ISO 28.000:2007 La Seguridad en la Cadena de Suministro Una publicación editada por: CRÉDITOS Edita: Ayuntamiento de Coslada. Área de Desarrollo Económico, Empleo, Comercio y Transportes: • Concejal: Manuel Marín Pérez. • Directora: Belén García del Ordi. Equipo Técnico Ayuntamiento Coslada: Área de Desarrollo Económico, Empleo, Comercio y Transportes: • Mª. Luz del Hierro: Técnica • Rubén Camarero: Promotor Laboral. Contenidos Coordinación Técnica: Centro Español de Logística Ramón García. Director de Innovación y Proyectos. Centro Español de Logística Desarrollo Técnico: • David Lloret. Gerente de Desarrollo de negocio ABS Quality Evaluations. • Pedro Pablo Peláez. Responsable de Negocio. Informática El Corte Inglés, S.A. Otras colaboraciones: Asociación Española para la Calidad. Maquetación y arte final: Departamento de Comunicación Centro Español de Logística Para la redacción de esta publicación se han utilizado como referencia los textos oficiales de la Norma ISO 28.000:2007, tanto en su original en lengua inglesa, como su traducción oficial al castellano, la norma ISO 28.001:2006 Sistemas de Gestión para la Cadena de Suministro. Buenas Prácticas para la Implantación de la Seguridad para la Cadena de Suministro. Evaluación y Planes; así como la Guía para Implementación de la ISO 28.000 de ABS Quality Evaluations y la Guía de Auditores para la ISO 28.0000 de ABS Quality Evaluations Copyright 2009: Reservados todos los derechos a los autores de los textos. Prohibida la reproducción total o parcial del contenido de esta obra, salvo permiso expreso y con cita expresa de la fuente. ISO 28.000:2007 La Seguridad en la Cadena de Suministro SUMARIO 1.Presentaciones Institucionales 2.Coslada y la Actividad Logística y de Transporte 3.Datos del Sector 4.Riesgos de la Cadena de Suministro 5.Entorno Normativo 6.La Norma ISO 28.000:2007 7.Pasos para la Implantación 8.Conclusiones y Beneficios 5 ISO 28.000 La Seguridad en la Cadena de Suministro Presentación Institucional Ayuntamiento de Coslada Ángel Viveros Gutiérrez Alcalde de Coslada Estimado/a empresario/a: Esta publicación que tiene en sus manos, sobre “ISO 28.000 Sistemas de Gestión de Seguridad en la Cadena de Suministro”, norma de gestión que aparece en el 2008, constituye una actuación innovadora más que pone en marcha el Ayuntamiento de Coslada, a través de la Concejalía de Desarrollo Económico, Empleo, Comercio y Transportes, con objeto de impulsar una actividad económica estratégica en nuestro municipio, como es la logística y el transporte, junto con el resto de las actividades anexas a este sector. La Concejalía de Desarrollo Económico, Empleo, Comercio y Transportes está certificada desde el año 2004 en la Norma ISO 9001, y tiene implantado desde el año 2006 el modelo Europeo de Excelencia en la gestión (EFQM), siendo un referente de calidad en el ámbito de la Administración Pública. Estos Estándares de Calidad aplicados a los programas y servicios que prestamos a la ciudadanía y a las empresas permiten 6 Manuel Marín Pérez Concejal de Desarrollo Económico, Empleo, Comercio y Transportes mantener un sistema de gestión actualizado, innovador, más ágil, eficaz y eficiente. Convencidos de los beneficios y la ventaja competitiva que los sistemas de gestión de la calidad aportan a la excelencia empresarial, el Ayuntamiento de Coslada actúa como organismo publico pionero a nivel europeo en la difusión de este nuevo sistema de gestión dentro del marco de la XV Semana Europea de la Calidad 2009, La Calidad Marca La Diferencia Esta Guía ha sido elaborada por personal experto en la materia con el fin de acercar a las empresas la Norma ISO, facilitar su comprensión y mostrar las ventajas de su implantación. Desde el Ayuntamiento de Coslada esperamos que en estos momentos de especial dificultad económica, esta Guía les ayude en la mejora continua de su gestión empresarial, lo que redundará sin duda alguna en beneficio de nuestra ciudad. ISO 28.000 La Seguridad en la Cadena de Suministro Presentación Institucional Centro Español de Logística garantías de seguridad en toda la cadena de suministro. En este sentido, las normas ISO se adaptan a la realidad del tráfico de mercancías, tanto a nivel nacional como internacional, y pretenden ofrecer una serie de garantías aplicables a todo el proceso logístico sin penalizar la rapidez y movilidad que, por su propia naturaleza, debe tener la logística. Vicente López Cabezón Presidente del Centro Español de Logística Estimado lector: El Centro Español de Logística tiene, desde su nacimiento hace 32 años, un compromiso permanente con el conocimiento logístico y con su difusión entre los profesionales del sector. Fruto de ello es, entre otras muchas publicaciones que el CEL ha elaborado a lo largo de su historia, esta en la que se desgranan las principales características de la Norma ISO 28.000:2007, y en la que el Centro Español de Logística ha actuado como aglutinador de conocimiento, coordinando un proyecto novedoso en nuestro país y que, dada la importancia que tiene cara a su aplicación inminente en las cadenas de valor, de gran interés para todos aquellos profesionales de la logística preocupados en mantener al día sus conocimientos, mediante el contacto con las últimas novedades del state of the art logístico La Norma ISO 28.000:2007 es la primera norma de calidad que se ocupa de las El Centro Español de Logística es la principal asociación nacional del sector logístico, con más de 700 miembros y 32 años de historia. El CEL promueve, como es el caso de esta publicación, las mejores prácticas en la cadena de suministro, mediante el intercambio de las mejores experiencias en el sector, con visitas a aquellas empresas que aplican innovadores sitemas de gestión de sus cadenas de suministro, y encuentros profesionales, en los que se presentan los más modernos sistemas de gestión y la última tecnología sectorial . Además, el Centro Español de Logística tiene el reto de potenciar la formación logística en nuestro país mediante la realización de cursos de reconocido prestigio internacional, avalados por asociaciones como APICS, en los Estados Unidos, o ELA, en Europa, de las que el Centro Español de Logística forma parte como asociación representativa del sector en nuestro país. El Centro también da cursos que cuentan con titulaciones propias. Entre los cursos que ofrece el Centro Español de Logística durante todo el año, en próximas fechas se impartirá uno dedicado a la norma ISO 28.000:2007 en Madrid y Barcelona. Supone esta ocasión un modo inmejorable para profundizar en los apuntes que se ofrecen en esta guía. 7 ISO 28.000 La Seguridad en la Cadena de Suministro Presentación Institucional Asociación Española de la Calidad Armando Veganzones Presidente de la Asociación Española de la Calidad Estimado lector: os p o er od Es un honor para nosotros poder e laa ISO ISO 2 8000 80 formar parte de esta Guía sobre 28000 egurrid dad e n laa CadeSistemas de Gestión de Seguridad en om movvid idaa de desde el Ayunna de Suministro” promovida slad da, a ttravés ravé ra avé véss de su Concejalíaa tamiento de Coslada, llo Ec Econ onóm on ómiico, Empleo, Comercio óm de Desarrollo Económico, spor orte or te te, e, ya que, que, desde el nacimiento de y Transporte, soci so ciac ci acción ió ón Espa paño pa ño ola par p araa la C ar alidad (AEC) laa Aso Asociación Española para Calidad en n1 196 961 96 1 de manos man nos o de de un u importa tante grupo ta 1961 importante e entusiastas entus usia us iastas ia ass de de la Calidad, Cal alid al i ad ad,, nuestraa Asociade n h a esta taado siempre lligada igad da al est tud u io e ción ha estado estudio am mbio o de experienc cia ias e n dife erentes intercambio experiencias en diferentes on el ffin in de favore recerr una e re voluámbitoss co con favorecer evolutiinu nua de la as organizac cion nes es spañoción continua las organizaciones españoC es una en nt ntidad privada sin áánimo nimo ni mo las. La AEC entidad yaa mi m sión e omen om enta en tarr ta de lucro cuya misión ess impulsarr y ffomentar daad de d las emp mpre mp resa re sas, sa s, d de lass e nla competitividad empresas, enqui u er otra natu turralezaa y de lo tu os tidades de cualquier naturaleza los año ñ les, s,, p promo ovi viendo o la la culprofesionales españoles, promoviendo sarr sa rrollo ssostenible, rr os tura de la calidad y e ell desa desarrollo a ue ge gene ne través de actuacioness q que generen valor para o nuestros socios y para laa ssociedad en general. 8 La ISO 28000 define requisitos y recomendaciones para organizaciones que estén involucradas en las cadenas de suministros, entendiendo como cadena de suministro todas las actividades que se desarrollan desde que entran las materias primas en la empresa, hasta que se produce la entrega del producto o servicio final al usuario. Esta norma tiene como objeto identificar los riesgos de cualquier tipología en las cadenas de abastecimiento, aportando un compendio de buenas prácticas para la implementación de la seguridad en la misma. En términos generales, y dada su estructura, la implementación de esta norma en el con co contexto o de un sistema de gestión estructurado ruct cttur urad ado ad o que q abarque todas las actividades organización, nos va a dade des de es de llaa organiz permitir mitir de de un modo modo sencillo, su integración otros gestión que pudieran con ot otro tro ross si sistemas de ge gest s ió st i nq existir en ell sistema de exis ex isstit r e n la empresa: e d calidad o el de medio ambiente. amb bie ente. Dicho D ich ic ho esto, e ess im importante mportan nte ttener e en en cuenta que gestión de cu uenta q ue llos oss si ssistemas iste ema mass de g estió ón d e la calidad herramienta más polida ad son una herram amient am ntta cada vez m ás p tente hora alcanzar nuestros objetivos, te ent n e a la h o a de alcan or nza zar nu ues e tros os o bjetivos pero no deben pe ero o n o deb ben ser ser considerados se consid iderados un fin en id mismos. Hay que aprender usarlos, gessí m ism mos. H ayy q ue apr pren pr ender a usar en rlo loss, ges stitionarlos y sa aca c rl r os e el máximo p pa artido o p sacarlos partido para conseguir co onseg e uir laa vviabilidad eg iab ia bilidad de llas as organ organizaciones, aniz iz au umen ntando la produc uctititividad uc d y eliminando la aumentando productividad vari riab ri a ilidad de loss p ab roces eso os Desde la Asociavariabilidad procesos. ción Español olaa para lla ol aC Española Calidad siempre hemos querido qu o aapoyar poyyar ttodas o aquellas iniciativas que, ccomo com co omo mo estaa p publicación, ayudan al fomento de la cal alid id calidad, la innovación, el desarrollo sostenibl ble y la responsabilidad social empresarial en diferentes ámbitos. Espero que esta Guía les sea ayuda en su quehacer y puedan mejorar día a día en la gestión de sus empresas y, así, hacer frente a las dificultades económicas que estamos atravesando. ISO 28.000 La Seguridad en la Cadena de Suministro Coslada: Ciudad de la Logística y el Transporte Concejalía de Desarrollo Económico, Empleo, Comercio y Transportes EL MUNICIPIO DE COSLADA El término municipal de Coslada ocupa una extensión de 12 km2 y se encuentra a sólo 12 kms al este de Madrid, formando parte del contexto subregional del Corredor del Henares, uno de los principales ejes de actividad económica de la región madrileña. De todos los municipios del Corredor del Henares metropolitano Coslada es el más cercano a la capital. DEMOGRAFÍA Coslada cuenta con una población total de 92.796 habitantes, de los cuales 46.632 son varones y 46.164 mujeres. Teniendo en cuenta que la superficie total es de 12 kilómetros cuadrados, Coslada tiene una de las densidades de población más altas de España. SECTORES ECONÓMICOS Y UNIDADES DE ACTIVIDAD Según datos de 1-1-2009 Coslada cuenta con 8.185 unidades locales de actividad. Las cuatro ramas de actividad económica con más presencia en el municipio de Coslada son, por este orden: 1º. Servicios. 2º. Transporte y Logística 3º. Industria. 4º. Construcción. Los tres grandes sectores de actividad de nuestro tejido empresarial son los habituales en la realidad socioeconómica de la Comunidad de Madrid, y en Coslada están distribuidos del siguiente modo: 80% servicios, 10% construcción y 9% industria. 9 ISO 28.000 La Seguridad en la Cadena de Suministro EL SECTOR DEL TRANSPORTE Y LA LOGÍSTICA EN COSLADA INTRODUCCIÓN La logística es una actividad que ha tenido un auge extraordinario en los últimos años. Madrid ha sido y es el principal nudo articulador del sector logístico sobre el territorio español. La Comunidad de Madrid absorbe casi el 60% de los flujos internacionales de mercancías producidos en España y aproximadamente el 33% de los nacionales, concentrando además el 54,1% de la facturación nacional en transporte de mercancías y operadores logísticos. De los 34 operadores logísticos con mayor importancia en nuestro país los 19 operadores que contaban con sede central en la región madrileña suponían el 51,3% de los empleados en plantilla y el 70% de las ventas. En términos de empleo, en la región de Madrid hay más de 122.000 trabajadores/ as en el sector logístico, aproximadamente el 19% del total nacional, que suponen un 7% de la población activa de la Comunidad de Madrid. Este gran desarrollo del sector logístico madrileño no sólo es consecuencia de ser el primer centro de consumo español, sino de la existencia de una serie de ventajas que hacen de la región madrileña también la principal plataforma logística del país: 10 Una localización geográfica privilegiada en el centro geográfico de la península, excéntrica respecto al corazón europeo, pero con posibilidades de erigirse en centro del mercado del sur de Europa (que supone el 13% total de la UE). Además, y como se ha comentado, esta posición también le permite ser potencialmente el nodo articulador con el norte de África y Latinoamérica con la UE, absorbiendo ya una parte destacada del tráfico aéreo europeo con el continente sudamericano. La existencia de una potente red de infraestructuras de transporte, heredada de los planteamientos históricos de las redes radiales ferroviarias y de carreteras, que permiten una fácil interconexión de Madrid con cualquier punto del país, siendo además el centro de los intercambios modales: no sólo entre ferrocarril, carretera y carga aérea, sino que también lo es de una parte significativa del marítimo, ya que el Puerto Seco permite la conexión ferroviaria directa en pocas horas con los principales puertos españoles. La primacía como centro indiscutible de la actividad económica del país, participando en un 17,4% del PIB nacional, destacando como primerísimo nodo terciario decisional, direccional y financiero, siendo también el segundo centro industrial (13,4%). Dentro del sector logístico Madrileño, Coslada tiene una enorme relevancia por la importancia de las infraestructuras logísticas del municipio, por su situación goegráfica pri- ISO 28.000 La Seguridad en la Cadena de Suministro vilegiada y por la red de comunicaciones que conectan Coslada con el resto del territorio Español y con el extranjero a través del Aeropuerto Internacional Madrid-Barajas. Coslada acoge en la actualidad el principal complejo logístico del Sur de Europa. En su término municipal se encuentra el Puerto Seco, el Centro Internacional de Transportes, con su Polígono de Actividades Logísticas, y un área industrial ocupada básicamente por el sector terciario, que cubre una superficie de más de dos millones de metros cuadrados. En Coslada conviven grandes operadores logísticos con pequeñas y medianas empresas dedicadas a actividades anexas al transporte y la logística que, a pesar de su tamaño, mueven un gran volumen de mercancías y gestionan gran parte del tráfico intercontinental de este nudo logístico. Se describen a continuación las grandes infraestructuras de logística que tiene Coslada, la presencia de empresas del sector logístico asentadas en el municipio y las principales claves explicativas de este intenso desarrollo, centrándose en su relación con distintos procesos asociados a la globalización económica y al despliegue espacial del territorio red. Asimismo hemos querido reflejar las necesidades formativas y de empleo que presentan las empresas del sector logístico, y elaborar un listado de las empresas del sector logístico que desarrollan su actividad en el municipio de Coslada. GRANDES INFRAESTRUCTURAS LOGÍSTICAS EN COSLADA El Centro de Transportes de Coslada (CTC) Vecino del Puerto Seco, a pie de la autovía A-2, y a un kilómetro del Centro de Carga Aérea, con el que comunica a través de un vial se encuentra el Centro de Transportes de Coslada. Su superficie actual es de cerca de 1.000.000 de m2, más 17 hectáreas en cons- trucción. En él se alojan muchas de las grandes compañías del sector logístico del país. Se trató de una iniciativa pública desarrollada a finales de los años 80 a través del IMADE (Instituto Madrileño de Desarrollo), de la Cámara de Comercio de Madrid y del Ayuntamiento de Coslada. El Centro de Transportes de Coslada dispone de un millón de m2, dotado de las mejores infraestructuras, arquitectura y servicios para dar respuesta a cualquier necesidad de las empresas logísticas sea cual fuere su dimensión. Se estructura en tres zonas distintas: •La zona de naves de almacenamiento y distribución: con una superficie de 500.000 m2 y una amplia gama de parcelas, con dimensiones de 1.500 a 60.000 m2, y con altura de hasta 15 m para ubicar cualquier tipo de instalación. •La zona de servicios para la acogida de vehículos y tripulaciones: con una superficie de 120.000 m2, con instalaciones para atención de tripulaciones, locales de exposición, venta de vehículos y equipos, gasolineras, talleres, restaurante y bar. •Y en tercer lugar una superficie 47.000 m2, destinados a locales y oficinas para instalaciones de todo tipo de servicios a personas y empresas: agencias bancarias, restaurantes, cafeterías, centro médico, locales comerciales, agencias de viajes, librerías y estanco Con la ampliación del CTC en 168.283 m2, esté alcanzará una superficie total de 1.112.384 m2. El Puerto Seco de Coslada Haciendo frontera con la Nacional II y el Aeropuerto de Barajas, con acceso a los principales nudos de comunicación rodada y ferroviaria de Madrid, el Puerto Seco se asienta sobre 120.000 metros cuadrados cedidos por el Ayuntamiento de Coslada durante cincuenta años a la “Sociedad Puerto Seco de Madrid”. Desde este Puerto se distribuyen 11 ISO 28.000 La Seguridad en la Cadena de Suministro mercancías que tienen su destino y origen en los cuatro principales puertos marítimos del país (Bilbao, Valencia, Barcelona y Algeciras), convirtiéndose en la puerta nacional e internacional de la recepción y distribución de mercancías en el área centro peninsular y enlazando Madrid y su área de influencia con los cinco continentes a través del sistema portuario de titularidad estatal. El cincuenta por ciento de las mercancías de importación y exportación que demanda y genera el área centro peninsular, Madrid y provincias limítrofes, utilizan el Puerto Seco de Coslada en su conexión ferroviaria con los cuatro principales puertos marítimos españoles: Barcelona, Valencia, Algeciras y Bilbao. La futura ampliación del Puerto Seco, calificada por el Ministerio de Fomento de interés general por su “importancia estratégica en el ámbito de la gestión aduanera del transporte”, viene a confirmar la importancia de esta Plataforma para la región que consolida a Coslada como capital del transporte del sur europeo. La idea nace en el año 1995 como una clara apuesta por el transporte intermodal, y ha convertido a Coslada en el principal centro logístico del centro peninsular, moviendo más de 60.000 contenedores al año. El servicio ferroviario que se presta en Puerto Seco de Madrid se caracteriza por su frecuencia, alta rotación, fiabilidad y servicio. La Terminal Intermodal del Puerto Seco de Coslada establece una frecuencia semanal de 30 trenes con los principales puertos marítimos del país. Los servicios que se prestan en la Terminal Intermodal del Puerto Seco de Coslada son: manipulación de contenedores, gestiones documentales, acarreos a domicilio, carga y descarga de unidades intermodales, servicio de aduanas, depósito de contenedores frigoríficos, limpieza de contenedores por alta presión, reparaciones de contenedores, operaciones con mercancías aduaneras. Los medios puestos a disposición de estas actividades son: tres grúas móviles pesadas RSL, dos grúas móviles medias TH5 para carga-descarga de contenedores vacíos, una grúa pórtico 12 de gran capacidad para carga-descarga de unidades intermodales, además de maquinaria móviles para la realización de operaciones de grupaje y actividades aduaneras. La apuesta del municipio de Coslada, a través de su Ayuntamiento, por la inversión productiva vinculada al comercio internacional, se constata no sólo con la cesión de superficies para la instalación y crecimiento de la Terminal Intermodal Aduanera del Puerto Seco en nuestro municipio, sino que el Ayuntamiento Coslada también participa como miembro accionista de la sociedad promotora del proyecto en la consecución de los objetivos de crecimiento y desarrollo del Puerto Seco de Madrid. Puerto Seco de Coslada La Estación de Clasificación de Vicálvaro Se trata de la terminal más importante de RENFE en el intercambio de mercancías y se sitúa en las inmediaciones del Puerto Seco y de la zona logística de Coslada. Forma parte de la línea de cargas y, en un futuro próximo, con la red de alta velocidad y la separación de las vías de mercancías y pasajeros en todas las grandes ciudades, la funcionalidad de la red mejorará mucho, abriéndose a operadores privados. Mapa general de Coslada y del CTC ISO 28.000 La Seguridad en la Cadena de Suministro El Centro de Carga Aérea de Barajas Si bien no se encuentra ubicado dentro del término municipal de Coslada, la proximidad con nuestro municipio hace que muchas de las empresas de logística de Coslada desarrollen parte de su actividad con el transporte de las mercancías que se recepcionan en el Centro de Carga Aerea. El Centro de Carga de Barajas juega un papel clave en el transporte y distribución de mercancías por vía aérea en España, pues por él pasa más del 50% del tonelaje que entra y sale del país por avión. La primera fase desarrollada del Centro de Carga tiene 211.490 m2 de superficie, con 195 empresas instaladas que dan empleo a 4.600 personas, y que movieron 337.550 TM en 1.999. Con la segunda fase se alcanzarán los 640.000 m2, con 47.711 m2 para desarrollar nuevas naves y una terminal de productos perecederos, con el objetivo de alcanzar las 300 empresas, 6.000 empleos, y 750.000 Tm anuiales; además , el Plan Director de Barajas contempla una reserva de otras 300 Has para otras actividades logísticas. El Centro de Carga propiamente dicho tiene dos líneas diferenciadas: una primera de acceso directo a las aeronaves, donde se sitúan los operadores de handling y los couriers, y una segunda con actividades complementarias, operadores logísticos, agentes de carga y transitarios. Además de la Aduana, dentro del Centro de Carga, las propias compañías de handling tienen sus PIF (Puestos de Inspección Fronteriza) propios, lo que simplifica las operaciones y evita desplazar las mercancías. En la zona de la primera línea, los operadores de handling ocupan unas 9 Has, con más de 165.000 m2 construidos bordeando la plataforma de estacionamiento y carga de naves, lo que permite la carga y descarga directa por los muelles del lado de tierra y su almacenamiento inmediato en las naves adyacentes. En esta zona se ubican 5 operadores: Iberia Cargo, Flight Care, WFS, Swiftair y Newco. Por su parte, los operadores express y couriers ocupan también en esta primera línea otras 3,5 Has, donde se ubican las naves y oficinas de empresas como DHL, MRW, TNT, UPS, etc. Separada por la vía central del Centro de Carga, la segunda línea cuenta con unas instalaciones de más de 86.000 m2 construidos (36.476 m2 de naves y 20.821 m2 de oficinas) donde se asientan los agentes de carga, transitarios y operadores logísticos en general. Además, existe un edificio de Servicios Centrales, donde se concentran 160 empresas que intervienen en el transporte aéreo de mercancías (transitarios, agentes de aduanas, compañías aéreas, etc), contando con servicios como área comercial, servicios empresariales, centro de servicios de la Administración (aduanas y PIF), et. La explotación del Centro corre a cargo de CLASA, propiedad de AENA. Centro de Carga Aérea de Barajas. Desde el punto de vista institucional en Coslada tiene su sede la entidad “Madrid Plataforma Logística”, una asociación promovida por el Ayuntamiento de Coslada y otras Administraciones de la Comunidad de Madrid, con la participación de los agentes más relevantes de la comunidad logística, tanto públicos como privados, cuya misión fundamental es coordinar y articular toda la Plataforma Logística de la Comunidad de Madrid. Y muy cerca, en el municipio de Torrejón de Ardóz, se encuentra el Centro de Innovación para la Logística y el Transporte por Carretera, proyecto promovido por importantes empresas del sector del transporte por carretera, y con la colaboración del Ayuntamiento de Coslada entre otras Administraciones Públicas. Se trata de un centro de innovación 13 ISO 28.000 La Seguridad en la Cadena de Suministro tecnológica cuyo objetivo es facilitar las herramientas tecnológicas y humanas necesarias para garantizar el desarrollo sostenido y sostenible de las empresas del sector del transporte por carretera. Además de las infraestructuras de logística comentadas anteriormente, existen proyectos de iniciativa pública de gran importancia entre los que destacamos el Parque de Actividades Económicas (SUS AE-1, con 1.935.560 m2), cuya promoción corresponde, respectivamente, al Consorcio Ayuntamiento de Madrid-MERCASA-Mercamadrid, al Consorcio IMADE-Ayuntamiento de Coslada, a AENA-Fomento y, finalmente, a la empresa Pública de la Comunidad de Madrid ARPEGIO, dedicada a la gestión del suelo para uso industrial, residencial, comercial. CONCLUSIÓN El tejido productivo del Corredor del Henares, está diversificado, aunque con una relevante presencia industrial y logística que todo apunta a que se fortalecerá en los próximos años, según revelan las actuaciones acometidas en algunos de los más importantes ayuntamientos de la zona: Coslada, por ejemplo, acaba de inaugurar la prolongación de la línea 7 de Metro, que conecta el municipio con la capital, el Hospital público del Henares, 14 y está a punto de comenzar las obras para la edificación de un Centro Comercial de El Corte Inglés. Todo esto independientemente de las políticas que se están ejecutando para favorecer el continuo desarrollo logístico e industrial en el municipio. Pese a la innegable fortaleza y el impulso de las actividades que apuestan por la logística y la industria, hay una tendencia en el Corredor hacia la terciarización de las actividades, según apunta el Instituto Madrileño de Desarrollo de la Consejería de Economía e Innovación Tecnológica de la Comunidad. Entre las actuaciones que se están llevando a cabo destacan, la apuesta por promover más suelo, generar infraestructuras destinadas a actividades económicas, promover líneas financieras para la inversión de nuevas empresas —y fomentar la competitividad de las existentes—, favorecer la generación del desarrollo tecnológico empresarial sin dejar de apostar por los sectores más implantados e invertir en desarrollo turístico. El referente logístico en que se ha convertido el Corredor del Henares se ve afianzado por el proyecto «Madrid Plataforma Logística», además de trabajar para incrementar la actual oferta de nuevo suelo para estas actividades, como la ampliación del Centro de Transportes de Coslada y el desarrollo de otros parques empresariales que acojan empresas logísticas. ISO 28.000 La Seguridad en la Cadena de Suministro Datos del Sector Logístico El sector logístico representa un 11,5% por del Producto Interior Bruto español. La logística española ocupa el quinto lugar de Europa por volumen de mercancía manejada. El empleo en el sector se ha reducido un 3,76% entre 2007 y 2008. El transporte de mercancías por carretera es hegemónico en el reparto modal. Por carretera se transportan el 96,1% del volumen total de mercancías, medidas en toneladas por kilómetro, mientras que el ferrocarril sólo mueve el 3,9% de las toneladas por kilómetro. En 1996, por ferrocarril se llevaba el 9,8% de las mercancías, según EUROSTAT. El grado de externacionalización de la actividad logística es del 22% en nuestro país. Las empresas del sector logístico presentan un alto grado de atomización, especialmente en el transporte de de mercancías por carretera. No hay ninguna empresa logística española entre las diez principales de la Union Europea. El sector ocupa, según el Instituto Nacional de Estadística, a 844.000 trabajadores. 615.000 de ellos en el terrestre, 53.000 en aéreo, 22.000 en el marítimo, y 155.0000 en activididades anexas. Según EUROSTAT, en España, durante 2007 se movieron 484.775.000 Tm por carretera, 30.900.000 Tm por ferrocarril, y 48.311.000 por vía marítima. 67,1 / 78,3 78,3 / 90,1 90,1 / 97,9 97,9 / 121,5 121,5 / 165,8 El mapa refleja el ratio de mercancías transportadas, medidas en toneladas por kilómetro, en relación con el Producto Interior Bruto de cada Estado miembro de la UE. Fuente EUROSTAT 15 ISO 28.000 La Seguridad en la Cadena de Suministro Riesgos de la Cadena de Suministro Ramón García, Director de Innovación y Proyectos Centro Español de Logística INTRODUCCIÓN La cadena de suministro se define como un conjunto relacionado de recursos y procesos que comienza con la provisión de materias primas y se extiende a través de la entrega de productos o servicios al usuario final a través de los modos de trasporte. Incluye todas las empresas que participan en la producción, distribución, manipulación, almacenaje y comercialización de un producto y sus componentes. En ella intervienen los siguientes agentes: De este modo, la cadena de suministro se extiende desde el cliente final hasta el proveedor primario. Con una cadena de suministro se busca cumplir una serie de objetivos: • Promover un adecuado servicio al consumidor final • La entrega de los productos en tiempo, forma y calidad • Capacidad de entrega de la variedad de los productos • Balance adecuado de recursos RIESGOS Y AMENAZAS • Proveedores • Instalaciones de Fabricación • Proveedores Logísticos y Transportistas • Centros de Distribución Interna • Distribuidores • Mayoristas y Detallistas • Otras entidades que conducen al usuario final En toda cadena de suministro existen puntos criticos. Uno de los principales es el tiempo que tardan los productos en llegar a su punto de venta para el cliente final. Por ejemplo, una caja de cereal tarda más de tres meses en llegar desde la fábrica al supermercado, y un automóvil nuevo tarda, en promedio, 15 días en llegar desde la fábrica hasta el Figura 1: Esquema de la Cadena de Suministro 16 ISO 28.000 La Seguridad en la Cadena de Suministro comercio, cuando el viaje no requiere más de 4 ó 5 días Puede definirse el riesgo como cualquier vulnerabilidad de bienes jurídicos protegidos ante un posible o potencial perjuicio o daño. Sin embargo, en este punto, hay que diferenciar claramente los riesgos de las amenazas. Amenaza es todo aquello que tenga una posibilidad o probabilidad de ocurrir, como causante de daño, mientras que el riesgo es el producto de la ocurrencia de la amenaza y su consecuencia. Sin la ocurrencia de amenazas el riesgo sería cero. Para cada uno de los factores de riesgo implicados, el nivel de riesgo viene dado por: ni = ri * pi ri : Repercusión del factor de riesgo i pi : Probabilidad de que ocurra dicho riesgo. El nivel de riesgo total dependerá de la interdependencia de los distintos factores de riesgo. En cuanto a sus consecuencias, se distinguen cuatro tipos de riesgo: • Catastrófico: cuando la ocurrencia del factor de riesgo puede llegar a tal punto que la supervivencia de la organización esté en peligro. Estos riesgos suelen estar asociados a catástrofes naturales, u otras causas de fuerza mayor. Este sería el caso de la destrucción del centro de almacenaje y distribución de una compañía con una importante actividad logística. • Crítico: se habla de este tipo de riesgos cuando, pese a su ocurrencia, no peligra la existencia de la organización. En este tipo de situaciones, resulta crítica la puesta en marcha de un plan de acciones para recuperar la situación inicial. Figura 2: Matriz de riesgo Si representamos cada uno de estos factores en un eje de coordenadas obtendríamos la clásica matriz de riesgo. En la cadena de suministro los riesgos pueden clasificarse del siguiente modo: • Marginal: caso de ocurrir este tipo de riesgos, la situación puede controlarse de manera adecuada sin grandes esfuerzos. • Operacional o tecnológico • Despreciable: sus consecuencias no tienen incidencia apreciable en la actividad. Este tipo de situaciones forman parte del día a día de la actividad de la organización. • Causados por el entorno competitivo Además de la tipología de riesgos, también conviene tener en cuenta el nivel de riesgo que presenta una cadena de suministro. El parámetro nivel de riesgo al que nos referimos nos permite realizar de manera sencilla una evaluación de las consecuencias de los riesgos en la cadena de Sumistro. • Social o humano • Causas naturales • Legales o polítcos Por la propia idiosincrasia de la cadena de suminitro, que consiste muy básicamente en el movimiento de bienes, existen vulnerabilidades que deben considerarse en todo caso, y que pueden encuadrarse en estos tipos: • Producción, almacenamiento y distribución. • Transporte por carretera • Transporte por tren 17 ISO 28.000 La Seguridad en la Cadena de Suministro • Transporte por avión • Transporte marítimo En las cadenas de suministro pueden producirse riesgos que van desde la propia organización empresarial a la interacción entre los agentes que participan en la cadena, y, adicionalmente, en la cadena de suministro también se plantean amenazas fisicas, tales como robos, contrabando, vandalismo, violencia contra conductores y tripulaciones, secuestros, sabotaje y espionaje industrial, terrorismo, fraude, corrupción, desastres naturales y accidentes de tránsito. También existen otras amenazas que pueden clasificarse en: • Físicas • Biológicas • Químicas • Radiológicas • Tecnológicas e informáticas nadas. Asimismo, es conveniente evaluar en qué medida una gestión logística inadecuada puede afectar a la organización. Que los riesgos son un factor determinante del coste total de los suministros es algo universalmente aceptado. Parece razonable asimismo pensar que, no sólo el coste, sino de manera general el valor aportado a los clientes, puede verse mermado por la ocurrencia de factores de riesgo en la Cadena de Suministro. De hecho, hay abundante documentación referente a la correlación entre la existencia de incidencias logísticas y la pérdida de valor correspondiente. Estas pérdidas pueden ser tanto de carácter tangible como intangible. Entre las primeras podemos citar: • Disminución de las ventas • Pérdida del valor de la acción para las compañías que cotizan en bolsa Con todos estos datos, se puede asegurar que el riesgo que acecha a las cadenas de suministro es real y debe hacérsele frente. Recientes estudios realizados en los Estados Unidos indican que, de un total de 151 empresas norteamericanas, el 73 por ciento ha sufrido algún tipo de rotura en sus cadenas de suministro. Entre las que han sufrido algún incidente en sus cadenas, al 36 por ciento le ha llevado un mes o más tiempo para recuperar el normal funcionamiento de su cadena, mientras que al 32 por ciento le ha tomado entre una semana y un mes recuperar el terreno perdido. • Aumento del nivel de inventarios EFECTOS DE LOS RIESGOS EN LAS CADENAS DE SUMINISTRO Las cadenas de suministro muestran una patente tendencia a la globalización, lo que conlleva una creciente complejidad, gracias a lo que es posible tener productos de cualquier punto del globo en cualquier punto de venta muy cerca de los clientes finales. Como consecuencia de este alaramiento progresivo de las cadenas de suministro se ha acrecentado la percepción de los riesgos y amenazas que ponen en riesgo las cadenas. Los problemas originados por mal funcionamiento de la Cadena de Suministro pueden tener consecuencias fatales para las organizaciones que van desde el incremento de los costes a la pérdida del cliente. Se hace por tanto preciso detectar aquellos puntos de la cadena de suministro con mayor potencialidad de riesgo para - en la medida de lo posible - evitar las consecuencias antes mencio- 18 • Penalizaciones impuestas por los clientes • Reprocesos y transformaciones • Costes asociados con las urgencias: horas extras, transportes especiales... • Otros costes de no-calidad Como pérdidas no tangibles podemos mencionar, entre otras: • Pérdida de fiabilidad • Empeoramiento de la reputación corporativa • Disminución de las expectativas que genera la compañía Según los datos de un reciente estudio elaborado por Miebach Consulting en co- ISO 28.000 La Seguridad en la Cadena de Suministro laboración con el Centro Español de Logística, los riesgos para las mercancías se concentran especialmente en el transporte por carretera y en el marítimo. y, lllegado el caso, poder reaccionar de acuerdo a una serie de protocolos establecidos. El proceso de gestión de riesgos en la Cadena de Suministro (SCRM) consiste básicamente en: Identificar: las distintas fuentes de perturbación en el conjunto de la cadena de suministro. Figura 3: Percepción del riesgo según el modo de transporte Además, también se detectan zonas geográficas donde los riesgos son más patentes. Del estudio también se desprende Cuantificar: cada uno de los factores de riesgo, es decir, estimar con modelos estadísticos o analíticos la probabilidad de ocurrencia de los factores causantes de cada factor. Evaluar el riesgo: determinar, cuantitativa o cualitativamente, las consecuencias del riesgo (cálculo del parámetro nr) Decidir: la política de riesgos a aplicar en cada caso: impedir el riesgo, reducirlo a un nivel razonable, transferirlo a otra organización o soportarlo. Actuar: poner en práctica las medidas preventivas correspondientes. Repercusión de los riesgos en la Cadena de Suministro Figura 4: Percepción del riesgo por área geográfica que las empresas son cada vez más conscientes de los riesgos y, gracias al uso de la tecnología, se encuentran en una mejor disposición para hacerlos frente y reaccionar, SISTEMAS DE GESTIÓN DE RIESGOS DE LA CADENA DE SUMINISTRO (SCRM) Las empresas del sector logístico tienen en cuenta los riesgos y amenazas que penden sobre su actividad. En los últimos años, proliferan los progrmas de gestión de los riesgos en la cadena de suministro, con los que se pretende analizar y sistematizar los riesgos con el fin de tenerlos en cuenta, preverlos El cálculo de la probabilidad de riesgo es trabajo de los especialistas en distintas materias. Así, deben ser los expertos en obra civil los responsables de calcular las probabilidades de que ocurra un incendio en las instalaciones de la empresa; los expertos en maquinaria calcularán por su parte -en función de parámetros como el número de piezas fabricadas, la disponibilidad de repuestos o la criticidad de ciertos parámetros- la probabilidad de que un proceso fabril se vea interrumpido y en qué medida; los especialistas en moldes o matrices podrán ayudarnos a determinar la probabilidad de que un determinado utillaje falle y, por tanto no se pueda disponer de suministros en un momento dado, etc En cuanto a las repercusiones, es responsabilidad del gestor logístico su cálculo o estimación a partir de datos procedentes de los distintos actores implicados en el proceso, tanto internos como externos: proveedores 19 ISO 28.000 La Seguridad en la Cadena de Suministro Figura 5: Principales riesgos de las cadenas.. Fuente AMR Research, 2009 de materias primas, transportistas, distribuidores, almacenistas, etc A veces el cliente “facilita” la labor del cálculo de la repercusión estableciendo unilateralmente el valor económico de la misma. Este es el caso de las penalizaciones impuestas por algunos fabricantes con procesos continuos o con producciones a gran escala. Otras veces, la repercusión nos viene dada por otros agentes ajenos a nuestra organización, por ejemplo la Administración. Pensemos en empresas con procesos que presentan un cierto riesgo de contaminación ambiental, como es el caso de una central nuclear o un proceso de fundición de piezas metálicas. La repercusión de las fugas o de la emisión de ciertos residuos es determinada en estos casos por las autoridades medioambientales. Cuando la repercusión no viene dada por agentes ajenos a la propia organización, hay que estimarla. Normalmente esta valoración se hace en función del beneficio que la empresa deja de percibir por la venta de un determinado producto. Así, si uno de los factores de riesgo es la rotura de una determinada máquina, una buena aproximación al valor de la repercusión sería el correspondiente al margen neto del número de unidades de producto que se habrían suministrado en el periodo durante el cual existe la incidencia por el valor unitario de cada una de ellas. Otros factores como pérdida de imagen, posible entrada en el mercado de competidores, etc tienen una difícil estimación objetiva, pero deben ser también conocidos y valorados por el gestor logístico. Figura 6: Elementos de la Gestión de Riesgos en la Cadena de Suministro (SCRM) Elementos Básicos SCRM Elementos Medios SCRM Elementos Avanzados SCRM Estrategias de reducción de riesgos. Cuantificar detenidamente los riesgos claves de la cadena. Respuesta ante riesgos Inventariar riesgos. Establecer sistemas de medición para el reporte de los riesgos. Alinear los riesgos de la cadena con los objetivos empresariales. Sistematizar definiciones para riesgos, control de actividades y monitorización. Comunicar la posibilidad de riesgos a los responsables 20 Manuales de procedimiento para actuación ante riesgos. Análisis de las raíces e impacto de los riesgos. Proceso de valoración de los efectos de los distintos riesgos. en las operaciones Comunicación de riesgos a grupos de interés. Establecer cuadros de mando para SCRM. Visibilidad en tiempo real de la cadena. Integrar SCRM en las operaciones. Fuente: IBM Global Business Services ISO 28.000 La Seguridad en la Cadena de Suministro Entorno Regulatorio de la norma ISO 28.000:2007 David Lloret, Gerente de Desarrollo de Negocio ABS Quality Evaluations ISO 28000:2007 es el primer Sistema de Gestión Certificable de la Seguridad incluyendo todos los aspectos críticos de seguridad de la cadena de suministro. Aplicable a organizaciones de cualquier tamaño en la fabricación, servicio, almacenaje o transporte en cualquier etapa de la cadena de producción o suministro, lo que significa que cualquier empresa pudiera certificarse en este estándar, ya que cualquier empresa pertenece a la cadena de suministro ya sea en un extremo u otro, o dentro de ella. Esta norma es compatible y complementaria con otras iniciativas gubernamentales de la Unión Europea, de Estados Unidos, de los gobiernos locales o de la Organización Mundial de Aduanas en materia de seguridad. Actualmente existen un gran número de iniciativas de seguridad en la cadena de suministro en la Unión Europea, los Estados Unidos y en todo el mundo. Estas Incluyen: El Operador Económico Autorizado (AEO)es la figura definida para los operadores de confianza en las operaciones aduaneras, que puede disfrutar de ventajas en toda la Unión Europea. Esta gestionada en España por la agencia tributaria. Mas información en www.aeat.es Iniciativa en seguridad de Contenedores (CSI), un programa encabezado por Servicio de Aduanas y Protección Fronteriza de Estados Unidos (U.S. Customs and Border Protection) enfocado en la investigación de contenedores en puertos extranjeros. Mas información en www.cbp.gov La Asociación Aduana-Comercio Contra el Terrorismo (C-TPAT), un programa voluntario de requisitos para compañías para mejorar la seguridad de sus cadenas de suministros. Iniciativa del Custom Border Protection. Mas información en www.cbp.gov Esfuerzos de países alrededor del mundo para implementar y mejorar el Código Internacional para la Protección de los buques y de las Instalaciones Portuarias (ISPS Code), un acuerdo de 148 países que son miembros de la Organización Marítima Internacional (OMI). En España esta iniciativa ya es un requisito legal. Algunas iniciativas como TAPA Worlwide Council, Carrier Initiative Program, Business Alliance for Secure Commerce (BASC ), Americas Counter Smuggling Initiative (ACSI), cuentan con gran aceptación. 21 ISO 28.000 La Seguridad en la Cadena de Suministro La Organización Mundial de Aduanas (WCO) es una organización intergubernamental que ayuda a sus miembros (Gobiernos comúnmente representados por las administraciones aduanales de 171 países) a comunicarse y cooperar en los aspectos relacionados con las aduanas y el comercio internacional. Fue establecida en 1952 como el consejo de cooperación aduanera; y adoptó su nombre actual en 1994. La sede central de la Organización Mundial de Aduanas esta localizada en Bruselas, Bélgica. La Organización Mundial de Aduanas no trata temas de tarifas y disputas de comercio; esos temas caen dentro de la jurisdicción de la Organización Mundial de Comercio. En Junio del 2005, la Organización Mundial de Aduanas adopto el Marco Normativo para asegurar y facilitar la seguridad global en la cadena de suministro denominado WCO SAFE Framework of Standards, un instrumento internacional que contiene 17 normas que promueven la seguridad, luchando contra la corrupción, facilitando el comercio y la recaudación de ingresos. Figura 7: Entorno Regulatorio en la Seguridad de la Cadena de Suministro. Este Marco normativo de la organización mundial de aduanas establece los principios y estándares que constituyen un con- 22 junto de medidas que deben ser adoptadas por todos sus miembros. Está encaminado a proporcionar uniformidad y predictibilidad al intercambio comercial y brindar seguridad y facilitación para el paso de productos por las fronteras. Más información en www.wcoomd.org Operador Económico autorizado A partir del 1 de enero de 2008 comenzó a funcionar la figura del Operador Económico Autorizado, persona que, en el marco de sus actividades profesionales, efectúa actividades reguladas por la legislación aduanera. Los riesgos de diferente índole a los que se enfrentan los países de la Unión Europea han obligado, además de a efectuar los controles aduaneros tradicionales, a incrementar el papel de las aduanas en materia de seguridad de la cadena logística internacional, no sólo para luchar contra la amenaza terrorista, sino también para colaborar en la lucha contra el crimen organizado y frente a otros peligros para los ciudadanos, en ámbitos tan sensibles como, por ejemplo, los de la protección a los consumidores o el medio ambiente. En España, la Agencia Estatal de Administración Tributaria determinará, mediante un examen pormenorizado de las condiciones, si las personas físicas o jurídicas que deseen ser Operador Económico Autorizado reúnen los requisitos exigibles para serlo. Cualquier persona física o jurídica que esté establecida en España, con independencia del tamaño de su negocio (fabricantes, exportadores, transportistas, expedidores, representantes aduaneros, almacenistas e importadores), y que esté implicada en la cadena logística internacional puede solicitar la expedición del certificado de OEA. Ser OEA no es obligatorio. Las principales ventajas derivadas de la posesión del certificado de OEA, según lo que establece la normativa aduanera comunitaria, son las siguientes: menor número de controles físicos ISO 28.000 La Seguridad en la Cadena de Suministro y documentales; prioridad en los controles; posibilidad de elegir el lugar de la inspección (incluyendo el despacho centralizado nacional); mayor facilidad para acogerse a procedimientos aduaneros simplificados; declaraciones sumarias de entrada o salida con datos reducidos y notificación previa de decisión de reconocimiento físico. El Código Aduanero Comunitario ha establecido que, entre los criterios para la concesión del estatuto de OEA, se tendrá en cuenta un historial satisfactorio de cumplimiento de los requisitos aduaneros; un sistema adecuado de gestión de los registros comerciales y, en su caso, de los registros de transportes, que permita un control aduanero adecuado; una solvencia financiera acreditada; y, si procede, unos niveles de seguridad adecuados. de pautas de seguridad, todo lo cual se denominó International Ship and Port Facility Security - ISPS. El ISPS transpuesto en España como PBIP, es un conjunto de normas y practicas que van desde el control de acceso a las instalaciones, la prevención de ingreso de armas a puertos y buques, planes de acción frente a indicios de amenazas, planes de evacuación, etc., hasta la asignación de agentes de seguridad tanto para cada puerto y naviera como para cada nave. Bajo esta norma internacional, la seguridad pasa a ser responsabilidad principalmente de los gobiernos, los que deben delegar responsabilidades en organizaciones competentes o autoridades portuarias. Los principales Objetivos del Código PBIP son los siguientes: Detectar amenazas a la seguridad e implantar medidas de seguridad. Establecer roles y responsabilidades en relación a la seguridad marítima de los gobiernos, administraciones locales, industrias navales y portuarias a nivel nacional e internacional. Recopilar y promulgar información relacionada con la seguridad. Proveer una metodología de evaluación de seguridad para tener planes y procedimientos para reaccionar a cambios en los niveles de seguridad. Iniciativa para Seguridad de Contenedores - CSI Figura 8: Mapeado de riesgos en OEA. La certificación ISO 28000 es una evidencia importante para obtener el OEA. CÓDIGO ISPS/PBIP (www.imo.org) Tras los atentados de Septiembre de 2001, la Organización Marítima Internacional - OMI, acordó desarrollar nuevas medidas sobre seguridad en los buques y los puertos. Este proceso condujo a que en 2002 se estableciera una versión mas estricta de la Safety of Life at Sea Convention - Convenio SOLAS y se introdujo un nuevo conjunto Este programa promovido por el Bureau of Customs and Border Protection - CBP, se estableció tras los ataques terroristas del 11 de Septiembre de 2001 con el fin de evitar el uso de contenedores lícitos por el terrorismo. Actualmente (hasta Diciembre de 2008) 58 puertos del mundo han alcanzado la certificación CSI. España es uno de los países que están implantando el Programa CSI en sus puertos, comprometiéndose a cumplir con una serie de estándares mínimos. Una de sus ventajas es que otorga un proceso de embarque más eficiente porque no se requiere evaluar los contenedores en el puerto de destino en los EEUU. 23 ISO 28.000 La Seguridad en la Cadena de Suministro si se trata de una empresa, una administración publica o un departamento gubernamental. (Fuente ISO). Figura 9: Puertos CSI. Fuente U.S.Customs and Border Protection. Customs-Trade Partnership against Terrorism - C-TPAT Creado en Noviembre de 2001, este programa es una alianza entre la autoridad aduanera y los empresarios para desarrollar sistemas de seguridad en la cadena de abastecimiento-importación, transporte, brokers, almacenes, operadores y producción, y para la seguridad fronteriza. Los empresarios participantes en C-TPAT firman un acuerdo para realizar una auto evaluación de la seguridad en su cadena de suministros utilizando los estándares del programa, referidos a procedimientos de seguridad, seguridad física, personal de seguridad, entrenamiento e instrucción, controles de acceso, seguridad en el transporte, etc. ISO 28000:2007 GESTION DE LOS RIESGOS DE SEGURIDAD INTRODUCCION: La norma ISO 28000:2007 ha sido desarrollada en respuesta a la demanda global por una norma sobre gestión de la seguridad. 1. La norma ISO 28000:2007, así como ocurre con las normas ISO 9001:2008 (Calidad), ISO 14001:2004 (Medio Ambiente) o ISO 27001:200X (Seguridad de la información), es una norma genérica. Eso quiere decir que la misma norma puede ser aplicada a cualquier organización, grande o pequeña, nacional o multinacional, sea cual sea su producto o servicio y en cualquier sector de actividad, tanto 24 Las normas de seguridad de la familia ISO 28000 proporcionan a las organizaciones de la cadena de suministro un modelo a seguir para el desarrollo y la implantación de su sistema de gestión de seguridad. Este modelo incorpora los elementos de mayor grado de desarrollo técnico internacional, por consenso de los mejores expertos en la materia. Un sistema de gestión de seguridad basado en este modelo - o “que cumpla los requisitos de esta norma” - estará construido sobre una base firme de las mejores practicas desarrolladas. Figura 10: Normas de la Familia ISO 28000. El objetivo de esta norma es mejorar la seguridad de las cadenas de suministro, especificando los requisitos de un sistema de gestión de seguridad, e incluyendo los aspectos críticos para garantizar la seguridad de la cadena de suministro. Estos aspectos incluyen, pero no se limitan a la financiación, la fabricación y a la gestión de la información y de las instalaciones que realizan el embalaje, almacenamiento y la transferencia de bienes entre medios de transporte y lugares. Todos los aspectos que incidan en la gestión de la seguridad de la organización también serán considerados. El cumplimiento del sistema de gestión de seguridad de la organización con la norma podrá ser verificado bajo un proceso de auditoria externa o interna. ISO 28.000 La Seguridad en la Cadena de Suministro 2. La Norma está alineada con el formato ISO aprobado por las normas ISO 14001, ISO 9001 e ISO 27001 con el fin de aumentar la compatibilidad de las cuatro normas. Las organizaciones de la cadena de suministro que han implantado un sistema de gestión (por ejemplo, ISO 9001:2008) pueden ampliar su sistema de gestión, integrando los requisitos de seguridad adicionales de la Norma. Figura 12: Ciclo PDCA El ciclo PDCA contiene los siguientes elementos: • Planificar: establecer los objetivos y procesos necesarios para cumplir con la Norma y la política de seguridad de la propia organización. • Hacer: implantar los procesos para alcanzar los objetivos definidos en el trabajo diario. Figura 11: Sistema de Gestión Integrado. La Norma es compatible con ISO 9001:2008(Calidad), ISO 14001:2004 (Medio Ambiente) e ISO 27001: XXXXX (Seguridad de la Información Los requisitos legales de seguridad que la organización tiene que cumplir o las iniciativas en las que está participando, podrán ser utilizados para establecer el sistema de gestión de seguridad. La regla es: Eliminar duplicaciones. El alcance del trabajo de adaptación a la norma dependerá del grado de cumplimiento cubierto, documentado e implantado con los requisitos de la norma en el sistema de gestión existente. 3. La norma ISO 28000 esta basada en la metodología del ciclo de Deming PlanificarHacer-Verificar-Actuar (Ciclo PDCA) que promueve fuertemente la mejora continua de los procesos. • Verificar: supervisar y medir los procesos para comprobar el cumplimiento con la política de seguridad, los requisitos legales y de otro tipo, y para comprobar el logro de los objetivos y metas, registrando los resultados • Actuar: mejorar continuamente el desempeño del sistema de gestión de la seguridad 4. Esta norma es compatible y complementaria con todas las iniciativas gubernamentales y de la Organización Mundial de Aduanas en materia de seguridad. ELEMENTOS DEL SISTEMA DE GESTION DE LA SEGURIDAD SEGÚN LA NORMA ISO 28000: 2007 Requisitos Generales: Las organizaciones deben establecer, documentar, implantar y mejorar de manera continua un 25 ISO 28.000 La Seguridad en la Cadena de Suministro sistema de gestión de seguridad (SGS) que cumpla con los requisitos de la norma ISO 28000. Los detalles y complejidad del SGS dependen del tamaño y naturaleza de la organización y sus actividades. La documentación que describe el sistema de seguridad y sus medidas asociadas se llama documentación de la gestión de seguridad. Política de Gestión de Seguridad: La política de seguridad es el texto en el que la alta dirección se compromete a la gestión de la seguridad según los requisitos de ISO 28000. En ella se establecen los principios y objetivos para el desempeño de la seguridad en toda la organización. La política de seguridad debe ser documentada y autorizada visiblemente por la firma de la alta dirección. La alta dirección debe asegurar la aplicación y el mantenimiento de la política de seguridad en todos los niveles de la organización. para el sistema global de seguridad de la organización. Deben establecerse y mantenerse procedimientos para: • La identificación sistemática y continua y la evaluación de amenazas a la seguridad y la gestión de la seguridad relacionados con las amenazas y riesgos, y • La identificación y aplicación de las medidas necesarias de control de gestión. Evaluación y Planificación de los Riesgos de Seguridad Evaluación de los riesgos de la seguridad: La gestión de los riesgos es una parte integral de la práctica de una b uena gestión y un elemento esencial del buen gobierno corporativo. Se promueve la mejora continua en la toma de decisiones y el mejor desempeño. Una apropiada cultura e infraestructura son necesarias para aplicar los métodos de identificación, análisis, evaluación, tratamiento, seguimiento y comunicación de los riesgos de seguridad asociados con las actividades o procesos de la organización. Es el objetivo de la gestión del riesgo minimizar las pérdidas y maximizar los beneficios. La gestión de riesgos de seguridad debe ser parte de la política de seguridad de una organización. Debe integrarse en las actividades de la organización y los procesos de negocio en lugar de practicarlo como una actividad separada. La identificación de amenazas, la evaluación y gestión de los riesgos es la base 26 Figura 13. Algunas de las riesgos considerados en el Análisis de Riesgos Los métodos de identificación, evaluación y control de las amenazas y riesgos de seguridad, deben ser como mínimo adecuados a la naturaleza y la escala de las operaciones. La gestión de riesgos es un proceso complejo. Se compone de las siguientes fases: • Análisis de Riesgos • Estimación de los Riesgos • Evaluación de Riesgos Durante el análisis de riesgos para la seguridad, se identifican los componentes vitales de los sistemas técnico-operativos y los escenarios de amenazas potenciales de seguridad que ponen en peligro la funcionalidad ISO 28.000 La Seguridad en la Cadena de Suministro de estos sistemas. Entre las amenazas se consideran las provocadas por factores humanos intencionadamente o no intencionadamente, al igual que accidentes o desastres naturales, el diseño inadecuado de las instalaciones y equipos de seguridad o las amenazas a la continuidad de las operaciones, reputación, perdida de mercado o perdida de beneficios. El siguiente paso es la estimación de la probabilidad de la aparición de estos escenarios de amenaza y las consecuencias resultantes. Durante la evaluación de riesgos se identifican y evalúan las Opciones de Control de Riesgos (OCR) factibles, así como las medidas de control de riesgos (MCR) seleccionadas que sean más apropiadas. Las MCR seleccionadas son las barreras o líneas de defensa que deben impedir que un incidente de seguridad perjudique los componentes vitales de los sistemas técnico-operativos de la organización. Es obligatorio establecer tanto medidas proactivas como reactivas. La identificación de los procesos, sistemas y equipos críticos relacionados con la seguridad, son medidas proactivas. La preparación, respuesta y recuperación de emergencias de seguridad son medidas reactivas. Las diferentes barreras de seguridad o líneas de defensa consideradas se integrarán en los sistemas para mitigar las consecuencias. Durante la revisión de la evaluación de riesgos se analizara la funcionalidad de la estas barreras preventivas, debiendo en caso necesario modernizarse o añadir líneas de de defensa adicionales. Para cumplir con la norma, las organizaciones de la cadena de suministro estándar están obligadas a tener un sistema de gestión para controlar los riesgos de seguridad de su tramo de la cadena de suministro. La organización debe establecer un plan de seguridad en base a los resultados de la evaluación de la seguridad. El plan de seguridad describe las medidas de control de riesgos y los procedimientos aplicables para el tramo de la cadena de suministro definidos en la Declaración de Aplicación. Requisitos Legales y otros requisitos reglamentarios de la seguridad: Se deberá establecer, implantar y mantener un procedimiento para identificar y tener acceso a los requisitos legales aplicables y a otros requisitos que la compañía suscriba relacionados con sus amenazas y riesgos a la seguridad. También se determinan con este procedimiento la aplicación estos requisitos y su relevancia con las actividades de la organización. Objetivos y metas de la gestión de la seguridad: La organización debe establecer, implantar y mantener unos objetivos y metas documentados y adecuados en las funciones y niveles pertinentes dentro de la organización. Los objetivos deberán tener en cuenta: 1. Consistencia con la política de seguridad y con el compromiso de mejora continua. 2. Los requisitos legales y otros requisitos reglamentarios a la seguridad. 3. Las amenazas y riesgos relativos con la seguridad. 4. Las opciones tecnológicas y de otro tipo. 5. las opiniones de las partes afectadas apropiadas. 6. los requisitos financieros, operacionales y de negocio. 7. Asegurar que los objetivos de seguridad ya implantados son consistentes con la política de la organización y el compromiso de mejora continua. 8. Poner en conocimiento a los empleados y terceras partes afectadas de sus obligaciones. 9. Realizar revisiones periódicas de los objetivos de gestión de seguridad para asegurar su consistencia con la política de gestión de la seguridad. 10. Los objetivos serán modificados cuando sea necesario 27 ISO 28.000 La Seguridad en la Cadena de Suministro Las metas deberán: 1. Tener un nivel de detalle adecuado. 2. Ser específicas, medibles, alcanzables, pertinentes y tener plazos adecuados. 3. Comunicarse a todos los empleados y a las terceras partes involucradas. 4. Revisarse periódicamente según intervalos definidos (mínimo anualmente) y cuando necesario modificarlas para asegurar relevancia y consistencia con los objetivos de seguridad. Programas de la gestión de la Seguridad: La organización debe establecer, implantar y mantener programas de gestión de la seguridad para alcanzar sus objetivos y metas. Los programas deberían: Asegurar una implantación rentable y eficiente en costes. Optimizar y priorizar los objetivos y metas. Y revisarse periódicamente para asegurar la consistencia con los objetivos y metas por lo que cuando sea necesario deberán modificarse en consecuencia. Implantación y Operación Estructura, autoridad y responsabilidades de la gestión de la seguridad: Debe establecerse, documentarse y mantenerse una estructura en la organización en la que se definan las funciones, responsabilidades y autoridad coherente con el logro de la política, objetivos, metas y programas de gestión de la seguridad, y que sea comunicada a los empleados responsables de la implantación y mantenimiento de los requisitos 28 de seguridad. La alta dirección deberá proporcionar evidencia de su compromiso. Competencia, formación y toma de conciencia: La organización debe asegurarse de que el personal responsable del diseño, la operación y la gestión del equipo y los procesos de seguridad están debidamente cualificados en términos de educación, formación y/o experiencia, y deberá guardar los registros asociados a la competencia y formación. Estableciendo procedimientos para que las personas que trabajen en la organización sean conscientes de: 1. La importancia del cumplimiento con la política y los procedimientos de gestión de la seguridad y los requisitos establecidos. 2. Sus funciones y responsabilidades en el logro y mantenimiento del cumplimiento con los requisitos, en las operaciones y procedimientos del sistema de gestión de seguridad, incluyendo la preparación y respuesta a emergencias. 3. Las consecuencias potenciales para la seguridad de la organización de desviarse de los procedimientos operativos especificados Comunicación: Se deben establecer y mantener procedimientos para asegurar que se comunica a los empleados, contratistas y otras partes afectadas pertinentes la información relevante de la gestión de la seguridad, asegurándose la recepción por ellos. Dada la naturaleza confidencial de cierta información, se debe tener la consideración debida antes de la difusión. ISO 28.000 La Seguridad en la Cadena de Suministro Documentación: Debe establecerse y mantenerse un sistema de documentación de la gestión de la seguridad que incluya: 1. La política, los objetivos y las metas de seguridad, 2. La descripción del alcance del SGS, 3. Los principales elementos del SGS y su interacción, así como referencia a los elementos relacionados, 4. Documentos y registros requeridos en la norma, y 5. Los documentos necesarios para asegurar la eficacia de la planificación, operación y control de los procesos relacionados con sus amenazas y riesgos significativos. 6. Se deberá definir la confidencialidad de la información y tomar medidas para asegurar el acceso no autorizado. Control de documentos y los datos: Se identificaran los documentos, datos e información requeridos para la operación del SGS y la norma. Se definirán y mantendrá procedimientos para el control de estos documentos, datos e información, y deberán asegurar entre otros: Control Operacional: Se deben identificar y planificar las operaciones necesarias para alcanzar el cumplimiento con la política, objetivos, metas, nivel requerido de seguridad, requisitos legales y otros, así como el control de las actividades y la mitigación de las amenazas identificadas con riesgo significativo, y la difusión de los programas de gestión de la seguridad. La organización debe asegurarse de que las operaciones se llevan a cabo bajo las condiciones especificadas. Cuando sea necesario los procedimientos deben incluir los controles de diseño, instalación, operación, renovación y modificación de los elementos del equipo, instrumentos etc., relativos a la seguridad. Antes de la implantación de cambios que puedan tener impacto en las operaciones o actividades de seguridad se deben evaluar las amenazas y riesgos. 3. Establecer diferentes fases de revisión periódica por personal autorizado. Preparación ante emergencias, respuesta y restablecimiento de la seguridad: Se deberán implantar y mantener planes y procedimientos para identificar los posibles incidentes y situaciones de emergencia, estableciendo la preparación, respuesta y el reestablecimiento de la seguridad en esas situaciones. Los planes deberán ser revisados periódicamente y en particular tras cada incidente o situación de emergencia causada por violaciones y amenazas a la seguridad. Igualmente las capacidades de respuesta deberán probarse periódicamente. 4. Identificar los cambios y el estatus de las revisiones de los documentos Verificación y Acción Correctiva 1. Conocer la ubicación del documento y requerir autorización de acceso. 2. Autorización para aceptación de documentos antes de ser vigentes 5. Disponibilidad de las versiones vigentes en los puntos de uso. 6. Prevenir el uso de documentos obsoletos 7. Los documentos electrónicos deben tener back-ups y deben ser fáciles de recuperar. 8. Prevenir el acceso no autorizado y el uso no deseado. de documentos Medición y Seguimiento del desempeño de la seguridad: Se deben establecer y mantener procedimientos para hacer el seguimiento y medir el desempeño de su sistema de gestión de seguridad. Al establecer la frecuencia de las mediciones y seguimiento de los parámetros claves de desempeño, la organización debe considerar las amenazas y riesgos a la seguridad asociados incluyendo el potencial deterioro de los mecanismos y sus 29 ISO 28.000 La Seguridad en la Cadena de Suministro consecuencias. Evaluación del Sistema: Se evaluaran de manera periódica los planes, procedimientos y capacidades de gestión de la seguridad mediante revisiones, pruebas, informes posteriores a incidentes, lecciones aprendidas, evaluaciones del desempeño y ejercicios. Fallos, incidentes, no conformidades y acciones correctivas y preventivas relacionadas con la seguridad: Se debe establecer y mantener un procedimiento para definir la responsabilidad y autoridad para: 1. Evaluar e iniciar las acciones preventivas para identificar posibles fallos de seguridad 2. Investigar los aspectos relativos a la seguridad incluyendo casi-incidentes, falsas alarmas, incidentes, situaciones de emergencia así como no conformidades. 3. Acciones para mitigar cualquier consecuencia de los fallos, incidentes y no conformidades. 4. Inicio y finalización de las acciones correctivas. 5. Verificar la efectividad de las acciones correctivas implantadas. Control de Registros: Se establecerán y mantendrán registros para demostrar conformidad con la norma y los requisitos del 30 SGS. Igualmente se establecerán, implantaran y mantendrán procedimientos para la identificación, almacenaje, protección, recuperación, tiempo de retención y la disposición de los registros. Los registros deberán ser legibles, identificables y trazables. La documentación electrónica y digital deberá mantenerse a prueba de manipulaciones, se harán copias de seguridad y se prevendrá el acceso no autorizado. Auditorias: Se establecerá, implantara y mantendrá un programa de auditorias internas del sistema de gestión de seguridad asegurando que se llevan a cabo en intervalos planificados. Revisión por la dirección y mejora continua: Es responsabilidad de la alta dirección revisar la organización del sistema de gestión de la seguridad, y planificar intervalos para: 1. Garantizar continuamente la conveniencia, eficacia y adecuación del sistema de gestión de seguridad. 2. Evaluar las oportunidades de mejora 3. Evaluar la necesidad de cambios del SGS. 4. Evaluar la relevancia y adecuación continuamente de la política y objetivos de seguridad así como de las amenazas y vulnerabilidades. ISO 28.000 La Seguridad en la Cadena de Suministro Pasos para la Implantación de la Norma ISO 28.000:2007 Pedro Pablo Peláez, Responsable de Negocio Informática El Corte Inglés, S.A. INTRODUCCIÓN “Dirigir y operar una organización con éxito requiere gestionarla de una manera sistemática y visible. El éxito debería ser el resultado de implementar y mantener un sistema de gestión que sea diseñado para mejorar continuamente la eficacia y eficiencia del desempeño de la organización mediante la consideración de las partes interesadas. Gestionar una organización incluye gestionar la calidad, entre otras disciplinas de gestión” (Norma UNE EN ISO 9004:2000 Sistemas de gestión de la calidad. Directrices para la mejora del desempeño). Entre las otras disciplinas a gestionar de las que habla la norma, las organizaciones deben pensar en la cadena de suministro, y no sólo desde el punto de vista de la calidad, sino también desde el punto de vista de la seguridad. Poniendo el foco de atención en la seguridad de la cadena de suministro, la norma UNE ISO 28000:2008 tiene como principal objetivo mejorar la seguridad en la misma y ha sido diseñada para que pueda ser compatible y/o integrada con otros sistemas de gestión tales como ISO 9001:2008; ISO 14001:2005; ISO 27001:2007, etc. La Norma UNE ISO 28000:2007 es una norma de gestión de alto nivel que permite a las organizaciones establecer un sistema de gestión global de la seguridad de la cadena de suministro. Requiere que la organización analice y evalúe el entorno de seguridad en el que opera y decida si se implementan unas medidas de seguridad adecuadas. Si mediante este proceso se identifican necesidades de seguridad, la organización debería implementar mecanismos y procesos para satisfacer estas necesidades. El Sistema de Gestión de la Seguridad de la Cadena de Suministro propuesto por la norma UNE ISO 28000:2007 se fundamenta en la mejora continua, como proceso iterativo de optimización del sistema de gestión de la seguridad para lograr mejoras en el desempeño global de la seguridad de forma coherente con la política de seguridad de la organización. La norma se complementa con la Norma UNE ISO 28001:2008 “Sistemas de gestión de la seguridad para la cadena de suministro. Buenas prácticas para la implementación de la seguridad para la cadena de suministro, evaluación y planes. Requisitos y guías”. Seguidamente se ofrece una visión general de en qué consiste un Sistema de Gestión de la Seguridad en la Cadena de Suministro y los aspectos que lo conforman, según los requisitos de la Norma UNE ISO 28000:2007. VOCABULARIO Para contar con un lenguaje común, a continuación se describe el significado de algunos de los términos que se emplean con mayor frecuencia. SISTEMA: Un sistema es un conjunto de elementos organizados, que interactúan entre ellos para alcanzar un objetivo, siguiendo unos procedimientos establecidos. 31 ISO 28.000 La Seguridad en la Cadena de Suministro SEGURIDAD: Resistencia al acto o actos intencionados y no autorizados destinados a causar daño o perjuicio a la cadena de suministro o a través de ella. DISEÑO E IMPLANTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURDAD DE LA CADENA DE SUMINISTRO (SGSCS) SEGÚN UNE ISO 28000:2008 GESTIÓN DE LA SEGURIDAD: Actividades y prácticas sistemáticas y coordinadas a través de las cuales una organización gestiona de manera óptima sus riesgos y las amenazas e impactos potenciales asociados. Cuando se implanta un sistema de gestión que satisfaga los requisitos de la norma UNE ISO 28000:2007, se requiere documentar cómo cumple la organización con los requisitos de la norma. Esto da lugar a un sistema documental que, en general, describe los elementos básicos del sistema de gestión y su interrelación, así como una orientación sobre la documentación de referencia. CADENA DE SUMINISTRO: Conjunto relacionado de recursos y procesos que comienza con la provisión de materias primas y se extiende a través de la entrega de productos o servicios al usuario final a través de los modos de transporte. Nota: la cadena de suministro puede incluir a los vendedores, las instalaciones de fabricación, los proveedores logísticos, los centros de distribución interna, los distribuidores, los mayoristas y otras entidades que conducen al usuario final. SISTEMA DE GESTIÓN DE LA SEGURIDAD PARA LA CADENA DE SUMINISTRO (SGSCS): es la parte del sistema general de gestión que comprende la estructura organizativa, las responsabilidades, las prácticas, los procedimientos, los procesos y los recursos para determinar y llevar a cabo la Política de Gestión de la Seguridad en la Cadena de Suministro. POLÍTICA DE GESTIÓN DE LA SEGURIDAD: Intenciones y direcciones globales de una organización, relacionadas con la seguridad y el marco de trabajo para el control de los procesos y actividades relacionados con la seguridad que se derivan de la política de la organización y los requisitos reglamentarios y que son consecuentes con ellos. PROGRAMAS DE GESTIÓN DE LA SEGURIDAD: Son aquellos a través de los cuales se conseguirán los objetivos y metas de la organización, incluyendo la planificación en el tiempo y el personal responsable para la implantación de la política de Gestión de la Seguridad. 32 Las familias documentales, por orden de jerarquía, son las siguientes: • Manual de gestión del sistema de la seguridad en la cadena de suministro. En este documento se incluye la Política de Seguridad de la Organización. • Manual de procedimientos. • Programas de gestión de la seguridad en la cadena de suministro. • Instrucciones de trabajo. • Registros El Manual del Sistema de Gestión de la Seguridad en la Cadena de Suministro es un documento que sirve para gestionar la seguridad de la cadena de suministro de manera eficaz, al reflejarse en él los compromisos adquiridos por la organización para identificar las amenazas a la seguridad, evaluar los riesgos y controlar y mitigar sus consecuencias. ISO 28.000 La Seguridad en la Cadena de Suministro En general, puede incluir los siguientes aspectos: • Alcance del SGSCS. • Política de Gestión de la Seguridad. • Orientación sobre los objetivos y las metas. • Estructura, autoridad, funciones y responsabilidades relacionadas con SGSCS. • Descripción de los elementos principales del SGSCS y su interacción. • Orientación sobre la documentación y los registros de referencia. • Referencia general a los procedimientos del SGSCS. El Manual de Procedimientos del SGSCS es un documento integrado por los capítulos necesarios para asegurar la capacidad de la organización para gestionar la seguridad en la cadena de suministro dentro del alcance establecido. Los procedimientos que, en principio, la organización debe desarrollar son: • De evaluación y planificación de los riesgos de seguridad • De identificación, acceso y aplicación a los requisitos legales relacionados con las amenazas y riesgos a la seguridad. • De competencia, formación y toma de conciencia. • De comunicación. • De control de los documentos, los datos y los registros. • De control operacional, incluyendo los de control de los procesos subcontratados • Ante emergencias, respuesta y restablecimiento de la seguridad. • De medición y seguimiento del desempeño de la seguridad. • De calibración y mantenimiento, en caso de emplear equipos de medida y seguimiento del desempeño. • De evaluación del sistema. • Acerca de fallos, incidentes, no conformidades y acciones correctivas y preventivas relacionados con la seguridad. • De auditorías. • De revisión del SGSCS por la dirección y mejora continua. De la política de seguridad que apruebe la organización, se deben establecer los objetivos y las metas en materia de seguridad, de forma que sean cuantificables, coherentes y conocidos por todas las partes necesarias. Una vez que se han establecidos los objetivos y las metas, la organización tiene que diseñar y desarrollar los programas de gestión de la seguridad apropiados con dichos objetivos. Los programas de la gestión de la seguridad son los medios a través de los cuales la organización alcanza un objetivo de la gestión de la seguridad. Deben optimizarse y priorizarse. Por este motivo, es necesario que la organización proporcione los medios necesarios para la implementación eficiente y rentable de los programas. Los programas deben documentarse, incluyendo la definición de responsabilidades, los objetivos y las metas, los medios humanos y materiales y la cronología. Para evidenciar la implantación del SGSCS, la organización debe definir e implantar los registros que sean necesarios. Los registros que, en principio, se deben considerar son los relativos: • Al compromiso de la Alta Dirección con el desarrollo e implementación del SGSCS y de la mejora continua de su eficacia. • A la evaluación y planificación de los riesgos de seguridad. • A la competencia y la formación de las personas. • A los datos y los resultados del seguimiento y la medición para la acciones de análisis correctivo y preventivo. • A la calibración y mantenimiento de los equipos de medición y seguimiento del desempeño, en su caso. • A la evaluación del sistema. 33 ISO 28.000 La Seguridad en la Cadena de Suministro Como la mejora continua está presente en el SGSCS, la organización y la Dirección debe revisar periódicamente el Sistema. La mejora continua se hace presente a través de: orientadas a poner en marcha el proyecto, la organización debe decidir sobre el alcance del SGSCS y debe asignar las responsabilidades oportunas sobre el proyecto. • El establecimiento y el seguimiento de los objetivos, las metas y los programas. Por otra parte es el momento de ajustar la planificación del proyecto a la realidad, así como de recoger toda la información de valor de la que disponga la organización y pueda ser de utilidad para el proyecto. • La evaluación de los riesgos de la seguridad y la definición de los programas de seguridad. Fase 1: Diseño del SGSCS y Política de Seguridad. • La revisión de la eficacia de los planes y procedimientos de preparación, respuesta ante emergencias y de restablecimiento de la seguridad. En esta fase, la organización debe abordar, entre otras las siguientes acciones: • La definición y revisión de la política de seguridad. • En general, a través de la revisión periódica y sistemática del sistema por la Dirección de la organización. FASES PARA EL DISEÑO E IMPLANTACIÓN DE UN SGCCS Para abordar el Diseño y la Implantación de un SGSCS, se proponen las siguientes fases: Fase 0: Organización e inicio del proyecto y definición del alcance. Esta fase constituye el punto de arranque de un proyecto de implantación de un SGSCS en base a la norma UNE ISO 28000:2007. En esta fase, entre otras acciones • Analizar y establecer las responsabilidades en materia de seguridad, en formación, competencias y toma de conciencia del personal. • Definir y diseñar el SGSCS. • Diseñar un plan de comunicación del proyecto. • Elaborar y aprobar la política de seguridad. • Elaborar los procedimientos generales del SGSCS. Fase 2: Evaluación de los riesgos de la seguridad: En esta fase, la organización debe establecer la metodología para la gestión de los riesgos de seguridad en la cadena de suministro dentro del alcance definido para el SGSCS. La norma UNE ISO 28001:2008 “Sistemas de gestión de la seguridad para la cadena de suministro. Buenas prácticas para la implementación de la seguridad para la cadena de suministro, evaluación y planes. Requisitos y guía”, propone el siguiente proceso, que en cualquier caso, debería adaptarse a las necesidades de la organización: Una vez definido el alcance, la organización debe proceder a evaluar la seguridad en 34 ISO 28.000 La Seguridad en la Cadena de Suministro la Cadena de Suministro, identificar las medidas de seguridad y evaluar los escenarios de amenazas a la seguridad. En este punto, la organización debe desarrollar el plan de seguridad pertinente, en función de los riesgos que esté dispuesto a asumir, implantarlo y realizar el seguimiento periódico. Este proceso es iterativo y constituye un pilar para la mejora continua en la gestión de la seguridad de la cadena de suministro. Fase 3: Planificación de la seguridad. En esta fase, la organización debe establecer los objetivos y las metas de seguridad y elaborar los programas de gestión de la seguridad. Fase 4: Implementación y operación. En este punto del proyecto, la organización debe dejar elaborados todos los procedimientos necesarios para asegurar la operación y su control y preparar los mecanismos de respuesta ante emergencias y las acciones correctivas y preventivas del SGSCS. Así mismo, en esta fase se procede a la implantación del sistema en todas las áreas dentro del alcance del SGSCS. Fase 5: Evaluación del SGSCS. En esta fase, la organización debe poner en marcha la sistemática para poder realizar la medición y seguimiento del desempeño de la seguridad y analizar las incidencias, acciones correctivas y preventivas del SGSCS. Fase 6: Auditoría del SGSCS. Una vez diseñado, documentado e implantado el sistema, éste se encuentra en disposición de ser auditado internamente para verificar el grado de implantación con la Norma y con el SGSCS. Del proceso de auditoría se derivarán las acciones correctivas y preventivas que sean necesarias. Fase 7: Revisión del SGSCS por la dirección y mejora continua. La Dirección debe proceder a evaluar la eficacia del SGSCS basándose en el análisis de los datos de evaluación, de las oportunidades de mejora y de los cambios que se consideren necesarios del sistema. También se procede a evaluar la eficacia de la política de seguridad. De esta revisión se deben implementar las mejoras o las acciones correctivas que se consideren pertinentes, así como la dotación de recursos que fuera necesaria para mejorar la eficacia del SGSCS. Llegados a este punto, la organización pude solicitar a una empresa acreditada la certificación de su SGSCS según la norma de referencia UNE ISO 28000:2007. 35 ISO 28.000 La Seguridad en la Cadena de Suministro Conclusiones y Beneficios La certificación ISO 28000:2007 y el resto de normas ISO que acompañan este estándar, ayudan a crear un marco de referencia sistemático en el que la organización mejora continuamente los aspectos de seguridad. ISO 28000 es una norma certificable de sistemas de gestión que provee, por primera vez, un marco de referencia para organizaciones que operan o que dependen en cualquier aspecto de la cadena de suministro. Puede ayudar a todos los sectores de la industria a evaluar los riesgos de seguridad, implementar controles y a hacer arreglos para mitigar o manejar posibles amenazas e impactos de la cadena de suministro de la misma manera en la que se maneja cualquier otro principio fundamental de la empresa como calidad, seguridad o satisfacción del cliente. La importancia de la norma ISO 28000:2007 está relacionada con la “Protección de las Infraestructuras Críticas” ya que cualquier organización puede certificarse, y 36 también con la gestión de la ”Seguridad de la cadena de suministro o la Seguridad Aduanal” al tener un enfoque especial en los aspectos dinámicos de la cadena de suministro. La norma ISO 28000 aporta un valor especial en los procesos relacionados con la gestión de la seguridad en la cadena de suministro. La cadena de suministro describe el proceso global que resulta del transporte de bienes de un punto de origen al destino final e incluye el movimiento de bienes, los datos de embarque, y los procesos asociados así como una serie de relaciones dinámicas. Implica a muchos participantes tales como productores de bienes, empresas de logística, consolidadores, camioneros, ferrocarriles, terminales marítimas, empresas de carga aérea, agencias aduanales, servicios de información financiera y compradores del bien que es enviado. La implantación de ISO 28000 asegurara a las partes interesadas que la seguridad es uno ISO 28.000 La Seguridad en la Cadena de Suministro de los aspectos fundamentales de la organización, y en las organizaciones con las que trabaja, además asegura el cumplimiento con la mayoría de los requisitos de las principales iniciativas tales como AEO, CTPAT, TAPA, BASC etc. Entre los Beneficios más importantes de Implantar y certificar un sistema de gestión de la seguridad en base a la ISO 28000:2007 están los siguientes: La implantación de ISO 28000 tiene amplios beneficios estratégicos, organizacionales y operacionales en el desarrollo de las actividades del negocio tanto si es una organización situada en uno de los extremos de la cadena de suministro como si es esta en medio de ella. Recibir una mayor credibilidad, reputación y prestigio de marca. Demuestra un rol especial como pionero en la gestión de la seguridad. Mejora la capacidad de adaptación de la empresa. Sistematizar las mejores prácticas de gestión de la seguridad. Mejorar la eficiencia en el transporte y la visibilidad de la cadena de suministro. Los beneficios en la cadena de suministro incluyen una reducción potencial de la huella de carbono de su compañía y una reducción de los tiempos en aduanas al reducir inspecciones secundarias (Green Lane). Mejorar la satisfacción del cliente y la cooperación a través de la cadena de suministro Lograr los requisitos internacionales de seguridad en la cadena de suministro, reduciendo los riesgos. Optimizar procesos para garantizar que la cadena de suministro se mantiene libre de interrupciones. Incrementa la garantía de calidad de los productos y servicios suministrados y el control de producción. Prevenir perdidas innecesarias debidas a robos y las amenazas identificadas. Elimina los gastos asociados con múltiples certificaciones de seguridad. Alinear la terminología y el uso de conceptos. Benchmarking sobre criterios internacionales reconocidos. Mejorar la seguridad por medio de una adecuada evaluación de riesgos de la seguridad sobre los activos de la organización, conociendo las amenazas y el desarrollo de contramedidas efectivas, desarrollando objetivos, metas y programas apropiados y priorizando la gestión dinámica de la seguridad como un proceso fundamental de negocio. 37 ISO 28.000:2007 La Seguridad en la Cadena de Suministro Una publicación editada por: Coordinación Técnica: Colaboración Técnica: Con la colaboración de: