Ø Es indispensable que al realizar una auditoria, quede evidencia de las acciones que se
tomarán para cerrar una no conformidad. Esta evidencia se llama Solicitud de Acción
Correctiva y/o Preventiva, según sea el caso. El detalle de cómo elaborarlo, se
proporciona en el curso de Auditor Interno.

El elemento humano es el eslabón más débil o el eslabón más fuerte en una cadena de
prevención de riesgos. Administrar el recurso humano, es la dinámica que impulsa la debida
utilización de los recursos humanos y tiene como finalidad combinar a los grupos de trabajo de
una empresa para imprimir mayor eficacia en el logro de los objetivos de seguridad.
Cada nuevo empleado de la Organización es una apuesta de futuro. La empresa asigna una
serie de tareas y responsabilidades al nuevo empleado, y le proporciona los medios materiales
y la información necesaria para que pueda llevarlas a cabo. Por lo tanto, debe existir un
procedimiento de reclutamiento que tenga en cuenta los siguientes aspectos relativos a la
seguridad:

Ø Definición del puesto: Para cada nueva vacante se Debe definir la criticidad del puesto a
cubrir según su responsabilidad y la información que maneja. Cada empresa Debe definir
su criterio propio. Algunos puestos críticos pueden ser directivos, personal de seguridad,
personal de contabilidad, empacadores, choferes, etc.

Ø Selección: En la selección de candidatos a puestos críticos se Debe comprobar los

antecedentes penales y las referencias profesionales.

Ø Contrato: El contrato laboral Debe incluir los correspondientes acuerdos de

confidencialidad, propiedad intelectual y protección de datos.

Ø Comienzo: Durante los primeros días de trabajo, es recomendable que el empleado:

o Asista a unas sesiones de formación donde se le introduzca en la normativa interna y
de seguridad de la empresa. De este modo todo empleado conoce sus obligaciones de
seguridad tales como la protección de sus claves de acceso, uso adecuado del correo
electrónico e Internet, clasificación de la información, áreas restringidas, controles de
acceso, etc.
o Reciba el manual de normativa interna y firme el compromiso de cumplimiento del
mismo. Este trámite establece formalmente las normas internas y garantiza que el
empleado conoce la normativa existente.

26
Ø Accesos: Los accesos a la información y sistemas informáticos deben ser solicitados
siempre por el responsable directo del empleado, al departamento de sistemas. Dichos
accesos debe ser siempre justificables por la labor que se va a realizar, y en caso de ser
privilegiados, el departamento de seguridad, debe aprobar su concesión.

Utilice por ejemplo este mapa de procesos:

Ø En cuanto al mantenimiento del personal, si los empleados que ha seleccionado, ocuparán

posiciones críticas, haga una verificación de su domicilio. Deje evidencia que realizó las
visitas.

Ø Cumpla con sus obligaciones laborales y de seguridad social y acatando estrictamente lo

que dice la ley, haga pruebas de polígrafo, de detección de consumo de drogas y alcohol.
Insistimos, el cumplimiento de este elemento dependerá de la legislación vigente; sin
embargo, mientras pueda hacerlo, hágalo. Al menos el 5% del total de empleados, una
vez al año, de forma aleatoria, debería ser sometido a estas pruebas. Incluya esto
contractualmente y en su reglamento interno de la empresa. Empiece con los cargos
críticos.

Ø Difunda a través de carteles informativos, el daño que hace consumir drogas y alcohol.
Elabore folletos sobre el tema. Incluya dentro de su cronograma de capacitación, charlas
al respecto. Descargue afiches en www.basc-pichincha.org

Ø En la hoja de datos personales, incluya una fotografía, de preferencia a color del

empleado. Registre en la misma hoja las huellas digitales de la mano derecha del
empleado y la firma. Las huellas pueden ser tomadas de una almohadilla común de
escritorio.

Ø Establezca un procedimiento para entrega, reposición, anulación y responsabilidad sobre

el uso de los uniformes, tarjetas de identificación, llaves, etc. En el procedimiento indique
por ejemplo, que el uso de estos elementos es exclusivo para el interior de la empresa.
Indique también que el empleado debe devolverlos antes de terminar su relación laboral.
Puede incluir también que su mal uso del uniforme es de responsabilidad única del
empleado.

27
Todo el SGCS está enfocado a la seguridad de los procesos, al cuidado de las personas y los
bienes, a través de otras personas o de medios tecnológicos. Es importante para ello, entre
otras cosas que:

Nombre un jefe o responsable de la seguridad de su organización. Lo óptimo sería que tenga

una persona que se encargue únicamente de esta función. Como en la mayoría de los casos
esto no es posible, capacite a una persona que ya labore en la empresa, para que asuma
también esta responsabilidad.

Ø En un plano de la empresa, ubique las áreas restringidas, zonas críticas y puntos de

acceso a estas áreas.

Ø Haga inspecciones aleatorias de los casilleros de los empleados y deje un registro de

ellas. En lo posible, deben estar hechos de material que permitan ver su interior, puertas
de malla por ejemplo.

Ø La empresa de seguridad que usted contrate, debe cumplir sus requerimientos. Usted es
quien paga por el servicio. Asegúrese de que los guardias de la empresa contratada,
hayan cumplido con sus procedimientos de selección y contratación de personal. Verifique
que sea personal capacitado. Contrate una empresa que cumpla con todos los requisitos
legales y que los guardias tengan un seguro de vida.

Ø Las empresas por lo general disponen de equipos portátiles de comunicación interna.

Asegúrese de que estos estén siempre funcionando. Tenga medios alternativos de
comunicación. Si uno falla, el otro debe estar disponible. Conozca la forma de
comunicarse con las autoridades. Disponga de los números telefónicos, correos
electrónicos de las autoridades con las cuales en caso de requerirse, usted pueda tener
contacto inmediato. Mantenga siempre actualizada esta lista. Elabore una cadena de
llamadas para que en una emergencia, las comunicaciones lleguen de manera oportuna a
quienes deban responder ante la emergencia.

Ø En caso de que sea necesario evacuar las instalaciones, la empresa debe contar con
métodos que alerten al personal para que abandone las instalaciones; por ejemplo,
sirenas, pitos, altoparlantes o cualquier dispositivo que indique que una emergencia se ha
presentado. Pruebe constantemente estos dispositivos y deje un registro de estas
pruebas.

Ø Elabore un procedimiento de evacuación y establezca responsabilidades para dejar

puertas cerradas, computadores apagados, documentación guardada, etc. Muchas de las
emergencias pueden ser provocadas a propósito con el fin de que al momento de la
ofuscación, la carga, los documentos o mercancías, sean alterados, robados o
contaminados. Debe tener claro que una contingencia es cuando usted puede suplir la
falta o falla de un proceso, por otra acción, y al final el proceso puede ser concluido. Una
emergencia es cuando usted debe parar por completo las actividades de la empresa hasta
retornar al estado normal.

Por ejemplo, una contingencia en el transporte puede ser un bloqueo de una carretera. Su
plan de contingencia indicará las vías alternas. Por otro lado, un incendio de grandes
proporciones, es una emergencia que le impedirá continuar trabajando hasta que el
incendio haya sido sofocado y se hayan evaluado los daños. Si usted tiene ya claro
cuando es una emergencia y cuando una contingencia, realice prácticas o simulacros para
verificar que todos los empleados sepan cómo actuar en cada caso. Deje una evidencia de
la realización de estas prácticas.

28
Logística es el conjunto de acciones que realiza un empresario desde que inicia la compra de
insumos y materia prima hasta la entrega del producto terminado al cliente, incluyendo el
transporte, la producción, embalaje, almacenamiento y distribución de sus productos. Para que
esto funcione, usted debe asegurar el mantener disponible al información que le permita hacer
trazabilidad a todos sus procesos, ya que esto le permitirá saber con exactitud, cómo y quién
ha manipulado su carga en determinado momento de la cadena logística. La trazabilidad hace
un seguimiento de un determinado proceso.

Ø Elabore un procedimiento que permita identificar su carga. Marque por ejemplo las cajas
con alguna señal que solo usted reconozca. Utilice códigos de barras, embalaje especial,
cintas de embalaje con su marca, etc.

Ø Si en el puerto o el aeropuerto, la naviera, el patio de contenedores, una autoridad, debe

mover el contenedor, Usted debe conocer de este movimiento.

Ø Use sellos de alta seguridad para sus contenedores de exportación. Estos sellos deben
cumplir o superar la Norma ISO17712.

Ø Controle a sus choferes y/o a la empresa transportista. Tenga rutas predeterminadas;

haga un estudio de esas rutas y fije los puntos seguros (gasolineras, restaurantes, talleres
mecánicos, etc.)

En cuanto al uso de materia prima y material de empaque, tenga mucho cuidado. La materia
prima es el elemento que la industria, con su tecnología, es capaz de transformar en producto
elaborado. Puede ser un elemento de la naturaleza, recurso natural, o un producto semi-
elaborado por otro proceso industrial.

El material de empaque, es el material o producto colocado alrededor de uno o varios artículos

en el interior de un embalaje, a fin de protegerlos contra impactos y vibraciones. El material de
empaque, por lo general lleva la imagen corporativa de la empresa y sin las debidas
precauciones puede ser mal utilizado en perjuicio de la organización.

Ø Coloque algún distintivo especial que diferencie al material de empaque para los productos
de exportación del nacional o de venta local. Si Usted utiliza el mismo material de
empaque para exportación y venta local, el nivel de riesgo que esta asumiendo, aumenta,
pues las organizaciones al margen de la ley que quieran conspirar contra la empresa,
usando su marca, tendrán mayor facilidad para hacerlo.

Ø Es importante que este procedimiento incluya lo que se hace con este material que haya
sido declarado inservible. Coloque algún distintivo que indique que el material puede ser
desechado y que desde ese momento, ya no es su responsabilidad sobre el uso que se
haga de él. Por ejemplo, córtelo en trozos pequeños, márquelos con una “x”, etc. Siempre
deje un acta cuando dé de baja material de empaque inservible, indicando cantidad, peso,
características, personas presentes en la destrucción, donación, o lo que se haya decidido
hacer.

Ø Bajo ningún concepto deje de cumplir sus obligaciones legales con respecto al uso de
sustancias químicas controladas. En Ecuador, el CONSEP exige el cumplimiento de un
reporte mensual por el uso de sustancias controladas. Si usted no está seguro de qué
sustancias usa, haga la consulta respectiva al CONSEP, o visite
http://www.consep.gov.ec/sustan.htm donde encontrará el detalle de todas las sustancias
controladas y que si las usa en su proceso, debe cumplir la legislación vigente. Este
reporte, en Ecuador, debe ser entregado hasta el 10 de cada mes como máximo.

29
Para que todo funcione adecuadamente, tenga mucho cuidado con respecto al uso, manejo,
protección de la información. Un documento es el testimonio material de un hecho o acto
realizado en el ejercicio de sus funciones por organizaciones o personas físicas, jurídicas,
públicas o privadas, registrado en una unidad de información en cualquier tipo de soporte
(papel, cintas, discos magnéticos, películas, fotografías, etc.).

Por otro lado, la seguridad de la información consiste en proteger uno de los principales activos
de cualquier empresa. La seguridad de la información es requisito previo para la existencia a
largo plazo de cualquier negocio u organización. La información es usada en cada uno de los
ámbitos empresariales, los cuales dependen de su almacenamiento, procesado y presentación.

Los tres fundamentos básicos de la seguridad en la información son:

· Confidencialidad. La información Debe ser accedida sólo por las personas autorizadas
a recibirla.
· Integridad. La información Debe ser correcta y completa.

· Disponibilidad. La información Debe estar disponible siempre que sea necesario.

La información podría sin los controles adecuados, ser mal utilizada o utilizada sin autorización.
Se entiende por utilización no autorizada una condición del entorno del sistema de información
que, dada una oportunidad, podría dar lugar a que se produjese una violación de la seguridad
(confidencialidad, integridad, disponibilidad). La política de seguridad y el análisis de riesgos
habrán identificado las amenazas que han de ser contrarrestadas. Un ataque no es más que la
realización de una amenaza.

Las cuatro categorías generales de amenazas o ataques son las siguientes:

30
 Interrupción: un recurso del sistema es destruido o se vuelve no disponible. Este es un
ataque contra la disponibilidad. Ejemplos de este ataque son la destrucción de un
equipo (hardware), como un disco duro, o cortar una línea de comunicación.
Intercepción: una entidad no autorizada consigue acceso a un recurso. Este es un
ataque contra la confidencialidad. La entidad no autorizada podría ser una persona, un
programa o un computador. Ejemplos de este ataque son “pinchar” una línea para
hacerse con datos que circulen por la red y la copia ilícita de ficheros o programas
(intercepción de datos), o bien la lectura de las cabeceras de paquetes para desvelar la
identidad de uno o más de los usuarios implicados en la comunicación observada
ilegalmente (intercepción de identidad).
Modificación: una entidad no autorizada no sólo consigue acceder a un recurso, sino
que es capaz de manipularlo. Este es un ataque contra la integridad. Ejemplos de este
ataque son el cambio de valores en un archivo de datos, alterar un programa para que
funcione de forma diferente y modificar el contenido de mensajes que están siendo
transferidos por la red.
Fabricación: una entidad no autorizada inserta objetos falsificados en el sistema. Este
es un ataque contra la autenticidad, ejemplos de este ataque son la inserción de
mensajes espurios en una red o añadir registros a un archivo

Ø Redacte un procedimiento para el uso de sus documentos. Determine por ejemplo, cuáles
son confidenciales y codifíquelos, y cuáles no lo son. Indique las personas autorizadas a
manejar cada tipo de documento. Exija con sus empleados contractualmente un
compromiso de confidencialidad sobre la documentación e información de la empresa.
Cuando haya codificado a todos los documentos de su empresa, elabore un listado de
todos ellos.

Ø La codificación es algo que asusta porque jamás hacemos algo parecido en nuestra vida,
pero es realmente fácil. Este es un ejemplo que funciona muy fácil:

Utilizar un sistema de 3 elementos, algo así: X-XX-XXX

La primera X identifique el documento, por ejemplo:

M = Manual
P = Procedimiento
I = Instrucciones de trabajo
F = Formato
D = Dibujo o Plano
N = Norma, Documento externo, requisitos legales

Las siguientes XX, identifican la gerencia o departamento, por ejemplo:

OP = Operaciones
FB = Fabricación
MN = Manufactura
GA = Gerencia Administrativa
RH = Recursos Humanos
GS = Gerencia de Seguridad

31
 Y finalmente los XXX son un número correlativo, 001, 002, 003 y así en adelante,
de esta manera el manual de seguridad sería:

M-GS-001, ¿fácil verdad?

Ahora, lo que se debe hacer es crear una lista de documentos que necesitará de acuerdo
con la norma, y codificarlos, entonces se tendría algo así:

Manual de seguridad = M-GS-001

Manual de procedimientos operativos = M-OP-03
Normas aplicables = N-GC=004

Luego vienen los documentos menores:

Procedimiento para el control de documentos P-GS-001

Procedimiento para el control de registros P-GS-002
Procedimiento para el control del producto o servicio no conforme P-GS-003
Procedimiento de auditorías internas P-GS-004
Procedimiento para la acción correctiva P-GS-005
Procedimiento para la acción preventiva P-GS-006

Y finalmente los registros:

Formato de no conformidad y solicitud de acciones correctivas/preventivas. F-GS-001

Lista maestra de documentos L-GS-001

Ø En el mismo procedimiento anterior, establezca la manera en que un empleado puede

acceder por ejemplo a sacar una copia de determinado documento. Quien entrega el
original, por ejemplo, hará firmar un registro de quien utilizará el documento y el motivo de
la solicitud. No permita el que los originales o copias de un documento, circulen sin alguna
forma de control.

Ø El o los sitios en dónde se almacenen los documentos, necesariamente deben contar con
seguridad. Los archivadores por ejemplo, deben estar cerrados y bajo llave. Ya hemos
visto, que debe haber control sobre las llaves. Si usted terceriza el manejo de su archivo,
establezca contractualmente la confidencialidad de la información y haga visitas a la
empresa que maneja sus archivos a fin de verificar las seguridades empleadas.

Ø Designe un limitado número de personas para firmar y sellar los documentos. El firmar
“por”, debe estar plenamente establecido quien puede hacerlo.

Ø Tenga especial precaución en las firmas y sellos de los documentos de exportación. Ha

habido casos recientes en los que el gerente general está con problemas legales y hasta
privado de su libertad por haber firmado documentos que después se utilizaron para actos
ilícitos.

Ø Tenga bajo licencia, todo lo susceptible de contar con una. Verifique siempre los derechos
de autor de la información que usted utilice.

Ø Se debe establecer los procedimientos para la obtención de copias de seguridad de todos

los elementos de software necesarios para asegurar la correcta ejecución de los sistemas
de la empresa. Respalde todos los documentos sensibles. Para esto, recomendamos en lo
posible contar con:

32
 Backups del Sistema Operativo (en caso de tener varios Sistemas Operativos o
versiones, se contará con una copia de cada uno de ellos).
Backups del Software Base (Paquetes y/o Lenguajes de Programación con los cuales
han sido desarrollados).
Backups del Software Aplicativo (Considerando tanto los programas fuentes, como los
programas objetos correspondientes, y cualquier otro software o procedimiento que
también trabaje con la data, para producir los resultados con los cuales trabaja el
usuario final). Se Debe considerar también las copias de los listados fuentes de los
programas definitivos, para casos de problemas.
Backups de los Datos (Bases de Datos, Índices, tablas de validación, contraseñas, y
todo archivo).
Backups del Hardware.

Se debe establecer en sus procedimientos, normas y determinación de responsabilidades

en la obtención de los Backups mencionados anteriormente:

Periodicidad de cada tipo de Backup.

Respaldo de información de movimiento entre los períodos que no se sacan Backups
(backups incrementales).
Uso obligatorio de un formulario estándar para el registro y control de los Backups.
Almacenamiento de los Backups en condiciones ambientales óptimas, dependiendo del
medio magnético empleado.
Reemplazo de los Backups, en forma periódica, antes que el medio magnético de
soporte se pueda deteriorar.
Almacenamiento de los Backups en locales diferentes donde reside la información
primaria.
Pruebas periódicas de los Backups, verificando su funcionalidad, a través de los
sistemas, comparando contra resultados anteriores confiables.

En esta nueva versión, la selección de clientes y proveedores (asociados de negocios), es

parte fundamental para la implementación del SGCS.

Un cliente es quien habitualmente sostiene con una empresa comercial relaciones de demanda
de un bien o un servicio. Es quien en base a sus requerimientos, sostiene nuestra
organización. La movilización efectiva de las mercancías se desarrolla a través de un proceso
de selección de clientes, pues si la empresa no sabe con exactitud quienes son, podría
manejar un nivel de riesgo no aceptable.

Para seleccionar a un cliente, debemos considerar algunos parámetros y lo debemos incluir

dentro de nuestro análisis de riesgo.

Ø Establezca un procedimiento para saber quienes son sus clientes. Por ejemplo verifique
sus antecedentes crediticios, visite sus instalaciones, establezca contractualmente el
cumplimiento de obligaciones por parte del cliente en cuanto a seguridad se refiere. Por
ejemplo, recomiéndele el uso de determinada agencia de carga aérea o marítima que esté
certificada en BASC. Deje registros de estas acciones.

Ø Mantenga actualizada y disponible una lista de sus clientes que contenga nombres,
direcciones, teléfonos, etc., y verifique estos datos

33
 Es absolutamente importante que usted involucre a sus proveedores, especialmente a
aquellos que se los considera críticos en el Sistema de Gestión en Control y Seguridad,
dado el fundamental papel de estos en la consecución de la seguridad en la empresa.

La contaminación de una carga, es común que no se lo haga en la carga como tal, sino en
el cartón, en la madera o en cualquier otro material que sirva para su embalaje y empaque,
además en el camión o en el contenedor; y comúnmente estos bienes y servicios, son
proporcionados por una empresa ajena a la suya.

Ø Verifique quienes son sus proveedores. Realice auditorias de segunda parte a sus
proveedores, levante no conformidades, haga seguimiento a las solicitudes de acción
correctiva y preventiva. Si ellos quieren seguir trabajando con usted, deben cumplir sus
requerimientos de seguridad y calidad.
Ø Sea igual o más exigente que con un cliente al seleccionar a un proveedor. Hay varios
documentos que usted puede requerir: RUC (verifique en www.sri.gov.ec (o en la
agencia de gobierno correspondiente en su país) si su proveedor está registrado y
cumple sus obligaciones), certificado de cumplimiento de obligaciones y existencia
legal, etc.

Ø Estas visitas deben ser registradas a través de una auditoria interna. Si usted está
calificado por BASC como auditor interno, puede y debe hacer auditorias de segunda
parte a sus proveedores.

Ø Lo más recomendable es que su proveedor tenga la certificación BASC. Si no es así,

establezca en el contrato de prestación del servicio o de provisión de bienes, todo lo
que su proveedor debe cumplir en cuanto a seguridad se refiere para garantizar la
integridad e idoneidad del bien o del servicio prestado.

En definitiva, únase, haga alianzas estratégicas, pues es esta uno de los principales
instrumentos que deben utilizar las organizaciones para resolver exitosamente los desafíos
planteados por la globalización y competitividad que a su vez implican mayores riesgos en
cuanto al movimiento de la carga.

La Alianza Estratégica es un entendimiento que se produce entre dos o más actores sociales
diferentes, quienes gracias al diálogo y a la detección de objetivos de consenso, pueden definir
un Plan de Acción conjunto para lograr beneficios de mutua conveniencia.

Para su realización, hay que cambiar nuestra mentalidad y volver a mirar el escenario que nos
rodea, para reevaluar a enemigos, amigos y desconocidos, buscando aquello que a nosotros
nos conviene y que a otros actores también les podría convenir.

Las Alianzas Estratégicas sirven para varias cosas:

Ø Para cumplir con los objetivos específicos de la empresa. Es decir, para conseguir todo
aquello que le conviene de manera directa (ganancia económica, consolidación
institucional, bases de estabilidad, contactos, prestigio, influencias, etc.) y por supuesto
en el tema que nos ocupa, incrementar el nivel de seguridad de nuestra organización.

34
Ø Para ayudar a crear un sistema de convivencia más armonioso, favoreciendo así al
conjunto de toda la sociedad.

Ø Para generar oportunidades de desarrollo que no sólo sirvan para la propia empresa,
sino para que otros también se beneficien. De esa manera, hay también un beneficio
indirecto, pues habrán más clientes, más amigos, más aliados, más apoyos, una
interacción más agradable y más posibilidades para todos.

Ø Para mejorar la integración social y para propiciar formas de participación más eficaz.
Si las alianzas estratégicas se multiplican, será más fácil entenderse entre los distintos
sectores; el manejo de la empresa será más simple y eficiente; la coordinación práctica
de actores diferentes en la cadena logística será más fluida y efectiva; y se
incrementarán las posibilidades para que mejorar la información, la participación en las
decisiones, en las acciones y en los beneficios, por parte de todos los involucrados.

Ø Para lograr mejorar la calidad de vida y dar mejores oportunidades de desarrollo

humano a todos los miembros de la empresa. Es decir, las alianzas estratégicas
pueden ser un factor clave en el desarrollo integral de una organización.

Ø Hay que promover la toma de consciencia sobre la importancia y utilidad práctica de las
alianzas estratégicas, en los diferentes niveles de la empresa, comenzando por su
dirección general, para que la empresa pueda hacer un uso eficiente de este recurso
estratégico.

Ø La alianza estratégica debe ser tratada en forma similar a cualquier proyecto de

inversión, es decir, se deben estimar las inversiones y resultados económicos de modo
de mantener un control económico racional y objetivo.

En principio, hay que desarrollarlas con todo el mundo, pues así como todos tienen
defectos, también todos tienen algo positivo que aportar. Hasta quienes aparentemente son
insignificantes, pueden ser útiles y su alianza para la empresa puede resultar beneficiosa.

Sólo en lo que se refiere al beneficio directo de la empresa (ya que también pueden
plantearse alianzas estratégicas para el desarrollo de la comunidad, el desarrollo de la
cultura, la protección del medio ambiente, la prevención de la delincuencia, etc.), los
candidatos más obvios son:

o Proveedores
o Trabajadores de la propia empresa
o Clientes reales (los que ya son)
o Clientes y proveedores potenciales (los que pueden llegar a ser, si es que…)
o Competidores (el antagonismo aparente, puede dar paso a un racional entendimiento
para lograr beneficios comunes)
o Representantes del Gobierno Central (ministerios, policía, etc.) o de gobiernos
seccionales (Juntas Parroquiales, Municipios, Consejos Provinciales, bomberos, etc.)
o Representantes de la Sociedad Civil (Fundaciones, ONG´s, entidades culturales,
deportivas, religiosas, financieras, etc.)
o Agencias internacionales de desarrollo.

En general, toda persona, natural o jurídica, toda institución, que quiera lograr algo similar o
coherente a lo que quiere lograr uno mismo. Es decir, todo el mundo, ya que siempre habrá
aspectos de interés común y siempre será posible identificar beneficios compartidos que
pueden ser alcanzados mediante la cooperación.

35
Evitar los dogmatismos. Quien cree tener verdades definitivas puede sufrir grandes
frustraciones y grandes fracasos. Hay que respetar y evaluar con mucho cuidado a grandes
y a chicos. Si manejamos mal las cosas, cualquiera puede hacernos daño. Si manejamos
bien las cosas, cualquiera puede sernos útil.

Hay 7 pasos recomendados para establecer una alianza estratégica exitosa:

a. Tener clara la conveniencia para nuestra empresa;

b. Detectar oportunamente que es lo que les conviene a los demás;
c. Analizar coincidencias y diferencias;
d. Hacer un primer plan estratégico;
e. Dialogar para persuadir y lograr consensos;
f. Hacer una planificación participativa con los aliados estratégicos;
g. Ejecutar esta planificación participativa y hacerle su seguimiento y evaluación para
reciclar todo el proceso.

Para conocer más de alianzas estratégicas, visite:

http://www.mailxmail.com/curso/empresa/alianzasestrategicas/capitulo1.htm

36