Traducción libre para estudio. NORMA ISO 18788 Sistema de Gestión para Operaciones de Seguridad Privada Norma de Estudio Traducción libre para estudio. INTRODUCCIÓN 0.1 GENERALIDADES Este documento especifica y proporciona orientación para las organizaciones que realizan o contratan operaciones de seguridad. Brinda un marco de referencia de gestión empresarial y del riesgo para la ejecución eficaz de las operaciones de seguridad. Se aplica específicamente a cualquier Organización que funcione en circunstancias en que la gobernalidad puede ser débil o el estado de derecho/principio de legalidad está socavado debido a eventos causados por la naturaleza o por el ser humano. Al usar el enfoque de planificar - Hacer – Verificar – Actuar, este documento suministra un medio para que las organizaciones que realizan o contratan operaciones de seguridad demuestren: a) Una capacidad adecuada para la gestión empresarial y del riesgo para satisfacer los requisitos profesionales de los clientes y otras partes interesadas; b) Evaluación y gestión del impacto de sus actividades en las comunidades locales; c) Rendición de cuentas ante la ley respeto por los derechos humanos; d) Consistencia con los compromisos voluntarios a los que se suscribe la organización. Nota 1 Ese documento no pretende imponer cargas adicionales a los servicios de protección general aparte de estas circunstancias específicas. Este documento hace uso de disposiciones sobre principios pertinentes, obligaciones legales, compromisos voluntarios y buenas prácticas de los siguientes documentos, y proporciona un mecanismo para demostrar el cumplimiento de estos: - Montreux Document on Pertinent International Legal Obligations and Good Practices for States related to Operations of Private Military and Security Companies during Armed Conflict (09/2008); - International Code of conduct for private Security service Providers (iCoC) (11/2010); - Guiding Principles on Business and Human Rights: Implemeding the United Nations “Protect, Respect and Remedy” framework (2011). Nota 2 El International Code of Conduct refleja 1) las obligaciones legales y las buenas prácticas de Montreux Document (incluidas las disposiciones que detallan la ley de derechos humanos y el derecho humanitario que se aplica a os proveedores de seguridad), y 2) los principios pertinentes del marco a la referencia “Proteger, Respetar y Remediar” tal como se operacionaliza en Guiding Principles on Business and Human Rights. Nota 3 Aunque se dirige específicamente a los estados y el conflicto armado, el Montreux Document también es instructivo en condiciones similares para otras entidades Traducción libre para estudio. La operación de seguridad privada tiene un rol importante en la protección de clientes estatales y no estables involucrados en esfuerzos de liberación, recuperación y reconstrucción, operaciones empresariales comerciales, actividades de desarrollo, diplomacia, y actividad militar. Ese documento se aplica a cualquier tipo de organización que realiza o contrata operaciones de seguridad, en particular en entornos en donde la gobernalidad puede ser débil o al estado de derecho/principio de legalidad está socavado por eventos causados por la naturaleza o el ser humano, Es necesario que la organización, en estrecha coordinación con clientes legítimos y actores estatales, adopte e implemente las normas necesarias para asegurar que se respetan los derechos humanos y libertades fundamentales para salvaguardar la vida y la propiedad, y que se previenen actos inapropiados, legales y excesivos, esto implica que las organizaciones involucradas en las operaciones de seguridad consistentes y predecibles que mantengan la seguridad y la protección de sus clientes dentro de un marco de referencia encaminado a asegurar el respeto de los derechos humanos, las leyes nacionales e internacionales y las libertades fundamentales. NOTA 4 para los fines de este documento, las leyes nacionales pueden incluir aquellas del país de la organización, los países de su personal, el país en el que opera y el país del cliente. Este documento se construye sobre los principios que se encuentran en la ley de derechos humanos y el derecho internacional humanitario (DIH). Proporciona criterios auditable y guía que sustenta los objetivos de Montreux Document on Pertinent International Legal Obligations and Good Practices for States related to Operations Of Private Military and Security Companies During Armed Conflict de September 17 de 2008; International code of Conduct for Private Security service Providers (ICoC)del 9 de November de 2010, y guiding Principles on Business and Human Rights; implemeding the United Nations “Protect, Respect and Remedy” Framework 2011. Este documento proporciona un medio para que las organizaciones y sus clientes implementen las obligaciones legales y las buenas prácticas que recomienda Montreux Document, y para que suministren compromiso, cumplimiento y rendición de cuentas demostrables para respetar los principios descritos en el ICoC(por sus siglas en inglés), así como otros documentos internacionales relacionados con los derechos humanos y los compromisos voluntarios como Guiding Principles on Bussiness and Human Rights; implemeding the United Nations “Protect, Respect and Remedy” Framework 2011, y en Voluntary Principles on Security and Human Rights (2000). Dado que las organizaciones que realizan y contratan operaciones de seguridad se han convertido en elementos importantes para el apoyo a los esfuerzos de paz, estabilidad, desarrollo y comercio en las regiones en donde las capacidades de las instituciones sociales han sido golpeadas por eventos perturbadores causados por la naturaleza y el ser humano, sus operaciones enfrentan algún riesgo. El reto es determinar cómo gestionar el riesgo eficazmente en términos de costo, al tiempo que se satisfacen los objetivos estratégicos y operativos de las organizaciones dentro de un marco que salvaguardar la seguridad, la protección, de los derechos humanos de las partes interesadas internas y externas, incluidos los clientes y las comunidades afectadas. Es necesario que las organizaciones lleven a cabo sus negocios y presten servicios de manera que se respeten los derechos humanos y las leyes. Por lo tanto, ellas-y sus clientes – tiene la obligación de la debida diligencia para identificar los riesgos, prevenir los incidentes, mitigar y remediar las consecuencias de los incidentes, reportarlos cuando ocurran, y emprender las acciones correctivas y preventivas para evitar la recurrencia. Esta norma proporciona la base para que los clientes diferencien cuales organizaciones pueden prestar servicios con los estándares profesionales más altos, consistentes con las necesidades y los derechos de las partes interesadas. La protección de los activos, tanto tangibles como intangibles, es una labor crucial para la viabilidad, rentabilidad, y sostenibilidad de cualquier tipo de organización (pública, privada, o sin ánimo de lucro). Esto trasciende la protección solamente de los activos físicos, humanos o de información, también incluye la protección de la imagen y la reputación de las empresas y sus clientes. La protección de los activos requiere de una combinación de pensamiento estratégico, resolución de problemas, gestión de procesos y capacidad para implementar programas e iniciativas que correspondan el contexto de las operaciones de la organización y sus riesgos. Traducción libre para estudio. Norma de Estudio NTC-ISO 18788 Crucial para el éxito de la implementación de esta norma es introducir los valores de Montreux Document e ICoC en la cultura y el rango de actividades de la organización. La integración de estos principios en la gestión empresarial global de la organización, la integración de estos principios en la gestión empresarial global de la organización exige un compromiso a largo plazo con el cambio cultural por parte de la alta demostrar su compromiso con la integración de los principios del Montreux Document y el ICoC en sus sistemas de gestión dentro de la organización (por ejemplo, normas de calidad, inocuidad, resiliencia organizacional, ambiental, seguridad de la información y riesgos). Un sistema de gestión diseñado correctamente puede cumplir los requisitos de todas estas normas. En esta norma, se usan las siguientes las siguientes formas verbales (detalles adicionales se pueden encontrar en las Directivas ISO/IEC, Parte2): - “debe” indica un requisito auditable: se usa para indicar requisitos que se deben satisfacer estrictamente para cumplir lo estipulado en el documento y con respecto a los cuales no se permite desviación alguna; - “debería” indica una recomendación: se usa para indicar que entre varias posibilidades se recomienda una como particularmente adecuada, sin mencionar ni excluir las otras, o que se prefiere, pero no se requiere necesariamente, algún curso de acción o que (en forma negativa) una posibilidad determinada o un curso de acción se desaprueba, pero no se prohíbe; “tener autorización” indica permiso: se usa para indicar un curso de acción permitido dentro de los límites del documento; - “puede” indica una posibilidad o capacidad: se usa en declaraciones de posibilidad y capacidad, sea material, física o casual. - La información que se marca como “NOTA” Brinda una guía para entender o aclarar el requisito asociado. Los elementos que se presentan en las listas no son exhaustivos, a menos que se establezca algo diferente, y el orden de la lista no especifica una secuencia ni prioridad, a menos que se indique así. La naturaleza genérica de esta norma permite que la organización incluya elementos adicionales, así como la designación de una secuencia o prioridad con base en las condiciones operativas y las circunstancias específicas de la organización. 0.2 PROTECCIÓN DE LOS DERECHOS HUMANOS Aunque los estos y sus entidades necesitan respetar, defender y proteger los derechos humanos, todos los segmentos de la sociedad (públicos, privados y sin ánimo de lucro) tienen una responsabilidad compartida para actuar de modo que respeten y no se impacten negativamente los derechos humanos ni las libertades fundamentales (véase la Sección A.2). Los clientes y las organizaciones que realizan o contratan operaciones de seguridad tienen la responsabilidad compartida de establecer políticas y controles que garanticen la conformidad con los principios del Montreux Document y del ICoC. Al implementar esta norma, ñas organizaciones pueden: a) Establecer y mantener una gobernabilidad y un marco de gestión transparentes para disuadir, detectar monitorear, abordar y prevenir la ocurrencia y recurrencia de incidentes que tengan impactos adversos en los derechos humanos y las libertades fundamentales; Traducción libre para estudio. b) Identificar y funcionar en concordancia con las leyes y los reglamentos internacionales, nacionales y locales que sean aplicables; c) Ejecutar valoraciones del riesgo exhaustivas, internas y externas, asociados con los riesgos para la protección, la seguridad y los derechos humanos; d) Implementar medidas del control del riesgo que apoyen al estado de derecho/principio de legalidad, respeten los derechos humanos de las partes interesadas, protejan los intereses de la organización y sus clientes, y proporciona en servicios profesionales; e) Asegurar que se implementen y gestionan controles operativos adecuados y suficientes basados en los riesgos identificados con el fin de promover la seguridad y salud en el trabajo y el bienestar de las personas que trabajan en nombre de la organización; f) Comunicar y consultar eficazmente con las partes interesadas públicas y privadas; g) Realizar la revisión y la capacitación eficaces de las personas que trabajan en nombre de la organización; h) Asegurar que el uso de la fuerza es razonablemente necesario, proporcional, y legal; i) Ejecutar evaluaciones del desempeño de los servicios prestados y del logro de los objetivos; j) Desarrollar e implementar sistemas para reportar e investigar alegatos y violaciones del derecho internacional, las leyes locales o los derechos humanos, así como mitigar y remediar las consecuencias de eventos indeseables o perturbadores. 0.3 ENFOQUE EN LOS SISTEMAS DE GESTIÓN El enfoque de los sistemas de gestión incentiva a las organizaciones a analizar los requisitos organizacionales y de las partes interesadas y a definir procesos que contribuyan al éxito. Este suministra una base para establecer políticas y objetivos, establecer procedimientos para lograr los resultados deseados, y a medir y monitorear el logro de los objetivos y los resultados. Un sistema de gestión proporciona el marco para que la mejora continua aumente la probabilidad de fortalecer el profesionalismo de las operaciones de seguridad, mientras asegura la protección de los derechos humanos y las libertades fundamentales. Proporciona confianza, tanto a la organización como a sus clientes, en que la organización puede gestionar sus obligaciones contractuales, de seguridad y legales, así como respetar los derechos humanos. Información adicional sobre las normas de sistema de gestión se encuentra en el Anexo D. La Figura 1 ilustra el enfoque de los sistemas de gestión que se usa en esta norma. Revisión por la Dirección - Idoneidad y eficacia Necesidad de cambio Oportunidad para la mejora Política - Evaluación del desempeño - Monitoreo de medición Evaluación del cumplimiento y desempeño del sistema Ejercicios y ensayos No conformidades, acciones correctivas y preventivas Auditorías internas Mejora Continua - Compromiso de la dirección Compromiso con la protección de los derechos humanos Compromiso Pcloannifilcaacmióenjora continua Compromiso con los recursos Valoración del riesgo Requisitos legales y otros Objetivos y planes para lograrlos Programas estratégicos Estrategias para la gestión del riesgo Implementación y operación - Control Operativo Recursos, roles, responsabilidad y autoridades Competencia, capacitación y toma de consecuencia Comunicación Documentación y control de documentos Prevención y gestión de eventos indeseables o perturbadores Figura 1. Diagrama de flujo de sistema de gestión de las operaciones de seguridad (SGOS). SISTEMA DE GESTIÓN PARA LAS OPERACIONES DE SEGURIDAD PRIVADA. REQUISITOS CON ORIENTACIÓN PARA SU USO 1. OBJETO Y CAMPO DE APLICACIÓN Este documento proporciona un marco de referencia para establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar la gestión de las operaciones de seguridad. También provee los principios y los requisitos para un sistema de gestión de las operaciones de seguridad (SGOS). Igualmente, este documento proporciona un marco de referencia para la gestión empresarial de riesgo para las organizaciones que realizan o contratan operaciones de seguridad y actividades y funciones relacionados, al tiempo que demuestran: a) Ejecución de operaciones de seguridad profesionales para cumplir los requisitos de los clientes y de otras partes interesadas, b) Rendición de cuentas ante la ley y respeto de los derechos humanos; c) Consistencia con los compromisos voluntarios a los cuales se suscribe. Ese documento también suministra un medio para las organizaciones y aquellos que utilizan servicios de seguridad demuestren el compromiso con las obligaciones legales pertinentes y con las buenas practicas indicadas en el Montreux Document on Pertinent International Legal Obligations and Good Practices for States related to Operations of Private Military and Security Companies during Armed Conflict, y conformidad con los principios y compromisos indicados en el international Code of Conduct for Private Security Service Providers (ICoC). Este documento está destinado específicamente a cualquier organización que funcione en circunstancias en que la gobernalidad puede ser débil y el estado de derecho/principio de legalidad puede estar socavado a eventos causados por la naturaleza o el ser humano. Nota 1 Este documento no pretende imponer cargar adicionales a los servicios de protección general aparte de estas circunstancias específicas. Las leyes aplicables pueden incluir todo tipo de leyes que abarcan, pero no se limitan, al derecho nacional, regional, internacional o consuetudinario. El usuario de este documento es el único responsable de determinar las leyes aplicables y obedecerlas. Este documento no suministra ninguna asesoría ni guía con respecto a las leyes aplicables, el conflicto entre las leyes ni la interpretación de leyes, códigos, tratados o documentos que se mencionen en ella. Norma de Estudio NTC-ISO 18788 Este documento se aplica a cualquier organización que necesite: a) Establecer, implementar, mantener y mejorar un SGOS; b) Evaluar su conformidad con la política de gestión establecida por sus operaciones de seguridad; c) Demostrar su capacidad para prestar servicios de manera consistente que satisfagan a las necesidades del cliente y cumplan las leyes internacionales, nacionales y locales aplicables, así como los requisitos de los derechos humanos. Los principios y requisitos genéricos de este documento están destinados a incorporarse en el sistema de gestión integrado de cualquier organización con base en el modelo Planificar-Hacer-Verificar-Actuar (PHVA) no pretende promover un enfoque uniforme para todas las organizaciones en todos los sectores. Se espera que el diseño y la implementación de los planes los procedimientos y las prácticas para las operaciones de seguridad tomen en consideración los requisitos particulares de cada organización: sus objetivos, contexto, cultura, estructura, recursos, operaciones, procesos, productos y servicios. Nota 2 en consistencia con el propósito de las organizaciones públicas y privadas de cumplir todas las leyes aplicables y respetar los derechos humanos, se pretende que los clientes consulten este documento al contratar servicios de seguridad privada. También se pretende que las organizaciones usen los principios y requisitos del sistema de gestión de este documento para realizar su propia debida diligencia y gestionar los servicios, así como construir sus procesos de contratación y de administración de contratos para dar soporte a la conformidad con este documento. 2. REFERENCIAS NORMATIVAS Los siguientes documentos, en su totalidad o parcialmente, son referencias normativas en este documento e indispensables para su aplicación. Para referencias con fecha, solamente se aplica la edición más reciente. Para referencias sin fecha, solamente se aplica la edición más citada. Para referencias sin fecha, se aplica la edición más reciente del documento citado (incluidas todas las enmiendas). ISO Guide 73:2009, Risk Managament. Vocabulary Montreux Document on Pertinent International Legal Obligations and Good Practices for States Related to Operations of Private Military and security Companies during Armed Conflict (09/2008)1 International Code of Conduct for Private Security Service Providers (ICoC) (11/2010)2. Guiding Principles on Business and Human Rights; implementing the United Nations “Protect Respect and Remedy” Framework 20113. Norma de Estudio NTC-ISO 18788 3. TERMINOS Y DEFINICIONES Para los propósitos de este documento, se aplica los siguientes términos y definiciones, así como los suministrados en la Guía ISO 73:2009 3.1 activo (asset). Cualquier cosa que tenga un valor tangible o intangible para una organización (3.34). NOTA 1 a la entrada Los Activos tangibles incluyen activos humanos (que se consideran los de más valor en este documento), físicos y ambientales. NOTA 2 a la entrada Los activos intangibles incluyen información, marca y reputación. 3.2 auditoría (audit) Proceso (3.43) sistemático, independiente y documentado para obtener evidencia de auditoria y evaluarla objetivamente para determinar el grado hasta el cual se cumplen los criterios de auditoria y evaluarla objetivamente para determinar el grado el cual se cumplen los criterios de auditoría. NOTA 1 a la entrada Una auditoria puede ser auditoria interna (de primera parte) o una auditoria externa (de segunda o tercera parte), y puede ser una auditoria combinada (que combine dos o más disciplinas). NOTA 2 a la entrada de la organización. Una auditoria interna es ejecutada por la misma organización (3.34) o por una parte externa a nombre NOTA 3 a la entrada La “evidencia de auditoria” y los “criterios de auditoria” se definen en la ISO 19011. 3.3 auditor (auditor). Persona que ejecuta una auditoria (3.2). [Fuente ISO 19011:2011, 3.8] 3.4 cliente (cliente) Entidad o persona que contrata, ha contratado formalmente, o pretende contratar a una organización (3.34) para que ejecute las operaciones de seguridad (3.63) en su nombre, que incluye, según corresponde, cuando tal organización subcontrata con otra empresa o fuerzas locales. EJEMPLO Consumidor, contratista, usuario final, minorista, beneficiario, comprador. NOTA 1 a la entrada un cliente puede ser interno (por ejemplo, otra división) o externo a la organización. 3.5 competencia (competence). Capacidad para aplicar el conocimiento y las habilidades para lograr los resultados previstos. 3.6 comunicación y consulta (communication and consultation). Procesos (3.43) continuos e interactivos que una organización (3.34) ejecuta para proporcionar, compartir u obtener información y para involucrarse en diálogo con las partes interesadas (3.24) y otros respecto a la gestión de riesgo (3.50). NOTA 1 a la entrada la información se puede relacionar con la experiencia, la naturaleza, la forma, la probabilidad (3.27), la gravedad, la evaluación, la aceptabilidad, tratamiento u otros aspectos de la gestión de riesgo y la gestión de las operaciones de seguridad (3.64). NOTA 2 a la entrada La consulta es un proceso de doble vía de comunicación informada entre una organización y sus partes interesadas u otros sobre un aspecto, antes de tomar una decisión o determinar una dirección sobre dicho aspecto, la consulta es: - un proceso que impacta en una decisión a través de la influencia más que el poder; y - un elemento de entrada para la toma de decisiones, sin vincularse a la toma de decisiones. [Fuente: Guía ISO 73:2009, 3.2.1, modificada] 3.7 comunidad (community). Grupo de organizaciones (3.34). individuos y grupos asociados que comparten intereses comunes. NOTA 1 a la entrada las comunidades impactadas son los grupos de personas y organizaciones asociadas que se ven afectadas por la prestación, los proyectos o las operaciones de los servicios de seguridad. 3.8 conformidad (conformity). Cumplimiento de un requisito (3.45). 3.9 mejora continua (continual improvement). Actividad recurrente para mejorar el desempeño (3.36). 3.10 consecuencia (consequence). Resultado de un evento (3.19) que afecta a los objetivos (3.33). NOTA 1 a la entrada Un evento puede ocasionar una gama de consecuencias. NOTA 2 a la entrada objetivos. Una consecuencia puede ser cierta o incierta y puede tener efectos positivos o negativos en los NOTA 3 a la entrada las consecuencias se pueden expresar cualitativas o cuantitativamente. NOTA 4 a la entrada Las consecuencias iniciales pueden escalar a través de efectos acumulativos a partir de un evento que activa una cadena de eventos. NOTA 5 a la entrada Las consecuencias se califican en términos de la magnitud o la gravedad de los impactos. [Fuente ISO 73:2009, 3.6.1.3, modificada] 3.11 corrección (correction). Acción para eliminar una no conformidad (3.32) detectada. 3.12 acción correctiva (corrective action). Acción para eliminar la causa de una no conformidad (3.32) y para prevenir su recurrencia. 3.13 análisis de criticidad (criticality analysis). Proceso (3.43) diseñado para identificar y evaluar sistemáticamente los activos (3.1) de una organización (3.34) con base en la importancia de su misión o función, el grupo de personas en riesgo (3.50), o la importancia de un evento indeseable (3.75) o perturbador (3.15) en la capacidad de la organización para satisfacer las expectativas. 3.14 punto crítico de control – PCC (critical control point – CCP). Punto, paso o proceso (3.43) en el cual se pueden aplicar los controles y se puede prevenir una amenaza o peligro, eliminarlo o reducirlo hasta niveles aceptables. 3.15 evento perturbador (disruptive event) acontecimiento o cambio que interrumpe las actividades, operaciones o funciones planificadas, bien sea anticipado o sin anticipar. 3.16 información documentada (documented information) información que una organización (3.34) tiene que controlar y mantener y el medio que la contiene. NOTA 1 a la entrada cualquier fuente. La información documentada puede estar en cualquier formato y medio, y puede provenir de NOTA 2 a la entrada La información documentada puede tener referencia a: - el sistema de gestión (3.29), incluidos los procesos (3.43) relacionados; - la información generada para que la organización opere (documentación); - la evidencia de los resultados alcanzados (registros (3.44)]. 3.17 eficacia (effectiveness). Grado en el que se realizan las actividades planificadas y se logran los resultados planificados 3.18 ejercicios (exercises). Actividades para evaluar los programas de gestión de las operaciones de seguridad (3.64), ensayar los roles de los miembros y el personal del equipo y someter a ensayo los sistemas de la organización (3.34) (por ejemplo, tecnología, protocolos de presentación de informes, administración) para demostrar la gestión, la competencia (3.5) y la capacidad de las operaciones de seguridad. NOTA 1 a la entrada Los ejercicios incluyen actividades que se ejecutan con propósitos de capacitación y acontecimiento de las personas que trabajan en nombre de la organización respecto a las respuestas adecuadas con la meta de lograr un máximo desempeño (3.36). 3.19 evento (event). Ocurrencia o cambio de un grupo de circunstancias en particular. NOTA 1 a la entrada la naturaleza, probabilidad (3.27) y consecuencia (3.10) de un evento no se pueden conocer en su totalidad. NOTA 1 a la entrada la naturaleza, probabilidad (3.27) y consecuencias (3.10) de un evento no se pueden conocer en su totalidad. NOTA 2 a la entrada Un evento puede tener una o más ocurrencias y puede tener varías causas NOTA 3 a la entrada se puede determinar la probabilidad asociada con el evento. NOTA 4 a la entrada se puede consistir en una no ocurrencia de una o más circunstancias. NOTA 5 a la entrada un evento con una consistencia en ocasiones se denomina “incidente (3.21)” 3.20 análisis de riesgo para los derechos humanos – ARDH ( human risk analysis – HRRA). Proceso (3.43) para identificar, analizar, evaluar y documentar los riesgos (3.50) relacionados con los derechos humanos y sus impactos, con el fin de gestionar el riesgo y mitigar o prevenir los impactos adversos en los derechos humanos y las infracciones legales. NOTA 1 a la entrada El ARDH es parte del requisito (3.45) de la organización (3.34) para emprender la debida diligencia respecto a los derechos humanos para identificar, prevenir, mitigar y rendir cuentas sobre la manera en que aborda los impactos, en los derechos humanos. NOTA 2 a la entrada El ARDH se enmarca en los principios y las conversaciones internacionales pertinentes para los derechos humanos y forma y un componente fundamental de la evaluación del riesgo (3.54) general de la organización. NOTA 3 a la entrada El ARDH incluye un análisis de la gravedad de los impactos reales y potenciales en los derechos humanos que la organización puede causar, o contribuir a ello, a través de sus operaciones de seguridad (3.63), o que puede estar vinculados directamente a las operaciones, los proyectos o los servicios de la organización a través de sus relaciones empresariales, El proceso de ARDH debería incluir la consideración del contexto operativo, recurrir a la experticia necesaria en derechos humanos e involucrar el compromiso significativo y directo con aquellas partes interesadas (3.24) cuyos derechos pueden estar en riesgo. NOTA 4 a la entrada El análisis de las consecuencias (3.10) de los impactos adversos en los derechos humanos se mide y prioriza en términos de la gravedad de tales impactos. NOTA 5 a la entrada El ARDH se debería ejecutar a intervalos regulares, reconociendo que los riesgos para los derechos humanos pueden cambiar con el paso del tiempo. NOTA 6 a la entrada El ARDH variará en complejidad con el tamaño de la organización, el riesgo de impactos graves en los derechos humanos y naturaleza con el paso del tiempo. Y el contexto de sus operaciones. NOTA 7 a la entrada En ocasiones, el ARDH se denomina “evaluación del riesgo y el impacto en los derechos humanos”. El lenguaje que se utiliza en este documento norma es consistente con el vocabulario del riesgo y el impacto en los derechos humanos” El lenguaje que se utiliza en este documento norma es consistente con el vocabulario del riesgo que se utiliza en las normas ISO. Norma de Estudio NTC-ISO 18788 3.21 incidente (incident). Evento (3.19) con consecuencias (3.10) que tiene la capacidad de causar pérdida de vida, daño a los activos (3.1) o impactar negativamente en los derechos humanos y las libertades fundamentales de las partes interesadas (3.24) internas y externas 3.22 propiedad inherente peligrosa (inherently dangerous property) Propiedad que si esta en las manos de un individuo no autorizado, creería una amenaza inminente de muerte o lesión corporal grave, EJEMPLO armas letales, munición, explosivos, agentes, químicos, agentes y toxinas biológicos, materiales nucleares o radiológicos. 3.23 integridad (integrity). Propiedad de salvaguardar la exactitud y completitud de los activos (3.1.) [FUENTE ISO/IEC 27000:2014, 2.40, MODIFICADO] 3.24 parte interesada (interested party – stakeholder). Persona u organización (3.34) que puede afectar, verse afectado o percibirse como afectada por una decisión o una actividad. NOTA 1 a la entrada Una persona toma una decisión puede ser una parte interesada. NOTA 2 a la entrada Las comunidades y poblaciones locales impactadas se consideran partes interesadas externas. NOTA 3 a la entrada en todo este documento, el uso término “partes interesadas “es consistente con su empleo en las operaciones de seguridad (3.63). 3.25 indicador clave del desempeño – ICD (key performance indicator- KPI)medida confiable que una organización (3.34) emplea para estimar o comparar el desempeño (3.36) en términos de cumplimiento de sus objetivos (3.33) estratégicos y operativos. 3.27 probabilidad (likelihood). Oportunidad de algo que suceda. NOTA 1 a la entrada En la terminología de la gestión del riesgo (3.58), la palabra “probabilidad”, se utiliza para hacer referencia a la oportunidad de algo que suceda, ya sea que se defina, se mida se determine objetiva o subjetivamente, cuantitativa o cualitativamente, y se describe utilizando términos generales o de manera matemática (tal como una probabilidad o una frecuencia en un periodo de tiempo determinado). NOTA 2 a la entrada El término inglés “likelihood” no tiene un equivalente directo en algunos idiomas, en lugar de ello, con frecuencia se utiliza el término “probability” a menudo se interpreta de modo más estrecho como un término matemático. Por lo tanto, en la terminología de la gestión del riesgo, se usa “likehood” con la intención de que debería tener la misma interpretación amplia que él término “probability” tiene en muchos idiomas diferentes del inglés. [Fuente GUIA ISO 73:2009, 3.6.1.1] Norma de Estudio NTC-ISO 18788 3.28 plan de gestión (management plan). Plan de acción claramente definido y documentado, que generalmente incluye personal clave, recursos (3.48), servicios y acciones necesarios para implementar el proceso (3.43) de gestión del evento (3.19). 3.29 sistemas de gestión (management system). Conjunto de elementos de una organización (3.34) interrelacionados o que interactúan para establecer políticas (3.38), objetivos (3.33) y procesos (3.43) para lograr estos objetivos. NOTA 1 a la entrada Un sistema de gestión puede tratar una sola disciplina o varas disciplinas. NOTA 2 a la entrada Los elementos de un sistema incluyen la estructura, los roles y las responsabilidades, la planificación (3.37) y la operación de una organización. NOTA 3 a la entrada El alcance de un sistema de gestión puede incluir a la totalidad de la organización, funciones específicas e identificadas de la organización, secciones especificas e identificadas de la organización o una o más funciones dentro de un grupo de organizaciones. NOTA 4 a la entrada Las organizaciones emplean los sistemas de gestión para desarrollar sus políticas y hacerlas cumplir a través de objetivos y metas (3.72) utilizando: 3.30 medición (measurement). Proceso (3.43) para determinar un valor. 3.31 monitoreo (monitoring). Determinación del estado de un sistema, un proceso (3.43) o una actividad. NOTA 1 a la entrada Para determinar el estado, puede ser necesario verificar, supervisar u observar de modo crítico. 3.32 no conformidad (nonconformity). Incumplimiento de un requisito (3.45). 3.33 objetivo (objetive). Resultado a lograr. NOTA 1 a la entrada Un objetivo puede ser estratégico, táctico u operativo. NOTA 2 a la entrada Los objetivos pueden referirse a diferentes disciplinas (tales, como; objetivos financieros, de salud y seguridad y ambientales) y se pueden aplicar en diferentes niveles (como estratégicos, para toda la organización, para el proyecto, el producto y el proceso (3.43)). NOTA 3 a la entrada Un objetivo se puede expresar de otras maneras, por ejemplo, como un resultado previsto, un pro propósito, un criterio operativo de las operaciones de seguridad (3.65) o mediante el uso de términos con un significado similar, por ejemplo, fin o meta (3.72)). NOTA 4 a la entrada En el contexto de los sistemas de gestión de las operaciones de seguridad (3.64), La organización (3.34) establece los objetivos de las operaciones de seguridad, de forma coherente con la política de las operaciones de seguridad (3.66), para lograr resultados específicos. 3.34 organización (organization). Persona o grupo de personas que tienen sus propias funciones con responsabilidades, autoridades y relaciones para lograr sus objetivos (3.33) 3.35 contratar externamente (outsource). Establecer un acuerdo mediante el cual una organización (3.34) externa realiza parte de una función o proceso (3.43) de una organización. NOTA 1 a la entrada Una organización externa está fuera de alcance del sistema de gestión (3.29), aunque la función o proceso contratado externamente forma parte del alcance. 3.36 desempeño (performance). Resultado medible. NOTA 1 a la entrada el desempeño se puede relacionar con hallazgos cuantitativos o cualitativos. NOTA 2 a la entrada El desempeño se puede relacionar con la gestión de actividades, procesos (3.43), productos (que incluyen los servicios), sistemas u organizaciones (3.34) 3.37 planificación (planning). Parte de la gestión orientada a establecer los objetivos de las operaciones de seguridad (3.65) y la especificación de los procesos (3.43) operativos necesarios y de los recursos (3.48) relaciones para lograr los objetivos de las operaciones de seguridad. (3.48) relacionados para lograr los objetivos de las operaciones de seguridad. 3.38 política (policy). Intenciones y dirección de una organización (3.34) como las expresa formalmente su alta dirección (3.74). 3.39 prevención (prevention). Medidas que permiten a una organización (3.34) evitar, impedir o limitar el impacto de un evento indeseable (3.75) o potencialmente perturbador (3.15) 3.40 acción preventiva (preventive action) acción tomada para eliminar la causa de una no conformidad (3.32) potencial u otra situación potencial no deseable. NOTA 1 a la entrada puede haber más de una casusa para una no conformidad potencial. NITA 2 a la entrada La acción preventiva se forma para prevenir que algo ocurra, mientras que la acción correctiva (3.12) se toma para prevenir que vuelva a ocurrir. [Fuente ISO 9000:2015, 3.12.1] 3.41 proveedor de servicios de seguridad privada (private security service provider). Empresa de seguridad privada– ESP (private security Company- psc). Organización (3.34) que realiza o contrata operaciones de seguridad (3.63) y cutas actividades empresariales incluyen la prestación de servicios de seguridad (3.62), ya sea nombre propio o a nombre de otros. NOTA 1 a la entrada Las empresas de seguridad privada y los proveedores de servicios de seguridad privada se conocen en conjunto como ESP. NOTA 2 a la entrada Las ESP proporcionan servicios a los clientes (3.4) con el fin de asegurar su seguridad y la de otros. NOTA 3 a la entrada Generalmente, las ESP trabajan que circunstancias en que el gobierno puede ser débil o el estado de derecho/principio de legalidad están debilidades debido a eventos (3.19) causados por la naturaleza o el ser humano y prestan servicios para los cuales se puede requerir que el personal porte armas en el desempeño (3.36) de sus deberes, de acuerdo con los términos de su contrato. NOTA 4 a la entrada Los ejemplos de servicios de seguridad que prestan las ESP pueden incluir guarda espaldas; escoltas; medidas de protección física; capacitación y toma de conciencia sobre seguridad; evaluación del riesgo, la seguridad y la amenaza; provisión de medidas protectoras y defensivas para componentes individuales, perímetros diplomáticos y residenciales; escolta de transporte, y análisis y de pólizas. NOTA 5 a la entrada Para los propósitos de esta norma, las operaciones de la ESP están adentro de los límites legales para las operaciones de seguridad privada. NOTA 6 a la entrada para los propósitos de esta norma, las operaciones de la ESP están dentro de los límites legales para las operaciones de seguridad privada. 3.42 procedimiento (procedure). Forma especificada para llevar a cabo una actividad o un proceso 3:43). NOTA 1 a la entrada el procedimiento puede documentar o no [Fuente ISO 9000:2015, 3.4.5] 3.43 proceso (process). Conjunto de actividades interrelacionados o que interactúan, las cuales transforman los elementos de entrada en elementos de salida 3.44 registro (record). Documento que establece los resultados que se logran o brinda evidencia de las actividades que se ejecutan. NOTA 1 a la entrada los registros se pueden usar, por ejemplo, para documentar la trazabilidad y brindar evidencia de la verificación, la acción preventiva (3.40) y la acción correctiva (3.12). NOTA 2 a la entrada En general, no es necesario que los registros estén bajo control de revisión. [Fuente ISO 9000:2015, 3.8 10] 3.45 requisito (requirement). Necesidad o expectativa que se establece, generalmente implícito u obligatorio. NOTA 1 a la entrada “Generalmente implícito” significa que es una práctica común o habitual para la organización (3.3 de 4) y las partes interesadas (3.24) que la necesidad o expectativa en consideración esté implícita. NOTA 2 a la entrada (3.16) Un requisito especificado es aquel que se establece, por ejemplo, en la información documentada 3.46 riesgo residual (residual risk). Riesgo (3.50) que permanece después del tratamiento del riesgo (3,61). NOTA 1 a la entrada El riesgo residual puede contener un riesgo no identificado. NOTA 2 a la entrada El riesgo residual también se conoce como “riesgo retenido” [Fuente: Guía ISO 73:2009, 3.8.1.7] 3.47 recursos (resilience). Capacidad adaptiva de una organización (3.34) en un entorno complejo y cambiante. [Fuente: GUIA ISO 73:2009, 3.8.1.6] 3.48 recursos (resources). Activos (3.1), instalaciones, equipos, materiales, productos o desechos que tiene valor potencial y se pueden utilizar. [Fuente : ANSI/ASIS SPC. 1-2009] 3.49 revisión (review). Actividad que se realiza para determinar la idoneidad, suficiente y eficacia (3.17) del sistema de gestión (3.29) y sus elementos componentes para lograr los objetivos (3.33) establecidos. 3.50 riesgo (risk). El efecto de la incertidumbre en los objetivos (3.33). NOTA 1 a la entrada un efecto es una desviación con respecto a lo esperado, sea positivo o negativo. NOTA 2 a la entrada la incertidumbre es el estado, incluso parcial, de deficiencia de información, comprensión o conocimiento con respecto a un evento (3.19), sus consecuencias (3.10) o su probabilidad (3.27). NOTA 3 a la entrada El riesgo, con su frecuencia, se caracteriza, mediante referencia a los “eventos” potenciales (como se define en la Guía ISO 73:2009, 3.5.1.3) y las “consecuencias” (como se define en la Guía ISO 73:2009, 3.6.1.3) o una combinación de estos. NOTA 4 a la entrada El riesgo con frecuencias se expresa en términos de una combinación de las consecuencias de un evento (lo que incluye los cambios en la circunstancia) y a la “probabilidad” de ocurrencia asociada (como se define en la Guía ISO 73:2009, 3.6.1.1). NOTA 5 a la entrada Los objetivos pueden tener aspectos diferentes (como la protección de los derechos humanos, la gestión de la seguridad, el cumplimiento de las leyes, metas financieras, de salud y seguridad, y ambiental) que se pueden aplicar en niveles diferentes (por ejemplo, estratégico, en toda la organización, a nivel del proyecto, producto y proceso (3.43)). NOTA 6 a la entrada Los riesgos pueden tener origen internacional, involuntario y natural. 3.51 aceptación del riesgo (risk acceptance). Decisión informada para tomar un riesgo (3.50) particular. NOTA 1 a la entrada la aceptación del riesgo se puede producir sin tratamiento del riesgo (3.61) o durante el proceso (3.43) de tratamiento del riesgo. NOTA 2 a la entrada Los riesgos que se aceptan están sujetos al monitoreo (3.31) y la revisión (3.49). [Fuente ISO 73:2009, 3.7.1.6] 3.52 análisis del riesgo (risk analysis). Proceso (3.43) para comprender la naturaleza del riesgo (3.50) y determinar el nivel de este. NOTA 1 a la entrada el análisis del riesgo proporciona la base para la evaluación del riesgo (3.56) y la decisión acerca del tratamiento del riesgo (3.61) NOTA 2 a la entrada El análisis del riesgo incluye la estimación del riesgo. [Fuente: Guía ISO 73:2009, 3.4.1] 3.55 criterios del riesgo (risk criteria). Términos de referencia frente a los cuales se evalúa la importancia de un riesgo (3.50). NOTA 1 a la entrada interno. Los criterios del riesgo se basan en los objetivos (3.33) de la organización, y en el contexto externo e NOTA 2 a la entrada Los criterios del riesgo se pueden derivar de normas, las leyes, políticas y otros requisitos (3.45). [Fuente: Guía ISO 73:2009, 3.3.1.3] 3.56 evaluación del riesgo (risk evaluation). Proceso (3.43) de comparación de los resultados del análisis de riesgo (3.55) para determinar si el riesgo (3.52) con los criterios del riesgo (3.55) para determinar si es riesgo (3/50) y/o su magnitud es aceptable o tolerable. NOTA 1 a la entrada La evaluación del riesgo ayuda en la decisión acerca del tratamiento del riesgo (3.61). [Fuente: Guía ISO 73:2009, 3.7.1] 3.57 identificación del riesgo (risk identification). Proceso (3.43) para encontrar, reconocer y describir los riesgos (3.50). NOTA 1 a la entrada La identificación del riesgo implica la identificación de las fuentes de riesgo, de riesgo, los eventos (3.19), sus causas y sus consecuencias (3.10) potenciales. Norma de Estudio NTC-ISO 18788 NOTA 2 a la entrada La identificación del riesgo puede implicar datos históricos, análisis teóricos, opiniones informadas y expertas, y las necesidades de las partes interesadas. [Fuente: Guía ISO 73:2009, 2.1] 3.58 gestión del riesgo (risk management). Actividades coordinadas para dirigir y controlar a una organización (3.34) con respecto al riesgo (3.50). [Fuente: Guía ISO 73:2009, 2.1] 3.59 expediente del riesgo (risk register). Registro (3.44) de la información acerca de los riesgos (3.50) identificados. 3.60 tolerancia del riesgo (risk tolerance). Preparación de la organización (3.34) o de las partes interesadas (3.24) para soportar el riesgo (3.50) después del tratamiento del riesgo (3.61) con el fin de lograr sus objetivos (3.33). NOTA 1 a la entrada La tolerancia al riesgo puede tener la influencia de los requisitos (3.45) del cliente (3.4), las partes interesadas, legales o reglamentarios. [Fuente: Guía ISO 73:2009] 3.61 tratamiento del riesgo (risk treatment). Proceso (3.43) para modificar el riesgo (3.50). NOTA 1 a la entrada El tratamiento del riesgo puede involucrar: - evitar el riesgo al decidir no empezar ni continuar con la actividad que origina el riesgo; - tomar o incrementar el riesgo con el fin de perseguir una oportunidad; - eliminar la fuente del riesgo; - cambiar la probabilidad (3.27); - cambiar las consecuencias (3.10); - compartir el riesgo con otra parte o varias partes (incluidos los contratos y la financiación del riesgo); y - retener el riesgo mediante una decisión informada. NOTA 2 a la entrada Los tratamientos del riesgo que tratan las consecuencias negativas en ocasiones se denominan “mitigación del riesgo”, “prevención del riesgo” y “reducción del riesgo”. NOTA 3 a la entrada El tratamiento del riesgo puede crear riesgos nuevos o modificar los existentes. [Fuente Guía ISO: 2009, 3.8.1] 3.62 seguridad (security). Condición de estar contra peligros, amenazas, riesgos (3.50) o pérdida. NOTA 2 a la entrada En sentido general, la seguridad es un concepto similar al de protección. La distinción entre los dos es un énfasis añadido en estar protegido contra los peligros que se originan en el exterior. NOTA 3 a la entrada El término “seguridad” significa que algo no sólo es seguro, sino que también ha sido asegurado. [Fuente: ANSI/ASIS SPC. 1-2009] 3.63 operaciones de seguridad (security operations). Actividades y funciones que se relacionan con la protección de las personas y los activos (3.1) tangibles e intangibles. NOTA 1 Las operaciones de seguridad pueden requerir del porte y la operación de armas en el desempeño (3.36) y de sus deberes. NOTA 2 El concepto incluye la definición del ICoC Sobre servicios de seguridad: vigilancia y protección de personas y objetos, tales como convoyes, instalaciones, sitios designados, propiedad u otros lugares (estén armados o no), o cualquier otra actividad para la cual se requiere el personal de las empresas porten u operen un arma en el desempeño de sus deberes. 3.64 gestión de las operaciones de seguridad (security operations management). Actividades coordinadoras para dirigir y controlar a una organización (3.34) con respecto a las operaciones de seguridad (3.63). NOTA 1 a la entrada La dirección y el control con respecto a la gestión de las operaciones de seguridad generalmente incluyen el establecimiento de la política (3.38), la planificación (3.37) y los objetivos (3.33) que dirigen los procesos (3.43) operativos y la mejora continua (3.9). 3.65 objetivo de las operaciones de seguridad (security operations policy). Algo que se busca o a lo que se aspira, con la relación a las operaciones de seguridad. 3.66 política de las operaciones de seguridad (security operations policy). Las intenciones generales y la orientación de una organización (3.34) con respecto a las operaciones de seguridad (3.63) tal como la alta dirección (3.74) lo expresa formalmente. NOTA 1 a la entrada En general, la política de las operaciones de seguridad es consistente con la política global (3.38) de la organización y proporciona un marco de referencias para establecer los objetivos de las operaciones de seguridad (3.65). NOTA 2 a la entrada Los principios de la gestión de las operaciones de seguridad (3.64) que se prestan en esta norma puede construir una base para el establecimiento de una política de las operaciones de seguridad consistente con los principios y las obligaciones que se indican ICoC y el Montero Document. 3.67 programa para las operaciones de seguridad (security operations programme). Proceso continuo de gestión y gobernabilidad (3.43) con el apoyo de la alta dirección (3.74) y con los recursos para asegurar que se ejecutan los pasos necesarios para coordinas los esfuerzos con el fin de lograr los objetivos (3.33) del sistema de las operaciones de seguridad (3.64). 3.68 personal para las operaciones de seguridad (security operations personnel). Personas que trabajan en nombre de la organización (3.34) que están comprometidas directa o indirectamente en las operaciones de seguridad (3.63). 3.69 autodefensa (self-defence). Protección de una persona o propiedad contra algún daño pretendido por otro. [Fuente: Black´as Law Dictionary] 3.70 subcontratación (subcontracting). Contratación con una parte externa para cumplir una obligación que resulta de un contrato existente. NOTA 1 a la entrada Cuando se contrata a una parte para ejecutar una gama de servicios, está puede subcontratar uno o más de estos servicios con un “subcontratista” o con fuerzas locales. NOTA 2 a la entrada subcontratanté. Las subsidiarias de una empresa padre se pueden considerar como organización (3.34) 3.71 cadena de suministro (supply chain). Relación de doble vía entre organizaciones (3.34), personas, procesos (3.43), logística, información, tecnología y recursos (3.48) involucrados en actividades y que crean valor a partir de la adquisición de materiales a través de la entrega de productos o servicios. NOTA 1 a la entrada La cadena de suministro puede incluir a comerciantes, subcontratistas, instalaciones manufactureras, proveedores de logística, centros de distribución interna, distribuidores, mayorista y otras entidades que llevan hasta el usuario final. 3.72 meta (target). Requisito (3.45) de desempeño (3.36) detallado que se aplica a la organización (3.34) (o a sus partes) que se origina en los objetivos. Norma de Estudio NTC-ISO 18788 3.73 análisis de amenazas (threat analysis). Proceso (3.43) para identificar, cualificar y cuantificar la causa potencial de un enveto (3.19) no deseado, el cual puede resultar en daño para los individuos, los activos (3.1), un sistema o la organización (3.34), el ambiente o la comunidad (3.7) 3.74 alta dirección (top management). Persona o grupo de personas que dirigen y controlan a una organización (3.34) al nivel más alto. NOTA 1 a la entrada La alta dirección tiene el poder para delegar autoridad y proporcionar recursos (3.48) dentro de la organización. NOTA 2 a la entrada si el campo de aplicación de los sistemas de gestión (3.29) cubre solamente una parte de la organización, entonces la alta dirección hace referencia a aquellos que dirigen y controlan esa parte de la organización. NOTA 3 a la entrada Se puede hacer referencias a la alta dirección como liderazgo de la organización. 3.75 evento indeseable (undesirable event). Ocurrencia o cambio que tiene el potencial de causar pérdida de vidas, daño a los activos (3.1) tangibles e intangibles, o que puede tener un impacto negativo en los derechos humanos y las libertades fundamentales de las partes interesadas (3.24) internas o externas. 3.76 uso de un continuo de fuerza (use of forcé continuum). Incrementar o reducir el nivel de fuerza que se aplica como un continuo con respecto a la respuesta de adversario, usando la cantidad de fuerza razonable y necesaria. NOTA 1 a la entrada La cantidad de fuerza que se emplea debería ser la cantidad mínima razonable que se necesita para eliminar la amenaza que se presenta, minimizando así el riesgo (3.50) y la gravedad de una lesión que puede ocurrir. NOTA 2 a la entrada La escala/desescalada de la fuerza de respuesta con un nivel de fuerza debería ser adecuada a la situación presente, reconociendo que la respuesta se puede trasladar de una parte del continuo hacia otra cuestión de segundos. 3.77 análisis de vulnerabilidad (vulnerability analysis). Proceso (3.43) para identificar y cuantificar algo que se crea propensión a una fuente de riesgo (3.50) y que puede acarrear una consecuencia (3.10). 4. CONTEXTO DE LA ORGANIZACIÓN 4.1 COMPRENSIÓN DE LA ORGANIZACIÓN Y SU CONTEXTO 4.1.1 Generalidades La organización debe determinar los aspectos externos e internos que son pertinentes para su propósito y que afectan a su capacidad para lograr los resultados previstos de su SGOS. El diseño y la implementación y la implementación de un marco de referencia para el sistema de gestión se basan en la comprensión de la organización y su contexto de funcionamiento interno y externo. Por lo tanto, la organización debe definir y documentar su contexto interno y externo, de manera que incluya su cadena de suministros y subcontratistas. Estos factores se deben considerar al establecer, implementar y mantener el SGOS de la organización y asignar prioridades. La organización debe evaluar los factores internos y externos que pueden influir en la manera en que ella gestionara el riesgo. 4.1.2 Contexto interno La organización debe identificar, evaluar y documentar su contexto interno, que incluya: a) Objetivos, estrategias y misión empresarial de la organización; b) Políticas, planes y directrices para lograr los objetivos; c) Gobernabilidad, roles y responsabilidades, y rendición de cuentas; d) Estrategia global para la gestión del riesgo; e) Partes interesadas internas; f) Valores, ethos y cultura; g) Procesos de flujo de información y toma de decisiones; h) Capacidades, recursos y activos; i) Procedimientos, procesos y prácticas; j) Actividades, funciones, servicios y productos; k) Marca y reputación 4.1.3 Contexto externo La organización debe definir y documentar su contexto externo, que incluya: a) El contexto cultural y político; b) El ambiente legal, reglamentario, tecnológico, económico, natural y competitivo; c) Los acuerdos contractuales, incluidas las otras organizaciones que estén dentro del campo de aplicación del contrato; d) Dependencias de la infraestructura e interdependencia operativas, e) Cadena de suministro y relaciones y compromisos del contratista; f) Aspectos y tendencias claves que pueden tener impacto en los procesos y/o los objetivos de la organización; g) Percepciones, valores, necesidades e intereses de las partes interesadas externas (incluidas las comunidades locales en las áreas de operación); h) Fuerzas operativas y líneas de autoridad. Al establecer su contexto externo, la organización debe asegurar que se consideran los objetivos y los intereses de las pates interesadas y externas cuando se desarrollan los criterios de gestión para las operaciones de seguridad. 4.1.4 Mapeo y análisis de la cadena de suministro y el subcontratista La organización debe identificar y documentar su cadena de suministro aguas arriba y aguas abajo, en particular el uso de subcontratistas que pueden tener un impacto en el riesgo y el potencial de ocasionar un evento indeseable o perturbador. La gestión del riesgo en la cadena de suministro se debe incluir en el programa global de gestión de las operaciones de seguridad de la organización debe definir y documentar el nivel en su cadena de suministro y subcontratistas a incluir en su programa de gestión en las operaciones de seguridad. 4.1.5 Definición de los criterios del riesgo La organización debe definir y documentar los criterios para evaluar la importancia del riesgo4. Los criterios del riesgo deben reflejar los valores, objetivos y recursos de la organización. Al definir los criterios del riesgo la organización debe considerar. a) actividades, funciones, servicios y productos críticos y relaciones con las partes interesadas; b) el entorno operativo y la incertidumbre inherente del funcionamiento en entornos de gobernabilidad o estado de derecho/principio de legibilidad debilitadas; c) impacto potencial relacionado con un evento indeseable o perturbador; d) requisitos legales y reglamentarios y otros requisitos (por ejemplo, obligaciones contractuales; compromisos con los derechos humanos) a los cuales se suscribe la organización; e) la política global gestión del riesgo de la organización; f) naturaleza y tipos de amenazas y consecuencias que pueden ocurrir a sus activos, negocios y operaciones; g) la manera en que se determinarán la probabilidad, las consecuencias y el nivel de riesgo; h) necesidades de las partes interesadas y los impactos sobre ellas, particularmente la vida, la protección y los derechos humanos (véase A.6.1.2.3); i) riesgo para la reputación y percibido; j) nivel de tolerancia al riesgo o aversión al riesgo de la organización y sus clientes; k) modo en que se tomarán en cuenta las combinaciones y la secuencia de los riesgos múltiples. Aunque los criterios del riesgo se establecen al comienzo del proceso de evaluación del riesgo, ellos son dinámicos y se debe monitorear y revisar continuamente para determinar su propiedad. 4.2 COMPRENSION DE LAS NECESIDADES Y LAS EXTRACTIVAS DE LAS PARTES INTERESADAS) La organización debe determinar: - Las partes interesadas que son relevantes para el SGOS; - Los requisitos pertinentes de estas partes interesadas, La alta dirección debe asegurar que se identifican, evalúan y documentan los intereses de las partes interesadas externas e internas con el fin de alcanzar los objetivos de sus contratos y minimizar los riesgos. Cuando se identifican las necesidades y los requisitos de las partes interesadas internas externas, la organización debe considerar: a) El apetito por el riesgo de sus partes; b) Sus obligaciones contractuales especificadas por el cliente; c) Sus requisitos legales y reglamentarios y los compromisos voluntarios; d) Sus responsabilidades con los derechos humanos y los impactos pertinentes para los servicios que se prestan; e) Su impacto e interacciones con las partes interesadas externas (por ejemplo, comunidades locales, clientes y otros proveedores de seguridad); f) Sus requisitos de registro y documentación para la entrega de los servicios y los incumplimientos. Norma de Estudio NTC-ISO 18788 4.3 DETERMINACIÓN DEL CAMPO DE APLICACIÓN DEL SISTEMA DE GESTIÓN DE LAS OPERACIONES DE SEGURIDAD La organización debe determinar los límites y la aplicabilidad del SGOS para establecer su campo de aplicación (es decir, toda la organización o una o más de sus partes o funciones constituyentes). La organización debe definir el campo de aplicación del SGOS en términos de y según su tamaño, naturaleza y complejidad desde la perspectiva de la mejora continua. Al determinar este campo de aplicación la organización debe considerar: - Los objetivos de la organización, los aspectos externos e internos que se mencionan en la sección 4.1.2; - Los requisitos que se mencionan en la sección 4.1.3; - Los factores de riesgo que podrían afectar adversamente a las operaciones y actividades de la organización dentro del contexto de su probabilidad potencial y sus consecuencias El campo de aplicación debe de estar disponible como información documentada. La organización debe identificar todos los elementos de sus operaciones en donde se aplique el SGOS y las exclusiones, si corresponde. La organización debe definir el campo de aplicación consistente con la necesidad de respetar las leyes internacionales, nacionales y locales aplicables, así como los derechos humanos, al tiempo que se protege y preserva la integridad de la organización, incluidas las relaciones con las partes interesadas. Una declaración de aplicabilidad debe definir las secciones relevantes del Anexo A que se aplican al campo de aplicación de la organización, a las obligaciones legales y contractuales y al entorno operativo con base en su evaluación del riesgo y el análisis del impacto en los derechos humanos (véase la sección 6.1) cuando la evaluación del riesgo y el análisis de los derechos humanos identifican secciones especificas del Anexo A como relevantes y aplicables al campo de aplicación de la organización debe abordarlas e implementarlas. Las exclusiones específicas y sus justificaciones se deben documentar. 4.4 SISTEMAS DE GESTIÓN DE LAS OPERACIONES DE SEGURIDAD La organización debe establecer, implementar, mantener y mejorar continuamente un SGOS que incluya los procesos necesarios y sus interacciones, según los requisitos de esta norma. La organización debe establecer resultados deseados documentados para su sistema de gestión y mejorar continuamente su eficacia de acuerdo con los requisitos establecidos en esta norma. El SGOS debe implementar los principios y los compromisos del ICoC. Norma de Estudio NTC-ISO 18788 Cuando la organización contrata, subcontrata externamente algún proceso o actividad que esté dentro del campo de aplicación de esta norma, la organización debe asegurar que el control de dicho proceso o actividad subcontratado o contratado o externamente debe estar identificado y gestionado dentro de su SGOS. 5. LIDERAZGO 5.1 GENERALIDADES La alta dirección debe demostrar liderazgo y compromiso con respecto al desarrollo y la implementación del SGCO y mejorar continuamente su eficacia a través de: - Garantía de que la política de las operaciones de seguridad y los objetivos de las operaciones de seguridad se establece y son compatibles con la dirección estrategia de la organización; - Garantía de la integración de los requisitos del SGOS en los procesos empresariales de la organización; - Garantía de que los recursos necesarios para el SGOS están disponibles para establecer, implementar, operar monitorear, revisar, mantener y mejorar el SGOS; - Comunicación de la importancia de la gestión eficaz de las operaciones de seguridad y de cumplir los requisitos del SGOS y sus responsabilidades legales; - Garantía de que el SGOS logra sus resultados previstos; - Orientación y apoyo a las personas para que contribuyan a la eficacia del SGOS; - Promoción de la mejora - Apoyo a otros roles relevantes para la gestión con el fin de demostrar su liderazgo en lo que respecta a la aplicación de sus áreas de responsabilidad; - Ejecución de revisiones por la dirección del SGOS intervalos planificados. NOTA La referencia” empresarial” en esta norma se puede interpretar ampliamente como aquellas actividades de que son cruciales para los propósitos de la existencia de la organización. La alta dirección debe proporcionar evidencia del liderazgo activo para el SGOS mediante la supervisión de su establecimiento e implementación, y motivando a los individuos para que integren operaciones de seguridad consistentes con el respeto de los derechos humanos como parte integral de la misión de la organización. 5.1.1 Declaración de conformidad La alta dirección debe desarrollar, documentar y publicar una declaración de conformidad que indique el compromiso de la organización y la conformidad con su responsabilidad para respetar los derechos humanos, según se refleje en las disposiciones de su SGOS y las siguientes: a) International Code of Conduct for Private Security Service Providers; b) Montreux Document on Pertinent International Legal Obligations and Good Practices for States related to Operations of Private Military and Security Companies; c) Guiding Principles on Business and Human Rights; implementing the United Nations “Protect, Respect and Remedy” Framework 2011; d) Cualquier otro compromiso reconocido y aplicable en el ámbito internacional (por ejemplo, Voluntary Principles on Security and Human Rights). La declaración de conformidad también estipula las expectativas en cuanto a los derechos humanos de las partes interesadas de la organización vinculadas directamente a sus operaciones. La declaración de conformidad se debe: a) Documentar, mantener e implementar; b) Poner a disposición del público que comunicar interna y externamente todas las partes interesadas pertinentes; c) Respaldar visiblemente por parte de la alta dirección. 5.2 POLITICA La alta dirección debe establecer una política para las operaciones de seguridad que: - Sea apropiada para el propósito de la organización - Proporcione un marce de referencia para establecer los objetivos de las operaciones de seguridad; - Incluya un compromiso para satisfacer los requisitos legales y otros que sean aplicables, que incluyan los compromisos voluntarios a los cuales se suscribe la organización; - Incluya un compromiso con la mejora continua del SGOC; - Proporcione un compromiso con el respeto de los derechos humanos; - Proporcione un compromiso para evitar, prevenir y reducir la probabilidad de las consecuencias de eventos no deseables o perturbadores. La política de las operaciones de seguridad debe: - Estar disponible como información documentada; - Comunicarse dentro de la organización; - Comunicarse a todas las personas adecuadas que trabajan para la organización que trabajen para la organización o en su nombre; - Estar disponibles para las partes interesadas, según corresponda; - Estar visiblemente respaldada por la alta dirección; - Revisarse a intervalos planificados y cuando se presenten cambios significativos. 5.3 ROLES, RESPONSABILIDADES Y AUTORIDADES EN LA ORGANIZACIÓN La alta dirección debe asegurar que las responsabilidades y autoridades para los roles relevantes se asignen y comunican dentro de la organización. La alta dirección debe asignar a una o más personas de la organización que, independientemente de otras responsabilidades, deben ter competencias, roles, responsabilidades para: a) Asegurar que el SGOS cumple los requisitos de esta norma; b) Reportar sobre el desempeño del SGOS a la alta dirección; c) Asegurar que el SGOS se establece, comunica, implementa y mantiene de acuerdo con los requisitos de esta norma; d) Identificar, monitorear y gestionar las necesidades y las expectativas de las partes interesadas que se establecieron en el numeral 4.2; e) Asegurar que se ponen a disposición los recursos adecuados; f) Promover la conciencia sobre los requisitos del SGOS en toda la organización; g) Reportar sobre el desempeño del SGOS a los altos directores para su revisión y como base para la mejora continua. La alta dirección debe asegurar que los responsables de implementar y mantener el SGCO tienen la autoridad y la competencia necesarias para hacerlo así y son responsables de su operación. 6. PLANIFICACIÓN 6.1 ACCIONES PARA TRATAR LOS RIESGOS Y LAS OPORTUNIDADES 6.1.1 Generalidades Al planificar el SGOS, la organización se debe considerar los aspectos que se indican en la selección 4.1.2 y los requisitos de la sección 4.1.3 y determinar los riesgos y las oportunidades que es necesario tratar para: - Asegurar que el SGOS puede lograr sus resultados previstos; - Prevenir o reducir los efectos indeseables; - Lograr la mejora continua. La organización debe establecer, implementar y mantener un proceso de evaluación del riesgo formal y documentado para sus operaciones de seguridad, que incluya a los socios relevantes de su cadena de suministros y las actividades del subcontratista. El proceso de evaluación del riesgo debe incluir: a) Identificación del riesgo: identifica y valora las amenazas, vulnerabilidades y consecuencias, así como los riesgo para los derechos humanos con el fin de identificar los riesgos estratégicos, tácticos y operativos debidos a eventos naturales, intencionados e involuntarios que tiene potencial para consecuencias directas o indirectas en las actividades, los activos, las operaciones y funciones de la organización y que tienen impacto en las partes interesadas, así como su capacidad para atacar los principios de los derechos humanos, b) Análisis de riesgo: analizar el riesgo de manera sistemática (análisis de la probabilidad y la consecuencia, que incluye el análisis de los riesgos para los derechos humanos) con el fin de determinar aquellos riesgos que tienen un impacto significativo en las actividades, en las funciones, los servicios, los productos, la cadena de suministro, los contratistas, las relaciones con las partes interesadas, las poblaciones locales y el ambiente. c) Evaluación del riesgo: evaluar sistemáticamente y priorizar los controles y tratamientos del riesgo, así como sus costos relacionados para determinar cómo llevar al riesgo a un nivel aceptable y consistente con los criterios, así como sus costos relacionados para determinar cómo llevar al riesgo a un nivel aceptable y consistente con los criterios del riesgo. La organización debe: Norma de Estudio NTC-ISO 18788 a) Documentar y mantener esta información actualizada y segura; b) Revisar periódicamente si el alcance, la política, los criterios del riesgo y evaluación del riesgo en la gestión de las operaciones de seguridad aún son apropiados dado el contexto interno y externo de la organización, c) Reevaluar los riesgos dentro del contexto de los cambios en la organización, o cambios en el ambiente operativo, los procedimientos, las funciones, los servicios, las sociedades y las cadenas de suministro de la organización: d) Evaluar los beneficios y costos directos e indirectos de las opciones para gestionar el riesgo y promover la confiabilidad y resiliencia; e) Evaluar la eficacia de las opciones de tratamiento del riesgo posterior al incidente y después de los ejercicios; f) Asegurar que los riesgos y los impactos priorizados se tienen en cuenta al establecer, implementar y operar su SGOS; g) Monitorear y evaluar la eficacia de los controles y tratamientos del riesgo. La evaluación del riesgo debe identificar las actividades, las operaciones y los procesos que es necesario gestionar, y los resultados deben incluir: a) Un registro de los riesgos priorizados que identifiquen los tratamientos para gestionar el riesgo; b) La identificación de los puntos críticos de control(PCC); c) Los requisitos para los controles de la contratación externa y subcontratistas. Consistente con sus operaciones de seguridad, la organización debe establecer un proceso para monitorear, valorar, evaluar y responder a los cambios en el ambiente del riesgo. La organización debe planificar: a) Acciones para tratar estos riegos y estas oportunidades b) Cómo: - Integrar e implementar las acciones en los procesos de su SGOS; - Evaluar la eficacia de estas acciones. Norma de Estudio NTC-ISO 18788 6.1.2 Requisitos legales y otros La organización debe asegurar que los requisitos legales y otros aplicables y relevantes se toman en consideración y se incorporan al establecer, implementar y mantener su SGOS. La organización debe: a) Identificar los requisitos aplicables legales, reglamentarios, contractuales, de licencias y otros que son relevantes, y los compromisos relacionados con su negocio y sus operaciones de seguridad; b) Identificar las responsabilidades aplicables con respecto a los derechos humanos que son pertinentes para su negocio y sus operaciones. c) Determinar cómo se aplican estos requisitos a sus operaciones y aquellas de sus subcontratistas o empresas conjuntas dentro del campo de aplicación de esta norma. La organización debe documentar esta información y mantenerla actualizada. También debe comunicar la información relevante sobre los requisitos legales y otros a las personas que trabajan en su nombre y otras terceras partes pertinentes, incluidos los subcontratistas. Las organizaciones y sus clientes tienen la responsabilidad legal y ética de cumplir con estas obligaciones. NOTA para los propósitos de esta norma, las leyes nacionales pueden incluir aquellas del país de la organización, los países de su personal, el país en el cual opera y el país del cliente. 6.1.3 Comunicación y consulta internas y externa con respecto al riesgo La organización debe establecer, implementar y mantener un proceso de comunicación y consulta formal y documentado con las partes interesadas internas y externas en el proceso de evaluación del riesgo para asegurar que: a) Se comprenden los objetivos operativos y los intereses del cliente (incluidas personas, organizaciones, comunidades y/o actividades que se protegen), b) Los riesgos se identifican y comunican adecuadamente, c) Se entiende los intereses de otras partes interesadas internas y externas; d) Los riesgos y sus tratamientos se comunican a las partes interesadas apropiadas; e) Se entienden las dependencias y los vínculos con los subcontratistas y dentro de la cadena de suministro; f) El proceso de evaluación del riesgo de las operaciones de seguridad interactúa con otras disciplinas de gestión, g) La evaluación del riesgo se lleva a cabo dentro del contexto apropiado, interno y externo, y de los parámetros relevantes para la organización y sus subcontratistas y cadena de suministro. 6.2 OBJETIVOS DE LAS OPERACIONES DE SEGURIDAD Y PLANIFICACIÓN PARA ALCANZARLOS 6.2.1 Generalidades La organización debe establecer los objetivos de las operaciones de seguridad en los niveles y funciones pertinentes. a) Ser consistente con la política de las operaciones de seguridad; b) Ser medibles (si es practico) c) Tomar en cuenta los requisitos aplicables; d) Monitorearse; e) Comunicarse; f) Actualizarse, según corresponda. La organización debe retener información documentada sobre los objetivos de las operaciones de seguridad. Al planificar como alcanzar estos objetivos, la organización debe determinar: - Lo que se va a hacer; - Los recursos que se requerirán - Quién será responsable, - Cuando se completarán, - Cómo se evaluarán los resultados Norma de Estudio NTC-ISO 18788 La organización debe establecer, implementar y mantener los objetivos y las metas documentados para la gestión del riesgo, con el fin de anticipar, evitar, prevenir, disuadir, mitigar, responder y recuperarse de eventos indeseables o perturbadores. Los objetivos y las metas documentados deben establecer las expectativas internas y externas de la organización, sus subcontratistas y la cadena de suministro que son críticas para lograr la misión, entregar producto y el servicio, y para las operaciones funcionales. Los objetivos se deben derivar de la política de las operaciones de seguridad y la evaluación del riesgo y ser consistentes con estos, incluidos los compromisos para: a) Minimizar el riesgo al reducir la probabilidad y la consecuencia; b) Respetar las leyes internacionales, nacionales y locales, así como los derechos humanos; c) Los requisitos financieros, operativos y empresariales (incluidos los compromisos de los contratistas y la cadena de suministro); d) La mejora continua. Al establecer y revisar sus objetivos y metas, la organización debe considerar sus requisitos financieros, operativos y empresariales, sus requisitos legales, reglamentarios y otros, sus impactos en los derechos humanos, sus riesgos significativos, sus opciones tecnológicas y los puntos de vista de las partes interesadas. Las metas asociadas a los indicadores claves del desempeño se deben medir cualitativa y/o cuantitativamente. Las metas se deben derivar y ser consistentes con los objetivos de las operaciones de seguridad y deben: a) Tener un nivel adecuado de detalle; b) Ser proporcionales a la evaluación del riesgo; c) Ser específicos, medibles, alcanzables, pertinentes y basados en el tiempo (cuando sea practico); d) Comunicarse a todos los empleados y las terceras partes adecuados, incluidos los subcontratistas y los socios de la cadena de suministro con el propósito de que estas personas sean conscientes de sus obligaciones individuales; e) Revisarse periódicamente para asegurar que siguen siendo pertinentes y consistentes con los objetivos de las operaciones de seguridad y modificarse en consecuencia. 6.2.2 Logro de los objetivos de las operaciones de seguridad y del tratamiento del riesgo. La organización debe establecer, implementar y mantener programas para lograr sus objetivos en cuando a las operaciones de seguridad y el tratamiento del riesgo. Los programas se deben optimizar y priorizar para controlar y tratar los riesgos asociados con sus operaciones, subcontratistas y cadena de suministro. La organización debe establecer, implementar y mantener un proceso formal y documentado para el tratamiento del riego, que tome en consideración: a) La eliminación de la fuente de riesgo, cuando sea posible; b) La eliminación o reducción de la probable edad de un evento y sus consecuencias; c) La eliminación reducción o mitigación de consecuencias perjudiciales; d) El compartir el riesgo con otras partes, incluido el seguro contra juegos; e) La divulgación de riesgo a través de los activos y las funciones; f) La aceptación del riesgo o buscar oportunidades a través de decisiones informadas; g) La evitación o detención temporal de las actividades que dan origen al riesgo. La alta dirección debe: 7. a) Valorar los beneficios y los costos de las operaciones para eliminar, reducir o retener el riesgo; b) Evaluar sus programas de operaciones de seguridad para determinar si estas medidas han introducido riesgos nuevos; c) Revisar periódicamente el tratamiento del riesgo para reflejar los cambios en el ambiente externo, incluidos los requisitos legales, reglamentarios y otros, y los cambios en la política, las instalaciones, los sistemas de gestión de la información, las actividades, las funciones, los productos, los servicios y la cadena de suministro de la organización. SOPORTE 7.1 RECURSOS 7.1.1 Generalidades Norma de Estudio NTC-ISO 18788 La organización debe determinar y proporcionar los recursos necesarios para establecer, implementar, mantener y mejorar continuamente el SGOS. La organización debe considerar: a) Los recursos, las capacidades y las limitaciones internas existentes, y adicionales posibles; b) Los servicios y los productos que se obtienen externamente. Los recursos disponibles incluyen información relevante, herramienta de gestión, recursos humanos, incluidas las personas con experiencia relevante y conocimiento y habilidades especiales, el equipo técnico y de protección, así como el apoyo logístico, sea que se contrate interna o externamente. 7.1.2 Requisitos estructurales 7.1.2.1 Generalidades La organización debe ser una entidad legal o una parte definida de una entidad legal. Debe tener una estructura de gestión claramente definida que demuestra control y rendición de cuentas en cada nivel de la organización (incluidas sus subsidiarias dentro del campo de aplicación). 7.1.2.2 Estructura organizacional Una estructura de gestión definida claramente debe identificar los roles, las responsabilidades, las autoridades y la rendición de cuentas para sus operaciones y servicios. La organización debe: a) Documentar su estructura organizacional, indicando deberes, responsabilidades, las autoridades y la gestión; b) Definir y documentar si la organización es una parte definida de una entidad legar y la relación con otras partes de la misma entidad legal; c) Definir toda empresa conjunta o arreglos de asociación dentro del campo de aplicación del SGOS. 7.1.2.3 Seguros La organización debe demostrar que tiene seguros para cubrir los riesgos y las responsabilidades asociadas que se deriven de sus operaciones y actividades, consistentes con su evaluación del riesgo. Cuando se contrata externamente o se Norma de Estudio NTC-ISO 18788 subcontratan servicios, operaciones o funciones. La organización debe tener un acuerdo documentado que incluya las disposiciones de subcontratación o contratación externa, que incluya: a) El compromiso de los subcontratistas de acabar los mismos compromisos y obligaciones legales, así como con los derechos humanos que tiene la organización y según se describen en esta norma; b) El proceso para reportar los riesgos, así como la ocurrencia y respuesta a eventos indeseables y perturbadores; c) Los acuerdos de confidencialidad y conflicto de intereses; d) La definición y documentación claras de los servicios que se van a prestar; e) El campo de aplicación y limitaciones de comando y control; f) La definición de las relaciones de soporte entre el contratista y subcontratista; g) El cumplimiento de las disposiciones aplicables de esta norma. 7.1.2.5 Procedimientos financieros y administrativos La organización debe desarrollar procedimientos y controles financieros y administrativos para apoyar la provisión de la gestión eficaz de la seguridad y del riesgo en todas las operaciones y planificación, como anticipación y en respuesta a un evento indeseable o perturbador. Los procedimientos deben: a) Establecerse para asegurar que las decisiones fiscales se puedan acelerar; b) Estar a acordes con los niveles de autoridad y los principios de rendición de cuentas establecidos; c) Establecerse en consulta y coordinación con el cliente. 7.2 COMPETENCIA 7.2.1 Generalidades La organización debe: - Determinar la competencia necesaria que las personas realizan labores bajo su control y que afectan el desempeño - Asegurar que estas personas son competentes sobre la base de educación, capacitación o experiencia adecuada; - Norma de Estudio NTC-ISO 18788 - Cuando sea aplicable, emprender acciones para adquirir la competencia necesaria y evaluar la eficacia de las acciones ejecutadas; - Retener información documentada apropiada como evidencia de la competencia. NOTA Las acciones aplicables pueden incluir, por ejemplo, la provisión de capacitación, mentoría, o reasignación de las personas empleadas actualmente, o la contratación de personas competentes. 7.2.2 Identificación de la competencia La organización debe identificar las competencias, el nivel de competencia y las necesidades de capacitación que se asocian a sus operaciones de seguridad, en particular el desempeño de las funciones de cada individuo, en consistencia con las obligaciones legales y contractuales y el respeto de los derechos humanos. La organización debe establecer, implementar y mantener procedimientos que garanticen que las personas que llevan a cabo labores en su nombre demuestren un nivel adecuado de competencia en cada una de las áreas siguientes: a) Ejecución de sus funciones de seguridad; b) Evaluación de los riesgos; c) Gestión de los riesgos identificados y la evaluación del riesgo y los impactos potenciales en los derechos humanos que se asocian con su trabajo; d) Las leyes locales e internacionales e internacionales aplicables, incluidos derecho penal, derechos humanos y derecho internacional humanitario, que incluya, pero no se limiten a: 1) Prohibición de tortura u otro tratamiento cruel, inhumano o degradante, 2) Prohibición y concienciación sobre la explotación y el abuso sexual u otra violencia de género, 3) Reconocimiento y prevención del tráfico, de personas y esclavitud, 4) Medidas contra sobornos, corrupción y delitos similares e) Cultura, tal como costumbres y religión, del entorno en el cual operan; f) Procedimientos para reducir la probabilidad y/o las consecuencias de un evento indeseable o perturbador, que incluyan los procesos de mitigación para responder y reportar los eventos; g) Procedimientos de primeros auxilios, salud y seguridad; h) Procedimientos de los primeros auxilios, salud y seguridad i) Uso de armas, incluidas operaciones mecánicas y calificación de fuego real con las armas específicas, autorizadas y según especifica la organización, que son apropiadas para labores especificas relacionadas con la seguridad; j) Limitaciones sobre el uso de la fuerza con respecto sus operaciones de seguridad; k) Protocolos, medios y procedimientos de comunicación; l) Procedimientos de quejas para las partes interesadas internas y externas. 7.2.3 Capacitación y evaluación de la competencia La organización debe brindar capacitación con base en la competencia y establecer los medios para medir los grados de eficacia o niveles de competencia. Las personas que laboran en nombre de la organización deben estar capacitadas para demostrar el nivel de competencia y eficacia que se requiere: La organización debe: a) Establecer métricas con base en la competencia para sus programas de capacitación; b) Proporcionar capacitación para inculcar la comprensión de que el respeto de los derechos humanos es parte de la gobernabilidad y los valores principales de la organización; c) Proporcionar capacitación y evaluación inicial y regular en aula, física, mecánica y con fuego real para todo el personal autorizado a portar armas letales, letalidad reducida o no letales en el desempeño de sus labores. d) Suministrar capacitación recurrente sobre armas y el uso de la fuerza según lo exige la ley, o los requisitos contractuales, o con más frecuencia para conservar el nivel de competencia identificado por la organización; e) Identificar otras competencias que requieren de capacitación de actualización periódica con el fin de mantener el nivel exigido de desempeño o de incorporar requisitos nuevos; f) Brindar capacitación sobre la importancia del cumplimiento de la política y los procedimientos del SGOS, así como de sus requisitos, sobre las consecuencias potenciales de no cumplir los procedimientos especificados del SGOS y las operaciones de seguridad. 7.2.4 Documentación La organización debe conservar registros de: a) Las competencias identificadas y la métrica de medición; b) Los programas de capacitación; c) Los registros asociados de capacitación y evaluación de las personas que trabajan en su nombre. 7.3 TOMA DE CONCIENCIA Las personas que realizan labores bajo control de la organización deben ser conscientes de: - La política de las operaciones de seguridad; - Su contribución a la eficacia del SGOS, incluidos los beneficiarios de mejorar el desempeño de las operaciones de seguridad; - Las implicaciones del incumplimiento de los requisitos del SGOS. 7.4 COMUNICACIÓN 7.4.1 Generalidades La organización debe establecer, implementar y mantener procedimientos para; - Lo que se comunicará; - Cuando comunicarlo; - A quien comunicarlo; - Como comunicarlo; Norma de Estudio NTC-ISO 18788 La organización debe establecer, implementar y mantener procedimientos para: a) La comunicación con las partes interesadas internas y externas; b) El recibo, la documentación y la respuesta a las comunicaciones providentes de las partes interesadas internas y externas; c) La definición y el aseguramiento de la responsabilidad de los medios de comunicación durante situaciones atípicas y perturbaciones; d) La apuesta a prueba regular de los sistemas de comunicaciones para condiciones normales y anormales. Los procedimientos de comunicación deben considerar la naturaleza sensible de la información operativa y las restricciones legales para compartir la información. 7.4.2 Comunicaciones operativas. La organización debe desarrollar procedimientos de comunicación para compartir la información acerca de la actividad del equipo de seguridad, la ubicación, el estado operativo y logístico, la información de amenazas pertinentes y el reporte de incidentes a la gerencia de la compañía, los clientes y otros equipos de seguridad privada, así como las autoridades civiles o militares pertinentes. Se deben incluir procedimientos para solicitar asistencia inmediata de las autoridades militares o civiles, de otros equipos de seguridad y apoyo médico de emergencia. La organización debe asegurar que todos los operadores y todos los niveles pueden responder en un lenguaje o con medios que pueden ser entendidos por las partes interesadas internas y externas apropiadas. Los equipos de seguridad deben tener la capacidad para comunicar la información relacionada con la seguridad a la parte a la cual protegen de manera que la parte protegida la comprendo. 7.4.3 Comunicación del riesgo La organización debe decidir, con base en la salvaguarda de la vida como primera prioridad y en consulta con las partes interesadas, si comunicar externamente los riesgos significativos, sus impactos y tratamientos a las partes interesadas y documentar esta decisión y documentar esta decisión. Si la decisión es comunicarlo, la organización debe establecer e implementar métodos para su comunicación externa, alertas y advertencias (incluidos los medios de comunicación). 7.4.4 Comunicación de los procedimientos de quejas y reclamos Norma de Estudio NTC-ISO 18788 Los procedimientos de quejas y reclamos se deben comunicar a las partes interesadas internas y externas. Los procedimientos deben estar disponibles al público en un sitio web y minimizar los obstáculos al acceso ocasionados por idioma, nivel educativo, o temor a represalias, así como considerar las necesidades de confidencialidad y privacidad. 7.4.5 Comunicación de la política del delator La organización debe comunicar a las personas que trabajan en su nombre, que tengan la creencia razonable de que ha ocurrido un incumplimiento de esta norma, su derecho a reportar de manera anónima la no conformidad internamente, y externamente a las autoridades apropiadas. 7.5 INFORMACIÓN DOCUMENTADA 7.5.1 Generalidades El SGOS de la organización debe incluir: - La información documentada, incluidos los registros, que exige esta norma; - La documentación de la política de las operaciones de seguridad, la declaración de conformidad, los objetivos y las metas; - Una descripción de los elementos principales de SGOS y su interacción, y referencia a los documentos relacionados; - La información documentada que se requiere para la implementación y operación eficaces del SGOS; - La información documentada que determine la organización como necesaria para la eficacia del SGOS. NOTA a: La amplitud de la información documentada para un SGOS puede variar de una organización a otra debido - El tamaño de la organización y tipo de sus actividades, procesos, productos y servicios; - La complejidad de los procesos y sus intenciones; - La competencia de las personas. 7.5.2 Creación y actualización 7.5.2.1 Generalidades Al crear y actualizar la información documentada la organización debe asegurar: - Identificación y descripción adecuadas (p. ej., titulo, fecha, autor, o número de referencia); - Formato (p. ej., idioma, versión de software, gráficos) y medios (p. ej., papel, electrónicos) apropiados; 7.5.2.2 Registros La organización debe establecer y mantener registros que demuestren la conformidad con los requisitos de su SGOS. Los registros incluyen, entre otros: a) Registros que exige esta norma; b) Licencias y permisos de funcionamiento; c) Selección del personal; d) Registros de capacitación; e) Registros del monitoreo de los procesos; f) Registros de inspección, mantenimiento y calibración, g) Registros pertinentes del subcontratista y el proveedor; h) Reportes de incidentes; i) Registros de las investigaciones de incidentes y su disposición; j) Resultados de revisión por la dirección; k) Resultados de revisión por la dirección; l) Decisión sobre comunicaciones externas; m) Registros de los requisitos legales aplicables; n) Registros de los riesgos significativos y los impactos; o) Inventario de armas y recibos de expedición de armas; p) Registros de las reuniones de los sistemas de gestión; q) Información de seguridad, operaciones de seguridad y desempeño en derechos humanos; r) Comunicaciones con las partes interesadas. 7.5.3 Control de la información documentada La información documentada que exige el SGOS y esta norma se debe controlar para asegurar que: a) Está disponible y es adecuada para el uso, cuando y donde se necesite; b) Está protegida correctamente (p. ej., contra la perdida de confidencialidad, uso inapropiado o pérdida de la integridad). Para el control de la información documentada, la organización debe emprender las siguientes actividades, según correspondan: - Distribución, acceso, recuperación y uso; - Almacenamiento y conservación, incluida la conservación de la legibilidad; - Control de cambios (p. ej., control de la versión); - Retención y disposición. La organización debe establecer, implementar y mantener procedimientos para: a) Aprobar la idoneidad de los documentos antes de su emisión; b) Proteger la sensibilidad y confidencialidad de la información; c) Revisar, actualizar, según sea necesario, y re aprobar los documentos; d) Registrar las enmiendas en los documentos; e) Hacer que los documentos actualizados y aprobados estén fácilmente disponibles; f) Asegurar que los documentos permanecen legibles e identificables fácilmente; g) Asegurar que se identifican los documentos de origen externo y se controla su distribución; h) Prevenir el uso involuntario de documentos obsoletos; i) Asegurar la destrucción apropiada, legal y transparente, La información documentada de origen externo que la organización determina como necesaria para la planificación y el funcionamiento del SGOS se debe identificar y controlar apropiadamente. NOTA El proceso puede implicar una decisión con respecto a la autorización para ver la información documentada, únicamente, o la autorización y autoridad para ver cambiar dicha información. La organización debe establecer, implementar y mantener procedimientos para proteger la sensibilidad, confidencialidad e integridad de los registros, incluido el acceso, la identificación, el almacenamiento, la protección, la recuperación, la retención y la disposición final de los registros de empleo y servicio se deben retener por lo menos durante siete años o según lo exija la ley aplicable. Las organizaciones deben asegurar la integridad de los documentos mediante la copia de soporte segura, el acceso solamente a personal autorizado y protegiéndolos contra divulgación, modificación, eliminación no autorizadas, daño, deterioro o pérdida. 8. OPERACIÓN 8.1 PLANIFICACIÓN 8.1.1 Generalidades La organización debe identificar las actividades que se asocian con los riesgos significativos identificados y que son consistentes con la política de gestión de sus operaciones de seguridad, la evaluación del riesgo, los objetivos y las metas, con el fin asegurar que se llevan a cabo según las condiciones especificadas, lo cual permitirá: a) Cumplir con los requisitos legales y otros reglamentarios, que incluyen permisos y licencias de funcionamiento; b) Lograr la misión al tiempo que se protege la reputación del cliente; c) Acatar las leyes locales y las internacionales aplicables, incluido el derecho internacional humanitario, los derechos humanos y las leyes consuetudinarias, así como atrás obligaciones que se escriben en esta norma; d) Asegurar la seguridad, el bienestar y los derechos de las personas que trabajan en nombre de la organización; e) Respetar los derechos de las comunidades locales; f) Implementar los controles de la gestión del riesgo para minimizar la probabilidad y las consecuencias de un evento perturbador o indeseables; g) Lograr los objetivos y las metas de sus operaciones de seguridad. La organización debe establecer, implementar y mantener procedimientos documentados para controlar las situaciones cuando su ausencia podría acarrear la desviación con respecto a las políticas, los objetivos y las metas del SGOS. Norma de Estudio NTC-ISO 18788 La organización debe controlar los cambios planificados y revisar las consecuencias de cambios involuntarios, emprendiendo acciones para mitigar los efectos adversos, según sea necesario. La organización debe asegurara que se controlan los procesos controlados externamente. 8.1.2 Desempeño de las funciones relacionados con la seguridad La organización debe establecer, implementar y mantener procedimientos que apoyen a la protección de las personas, los activos tangibles e intangibles y otras funciones relacionados con la seguridad que incluyen, pero no se limitan, a las siguientes: a) Gestión de los riesgos que se identificaron en la evaluación del riesgo; b) Funciones específicas que exigen el cliente o la autoridad competente; c) Otras tareas y funciones específicas del contexto. 8.1.3 Respeto de los derechos humanos La organización debe establecer, implementar y mantener procedimientos para tratar a todas las personas con dignidad y con respeto de sus derechos humanos y para reportar toda no conformidad. La organización debe desarrollar y comunicar a todas las personas que trabajan en su nombre los procedimientos para una conducta modo consistente con los principios del respeto de los derechos humanos, así como todo requisito contractual, legal y reglamentario que se aplique a las operaciones de seguridad de la organización. 8.1.4 prevención y gestión de eventos indeseables o perturbadores La organización debe establecer, implementar y mantener procedimientos que documenten la manera en que la organización, prevendrá, mitigara y responderá ante eventos indeseables y perturbadores, que tomen en consideración lo siguiente: a) el desempeño de las funciones de seguridad; b) la protección de la vida y la promoción de la seguridad del personal de las partes interesadas y externas; c) respeto de la vida y la dignidad humana; d) anticipación y prevención de eventos indeseables como máxima prioridad; e) respuesta y mitigación para prevenir la escalada de un evento perturbador; f) reducción al mínimo de las perturbaciones las operaciones y los servicios; g) reducción al mínimo del potencial de todo impacto adverso en la comunidad local; h) notificación a las autoridades correspondientes; i) lecciones aprendidas y acciones correcticas y preventivas para evitar la recurrencia. 8.2 ESTABLECIMIENTO DE NORMAS DE COMPORTAMIENTO Y CÓDIGOS DE CONDUCTA ÉTICA La organización debe establecer, implementar y mantener un código de ética para las normas de comportamiento de todas las personas que trabajan en su nombre, incluidos empleados, subcontratistas y socios de contratación externa. El código de ética se debe documentar y debe establecer la importancia de la conducta profesional en las operaciones de seguridad y comunicarse claramente el respeto de los derechos humanos y la dignidad de las personas. El código de ética debe asegurar que todas las personas que trabajan en su nombre comprenden sus responsabilidades para prevenir y reportar todo abuso de los derechos humanos. La organización debe comunicar y documentar su código de ética a todas las personas que trabajan en su nombre, así como a los clientes. 8.3 USO DE LA FUERZA 8.3.1 Generalidades La organización debe establecer y documentar el uso de procedimientos de fuerza para las personas que trabajan en su nombre, Cuando estén disponibles, tales procedimientos deben ser gobernados por las reglas para el uso de la fuerza (RUF) publicadas por una autoridad legal competente para el uso en sus operaciones de seguridad de manera consistente con los requisitos de esta norma. NOTA La autoridad legal competente incluye, pero no se limita, al gobierno del Estado en donde la organización está registrada o tiene su sede de dirección principal, los gobiernos que ejercen control sobre el área en que la organización está operando, los gobiernos que contratan a la organización para temas de seguridad o un comandante del ejército que ejerce, autoridad equivalente a la ocupación militar de un área. En ausencia de RUF autorizadas, las organizaciones deben basar sus procedimientos en directrices internacionales publicadas, para el uso de la fuerza (p. ej)., los Principios básicos de las Naciones Unidas para el Uso de la Fuerza y Armas de fuego por parte de las fuerzas del Orden, 1990 y el Montreux Document). El uso de procedimientos de fuerza debe ser consistente con las leyes apropiadas y pertinentes, y someterse a revisión legal apropiada antes de su adopción. La organización debe establecer el uso de procedimiento de fuerza que empleará el personal de operaciones seguridad en autodefensa, Incluida la defensa de las personas de la organización bajo su protección. Los procedimientos deben incluir: a) Autorización para el uso y el porte de armas por parte de su personal; b) El uso de un continuo de fuerza; c) El uso de fuerza menos letal; d) El uso de fuerza letal; e) El uso de fuerza como apoyo a las fuerzas del orden (si es aplicable); f) Capacitación. La organización debe establecer y documentar procedimientos específicos para el campo de aplicación de sus operaciones y las condiciones del trabajo que se ejecuta en cada lugar. El uso de procedimientos de fuerza de la organización debe ser consistentes con los requisitos legales y contractuales aplicables, y se debe pactar con cualquier otra entidad para la cual se suministren las operaciones de seguridad privada. 8.3.2 Autorización de armas La organización debe establecer y documentar procedimientos para autorizar a su personal a que esté armado en el desempeño de las operaciones de seguridad. Las autorizaciones deben: a) Otorgarse únicamente al personal que la organización ha determinado como idóneo para las tareas que se van a ejecutar y que se ha sometido a investigaciones de fondo adecuado para los deberes que se desempeñan; b) Ser específicas para un tipo y modelo de arma (s) y únicamente se deben emitir después de que el individuo se haya calificado para ese tipo y modelo bajo una norma publicada que se identifique en el uso de procedimientos de fuerza que sea adecuada para el arma y los deberes esperados. Todas las autorizaciones de armas deben estar por escritos y firmadas (p. ej.,ej.,) tinta o de manera digital) por las funciones apropiados a cargo de la autorización antes de que el arma se le entregue a un individuo. La organización debe retener la documentación de los resultados de la calificación individual durante el tiempo en el que individuo tenga la autorización de estar armado. 8.3.3 Uso de un continuo de fuerza La organización debe establecer y documentar procedimientos que describan el uso de un continuo de fuerza, que aplique una cantidad de fuerza adecuada razonablemente necesaria para las operaciones de seguridad. Los elementos del continuo deben incluir: a) El uso de la fuerza debe ser razonable en términos de intensidad, duración y magnitud con base en las circunstancias que se presenten en ese momento; b) Advertencias a las personas y dar la oportunidad de retirarse o cesar las acciones de amenazas cuando la situación o las circunstancias lo permiten; c) Reducción de la fuerza que se aplica, si la situación y las circunstancias lo permiten; d) Controles de supervisión en el comienzo, la escalada y la reducción de la escala del uso de la fuerza y la limitación de tal autoridad. Los procedimientos de un continuo de fuerza ser consistentes con el derecho inherente de autodefensa. 8.3.4 Fuerza menos letal El uso de procedimientos de fuerza de la organización debe abordar el uso de fuerza menos letal, es decir. Que es menos probable que el grado de fuerza que cause la muerte o lesiones físicas graves, así como el tipo de fuerza menos letal autorizada disponibles para su personal en la ejecución de sus operaciones de seguridad. La organización debe documentar procedimientos para el uso de fuerza menos letal acordes con las leyes aplicables y pertinentes de la autodefensa que incluyen, pero no se limitan, a las siguientes circunstancias: a) Contra personas que asaltan a otras personas o a sí mismo para prevenir lesiones o la continuación del asalto cuando las alternativas para el uso de la fuerza han fallado o no están disponibles; b) Contra personas que se resisten a la detención legal cuando las alternativas para el uso de la fuerza han fallado o no están disponibles; c) Para prevenir la pérdida o destrucción de la propiedad bajo la protección de la organización. 8.3.5 Fuerza letal La fuerza letal se justifica únicamente en condiciones de necesidad y se puede usar solamente cuando medios menores no se pueden emplear de modo razonable o han fracasado. El uso de procedimientos de fuerza en la organización debe identificar las leyes aplicables de autodefensa para cada una de sus operaciones de seguridad y abordar el uso de la fuerza letal en relación con: a) El derecho inherente a la autodefensa; b) La defensa de otros; c) La defensa de la propiedad, incluida la propiedad inherente peligrosa o la infraestructura critica que, si se pierde o se destruye, crearía una amenaza inherente de muerte o daño corporal grave. La fuerza letal se justifica solamente en condiciones de necesidad cuando existe la creencia razonable de que: a) Una persona o varias personas presentan una amenaza inminente de muerte o de daño corporal grave para el individuo u otros en la cercanía; b) Cuando es necesario prevenir el hurto real o sabotaje de la propiedad inherentemente peligrosa; c) Para prevenir el sabotaje o la destrucción de la infraestructura crítica, cuyo daño la autoridad legal competente determina que crearía una amenaza inminente de muerte o de daño o lesión corporal grave. 8.3.6 Uso de la fuerza como apoyo a las fuerzas del orden Cuando está autorizada por un estado a apoyar las operaciones de las fuerzas del orden, la organización debe solicitar la RUF a la autoridad policial o a la autoridad militar de control del Estado pertinentes para esta función. Debe abordar los siguientes elementos que se derivan de los Principios Básicos de las Naciones Unidas para el Uso de la fuerza y Armas de fuego por parte de las fuerzas del orden. - El uso letal intencional de armas de fuego solamente se puede hacer cuando es estrictamente inevitable con el fin de proteger la vida; NOTA - Esto no cambia el derecho inherente al uso razonable y necesario de la fuerza en la autodefensa. El uso del continuo de fuerza debe incluir la identificación visual o auditiva del personal de la organización como fuerzas del orden con advertencias clara de la intención del uso de las armas de fuego. 8.3.7 Uso de la capacitación en la fuerza El uso de procedimientos de fuerza en la organización debe escribir los requisitos de capacitación inicial y recurrentes. El personal de operaciones de Seguridad autorizado a aportar armas debe completar satisfactoriamente la capacitación que incluye la familiarización con armas de fuego (académica-en el aula de clase), la calificación en vivo y la capacitación en el uso de la fuerza. Dicha capacitación se debe completar cada 12 meses o con más frecuencia dependiendo de los requisitos contractuales o legales y según lo señale la evaluación del riesgo de la organización. Los registros de capacitación y demostración de la competencia se deben conservar durante todo el tiempo en que los individuos estén asociados a la organización. Los siguientes elementos se deben incluir en la capacitación sobre el uso de la fuerza de la organización: a) Leyes de autodefensa aplicables a las operaciones de seguridades particulares; b) Una revisión de la autorización de armas de la organización, el almacenamiento y la política de porte; c) Una revisión de las diferencias entre el uso de la fuerza apropiada para las operaciones de seguridad y las reglas de combate apropiadas para las fuerzas militares; d) Una revisión de las responsabilidades legales que se pueden derivar del uso de la fuerza y de las armas de fuego que ocasione la muerte o la lesión grave a una persona; e) La obediencia a órdenes superiores como defensa no debe estar disponible en circunstancias en que se puede determinar razonablemente que las instrucciones para usar la fuerza fueron evidentemente ilegales, f) La aplicación del continuo de fuerza. La organización debe desarrollar ayudas de capacitación que su personal debe ejecutar para ayudarlos a comprender, responder y aplicar el uso específico de los procedimientos de fuerza o las RUF que sean aplicables. 8.4 DETENCIÓN Y REGISTRO 8.4.1 Detención de personas Los procedimientos operativos de la organización deben abordar la detención de las personas que se afirman han cometido un ataque contra las personas o la propiedad protegidas por las operaciones de seguridad. Los procedimientos deben describir el contexto legal bajo el cual las personas pueden ser retenidas contra su voluntad, las limitaciones del uso de la fuerza en tales detenciones y los procedimientos para que la determine cuando y a quien se transfiera la custodia de las personas retenidas. 8.4.2 registro Los procedimientos operativos de la organización describirán las circunstancias en las cuales terceras partes pueden ser registradas para buscar armas u otro contrabando. El registro de las personas en los puntos de control de acceso debe describir el requisito para tratar a tales personas según los derechos humanos fundamentales, las consideraciones culturales y la dignidad personal. 8.5 OPERACIONES DE APOYO A LAS FUERZAS DEL ORDEN 8.5.1 Apoyo a las fuerzas del orden La organización solo debe ejecutar dichas operaciones de apoyo a las fuerzas del orden según este autorizado específicamente por los agentes de la ley o la autoridad militar de control del Estado correspondiente, según las leyes aplicables y pertinentes. La organización debe desarrollar procedimientos adicionales para apoyar a las operaciones de seguridad en apoyo de las fuerzas del orden que incluyan: a) rotulados en uniformes y vehículos según lo instruyan las fuerzas del orden militar de control; b) documentación de los procedimientos para proveer o asegurar la asistencia y ayuda médica para cualquier persona lesionada o afectada; c) reporte rápido sobre incidentes de lesiones o muerte causadas por el uso de la fuerza y de las armas de fuego en las actividades de las fuerzas del orden a las autoridades policiales, así como al personal de supervisión de la organización; d) si se conocen, notificaciones a las autoridades policiales a las que se apoya a de los nombres de las personas lesionadas o afectadas de otro modo por las actividades de apoyo a las fuerzas del orden de la organización. 8.5.2 Operaciones de detención La vigilancia, el transporte o el interrogatorio de las personas bajo arresto, detenidas o en prisión por parte de las fuerzas del orden están afuera del campo de aplicación de esta norma. 8.6 RECURSOS, ROLES, RESPONSABILIDAD Y AUTORIDAD 8.6.1 Generalidades La alta dirección debe poner a disposición los recursos esenciales para establecer, implementar, mantener y mejorar el SGOS. Los recursos deben incluir información, herramientas de gestión y recursos humanos (incluidas las personas con habilidades y conocimiento especialistas) y apoyo financiero. Los roles, las responsabilidades y las autoridades se deben definir, documentar y comunicar con el fin de facilitar la gestión eficaz de las operaciones de seguridad, que incluyen control, coordinación y responsabilidad supervisora con una línea de sucesión definida. Para manejar eficazmente los eventos indeseables y perturbadores, la organización debe establecer equipos de planificación, seguridad, gestión de incidentes, respuesta y//o recuperación con roles definidos, autoridad adecuada, recursos apropiados, que incluyen equipos eficaces y seguros, y la puesta a prueba de los planes y los procedimientos operáticos. Cuando una organización decide subcontratar externamente algún proceso que afecta a la conformidad con los requisitos de esta norma, la organización debe asegurar que tales procesos están controlados. 8.6.2 Personal 8.6.2.1 Generalidades La organización debe mantener personal suficiente (empleados, contratistas, o subcontratistas) con la competencia apropiada para cumplir sus obligaciones contractuales, Al personal se le debe promover disposiciones adecuadas de pago y Norma de Estudio NTC-ISO 18788 remuneración, que incluya seguros, proporcionales a sus responsabilidades y al contexto. La organización debe proteger la confidencialidad de esta información, según corresponda y proporciona al personal los documentos pertinentes en el idioma que todas las partes comprendan fácilmente. La organización debe mantener información documentada de todo el personal: a) Según lo exija las obligaciones legales y contractuales., b) Para mantener contacto con los individuos y sus familias inmediatas; c) Para ayudar en la recuperación del personal en caso de un incidente; d) Necesaria para la notificación a la familia sobre alguna lesión o muerte. 8.6.2.2 Selección, revisión de antecedentes y aprobación del personal La organización debe establecer, documentar, implementar, y mantener procedimientos definidos para la revisión de antecedentes y la aprobación de todas las personas que trabajan en su nombre en todos los niveles, con el fin de asegurar que son aptas y apropiadas para las tareas que ejecutaran (es decir, subcontratistas, socios de contratación externa y subsidiarias). Siempre que sea posible y en consistencia con las leyes de protección de datos, la revisión debe incluir: a) Consistencia con los requisitos legales y contractuales; b) Identidad, edad mínima y verificación del historial personal; c) Educación e historia laboral; d) Verificación de registros de servicio militar, policial y de seguridad; e) Revisión de los posibles registros criminales; f) Revisión de reportes de violaciones de los derechos humanos; g) Evaluación de abuso de sustancias; h) Evaluación de la idoneidad para portar armas como parte de sus deberes. Norma de Estudio NTC-ISO 18788 Los requisitos de edad mínima poder ser establecidos por las leyes locales, las leyes aplicables en el domicilio legal de la organización, puede ser exigido por el cliente. En ningún caso, se debe emplear a una menor de dieciocho años en labores que les exijan usar armas de fuego y otras. La selección debe incluir una testificación del personal de que nada en su conducta presente ni pasada contradirá el código de ética de la organización, la declaración de conformidad ni el cumplimiento de las estipulaciones de esta norma. Se debe exigir al personal que notifique a la organización de cualquier cambio en las circunstancias que pueda acarrear la verificación de su estado de revisión. La revisión de antecedentes implica la divulgación de información altamente sensible; por lo tanto, la organización debe desarrollar procedimientos para asegurar apropiada y estrictamente la confidencialidad de la información tanto en el ámbito interno como en el externo. Se deben mantener registros de manera consistente con las limitaciones de los estatutos pertinentes. La selección de personal calificado se debe basar en competencias definidas, que incluyen el conocimiento, destrezas, habilidades y atributos. Las medidas de revisión y selección deben ser consistentes con los requisitos legales y contractuales y coherentes con las referencias normativas de esta norma. 8.6.2.3 Selección, revisión de antecedentes y aprobación de subcontratistas La organización debe establecer procedimientos definidos para la selección, revisión de antecedentes y aprobación de los subcontratistas. La organización es responsable del trabajo de los subcontratistas. La organización es responsable del trabajo del subcontratista y también, según corresponda dentro de las leyes aplicables, de la conducta de los subcontratistas. La organización debe: a) Asegurar los acuerdos contractuales escritos apropiados con el subcontratista; b) Asesorar al cliente acerca de las disposiciones por escrito y, cuando sea apropiado, obtener la aprobación del cliente; c) Mantener un registro de todos los subcontratistas que emplea; d) Comunicar las responsabilidades según esta norma al subcontratista; e) Mantener un registro de la evidencia de conformidad o las desviaciones con respecto a esta norma parte del trabajo que se subcontrata. 8.6.3 Adquisición y manejo de armas, materiales peligrosos y municiones La organización que utiliza armas, materiales peligrosos, explosivos y municiones debe establecer procedimientos y registros documentados para la adquisición, el manejo, la rendición de cuentas y trazabilidad de las armas, que incluyan; a) Cumplimiento de la ley nacional aplicable y pertinente (p. ej., sanciones de la ONU); b) Cumplimiento de los controles de importación y exportación, registros certificaciones, permisos y requisitos de transporte; c) Adquisición, d) Almacenamiento seguro; e) Controles de su identificación, expedición, uso, mantenimiento, devolución y pérdida; f) Registros con respecto a quién y cuándo se expiden las armas; g) Identificación y recuento de toda la munición y las armas; h) Disposición final apropiada con verificación. 8.6.4 Uniformes y rotulados En consistencia con la seguridad de sus clientes, otros civiles y los requisitos legales, la organización debe usar uniformes y rotulados para identificar a su personal y los medios de transporte como pertenecientes a la organización, siempre que realicen actividades en el desempeño de su contrato. Esta identificación debe ser visible a distancia y distinguible de aquella que utilizan las fuerzas militares y de policía. La organización debe establecer y documentar procedimientos para el uso de uniformes y rotulados, así como procedimientos para determinar y documentar en que momento dicha identificación seria inconsistente con los requisitos de esta sección. 8.7 SALUD Y SEGURIDAD OCUPACIONAL La organización debe establecer, implementar y mantener procedimientos para promover un ambiente de trabajo seguro y saludable, que incluyan precauciones razonables para proteger a las personas que trabajan en su nombre en operaciones de alto riesgo o que amenazan la vida, y consistentes con las obligaciones legales, reglamentarios y contractuales. Los procedimientos deben incluir. a) Evaluación de los riesgos de salud y seguridad ocupacional de las personas que trabajan en su nombre, así como de los riesgos para las partes externas; b) Capacitación en ambiente hostil; c) Provisión del equipo de protección personal, armas y munición apropiados; d) Capacitación en toma de conciencia sobre salud médica y psicológica, cuidado y apoyo; e) Lineamientos para identificar y tratar la violencia en el lugar de trabajo, la mala conducta, el abuso de alcohol y drogas, el acoso sexual y otros comportamientos inadecuados. 8.8 MANEJO DE INCIDENTES 8.8.1 Generalidades La organización debe establecer, implementar y mantener procedimientos para identificar eventos indeseables y perturbadores que puedan tener impacto en la organización, sus actividades, servicios, partes interesadas, derechos humanos y ambiente. Los procedimientos deben documentar el modo en que la organización evitará, mitigará y responderá proactivamente ante los eventos. Al establecer, implementar y mantener procedimientos para prepararse rápidamente para eventos perturbadores, mitigarlos y responder ante ellos, la organización debe considerar cada una de las siguientes acciones: a) Proteger la vida y asegurar la seguridad de las partes interesadas internas y externas; b) Respetar los derechos humanos y la dignidad humana, c) Prevenir la escalada adicional del evento perturbador; d) Minimizar la perturbación de las operaciones; e) Notificar las autoridades competentes; f) Proteger la imagen y la reputación (de la organización y su cliente); g) Acciones correctivas y preventivas. 8.8.2 Monitoreo, reporte e investigación de los incidentes La organización debe establecer, implementar y mantener procedimientos para el monitoreo, el reporte, la investigación de incidentes, arreglos disciplinarios y compensación. Los incidentes que involucran el uso de la fuerza o de armas, victimas, lesiones físicas, alegaros de abuso, pérdida de la información o equipo sensible, abuso de sustancias o incumplimiento de los principios del Montreux Document y del ICoC, así como las leyes y reglamentos aplicables, se deben reportar e investigar siguiendo los siguientes pasos, que incluyen: a) documentación del incidente; b) notificación a las autoridades correspondientes; c) pasos que se ejecutaron para investigar el incidente; d) identificaciones de las causas raíz; e) acciones correctivas y preventivas que se ejecutan; f) toda compensación y rectificación de las partes afectadas la organización debe asegurar que todas las personas que trabajan en su nombre conocen sus responsabilidades y los mecanismos para monitorear y reportar los incumplimientos y los incidentes. Los registros de incumplimientos e incidentes se deben conservar y retener por lo menos durante siete años, o según se especifiquen los requisitos legales o reglamentarios. 8.8.3 Procedimientos de quejas y reclamos internos y externos La organización debe establecer procedimientos para documentar y tratar los reclamos que se reciben de las partes interesadas internas y externas (incluidos los clientes y otras partes afectadas). Se deben establecer y documentar los criterios de eficacia para los procedimientos de reclamos. Los procedimientos se deben comunicar a las partes interesadas internas y externas con el fin de facilitar el reporte de no conformidades potenciales y reales con esta norma por parte de los individuos, o violaciones a las leyes internacionales, nacionales y locales o los derechos humanos. La organización debe investigar los alegatos rápida e imparcialmente, con debida consideración a la confidencialidad y las restricciones impuestas por la ley local. La organización debe establecer y documentar procedimientos para; a) Recibir y tratar las quejas y los reclamos; b) Establecer etapas jerárquicas para el proceso de solución; c) La investigación de los reclamos, que incluya procedimientos para: 1) Cooperar con los mecanismos oficiales de investigación externa; 2) Prevenir la intimidación de testigos o la inhibición de la recolección en evidencia; 3) Proteger a los individuos que presenten una queja o un reclamo de buena fe contra la retaliación; d) Identificar las causas raíz; e) Acciones correctivas y preventivas que se ejecuten, incluida la acción disciplinaria proporcionan a la infracción; f) Comunicaciones con las autoridades correspondientes. Los reclamos que alegan actos criminales, violaciones de los derechos humanos o peligro inminente para los individuos se deben tratar inmediatamente por parte de la organización y otras autoridades, según sea apropiado. 8.8.4 Política del delator La organización debe establecer una política del delator para las personas que trabajan en su nombre, que tengan la creencia razonable de que se ha producida una no conformidad con esta norma, y respecto a su derecho a reportar la inconformidad de modo anónimo en el ámbito interno, así como externamente a las autoridades correspondientes. La organización no debe emprender ninguna acción adversa ningún individuo por el derecho de presentar un reporte de buena fe. La organización debe informar al cliente acerca de las violaciones de la ley o respeto a los derechos humanos que se han reportado. 9. EVALUACIÓN DEL DESEMPEÑO 9.1 MONITOREO, MEDICIÓN, ANALISIS Y EVALUACIÓN 9.1.1 Generalidades La organización debe evaluar los planes de gestión de las operaciones de seguridad, los procedimientos y las capacidades a través de valoraciones periódicas, ensayos, reportes posteriores a los incidentes, lecciones aprendidas, evaluaciones y ejercicios de desempeño. Los cambios significativos en estos factores se deberían relejar inmediatamente en los procedimientos. La organización debe mantener los registros de los resultados de las evaluaciones periódicas, La organización debe determinar: - Lo que es necesario monitorear y medir; - Los métodos para monitorear, medir analizar y evaluar, según sea aplicable, para asegurar resultados validos; - Cuando se deben realizar el monitoreo y la medición; - Cuando se debe analizar y evaluar los resultados del monitoreo y la medición. La organización debe retener la información documentada apropiada como evidencia de los resultados, también debe evaluar el desempeño de las operaciones de seguridad y la eficacia del SGOS. La organización debe establecer, implementar y mantener métricas y procedimientos de desempeño para monitorear y medir con regularidad aquellas características de sus operaciones que tiene un impacto tal en su desempeño (incluidas sociedades, Norma de Estudio NTC-ISO 18788 subcontratos y relaciones en la cadena de suministro). Los procedimientos deben incluir la documentación de la información para monitorear el desempeño, los controles operativos aplicables y el cumplimiento de los objetivos y las metas de la gestión de las operaciones de la organización. La organización debe evaluar y documentar el desempeño de los sistemas que protegen sus activos (humanos y físicos), así como su sistema de comunicaciones e información. 9.1.2 Evaluación de la conformidad En consistencia con su compromiso con la conformidad, la organización debe establecer, implementar y mantener procedimientos para evaluar periódicamente la conformidad con los requisitos legales, reglamentarios y de derechos humanos que sean aplicables. La organización debe conservar registro de los resultados de las evaluaciones periódicas. 9.1.3 Ejercicios y pruebas La organización debe utilizar los ejercicios y otros medios para someter a prueba la pertinencia y eficacia de los planes, procesos y procedimientos de su SGOS, que incluyan las relaciones con las partes interesadas y las interdependencias con los subcontratistas. Los ejercicios de los escenarios operativos y de la gestión de incidentes deben abordar los aspectos que se han identificado para la evaluación del riesgo, así como las pruebas de estrés de los procedimientos para la gestión del resto con el fin de identificar problemas o debilidades potenciales. Los ejercicios se deben diseñar y ejecutar de manera que limiten la perturbación en las operaciones y que expongan a las personas, los bienes y la información a un riesgo mínimo Los ejercicios se deben ejecutar con regularidad (por lo menos anualmente) o inmediatamente después de cambios significativos en la misión y/o la estructura de la organización o de cambios significativos en el ambiente externo. Se debe redactar un informe formal después de cada ejercicio. El informe debe evaluar la pertinencia y la eficacia de los planes, proceso y procedimientos del SGOS de la organización, incluidas las no conformidades, y debe proponer acciones correctivas y preventivas. Los informes posteriores al ejercicio deben formar parte de las revisiones por la alta dirección. 9.2 AUDITORIA INTERNA 9.2.1. La organización debe establecer, implementar y mantener un programa de auditorías de la gestión de las operaciones de seguridad, y ejecutar dichas auditorías a intervalos planificados para obtener información sobre si es el SGOS: a) Cumple con: - Los principios requisitos de la organización para su SGOS; - Las obligaciones legales, reglamentarias, de derechos humanos y contractuales pertinentes; - Los requisitos de esta norma; b) Se implementa y mantiene de manera eficaz y correcta; c) Se ejecuta según las expectativas; d) Ha sido eficaz en lograr la política, los objetivos y las metas del SGOS de la organización. 9.2.2 La organización debe: a) Planificar, establecer, implementar y mantener un programa de auditoria que incluya la frecuencia, los métodos, las responsabilidades, los requisitos de la planificación y el reporte, el cual debe tomar en consideración el estado y la importancia de los procesos y las áreas de interés, así como los resultados de las auditorias previas. b) Definir los criterios de auditoria, la frecuencia según el ámbito los métodos, las responsabilidades, los requisitos de planificación y de reporte para auditoria. c) Seleccionar los auditores y ejecutar las auditorias para asegurar objetividad e imparcialidad en el proceso de auditoria (p, ej.,)., los auditores no deberían auditar su propio trabajo. d) Asegurar que los resultados de la auditoria se reportan la dirección pertinente para el área sometida a la auditoria. e) Retener la información documentada como evidencia de la implementación del programa de auditoria y de los resultados de este. La dirección responsable del área que se somete a la auditoria debe asegurar que se emprenden las acciones sin demora indebida para eliminar las no conformidades detectadas y sus causas. Las actividades de seguimiento deben incluir la verificación. 9.3 REVISION POR LA DIRECCIÓN 9.3.1 Generalidades La alta dirección debe revisar el SGOS de la organización a intervalos planificados, para asegurar su suficiencia, idoneidad y eficacia continuas. Esta revisión debe incluir la evaluación de las oportunidades de mejora y la necesidad de cambios en el SGOS, que incluye su política y sus objetivos. Los resultados de las revisiones se deben documentar con claridad y se deben conservar los registros. Norma de Estudio NTC-ISO 18788 La revisión por la dirección debe incluir la consideración de: a) El estado de las acciones derivadas de revisiones previas por la dirección; b) Los cambios en aspectos externos e internos que sean pertinentes para el SGOS; c) Información sobre el desempeño de las operaciones de seguridad, que incluye las tendencias en: - No conformidades y acciones correctivas; - Resultados del monitoreo y la medición; - Resultados de auditoria. d) Impactos en las operaciones de seguridad; e) Criterios y controles de la gestión del riesgo; f) Oportunidades de mejora continua. Los elementos de salida de la revisión por la dirección deben incluir las decisiones con respecto a las oportunidades de mejora y toda la necesidad de cambios en el SGOS. La organización debe conservar la información documentada como evidencia de los resultados de las recisiones por la dirección. 9.3.2 Elementos de entrada para la revisión El elemento de entrada para la revisión por la dirección debe incluir: a) Resultados de las auditorias y revisiones del SGOS; b) Retroalimentación de las partes interesadas; c) Técnicas, productos o procedimientos que se podrían emplear en la organización para mejorar el desempeño y la eficacia del SGOS; d) Estado de las acciones preventivas y correcticas; e) Resultados de los ejercicios y las pruebas; f) Riesgos que no han sido tratados adecuadamente en la evaluación del riesgo anterior; g) Reporte los incidentes; h) Resultados de las mediciones de la eficacia; i) Acciones de seguimiento derivadas de las revisiones anteriores por la dirección; j) Todos los cambios que podrían afectar al SGOS; k) Suficiencia de las políticas y los objetivos; l) Reconocimientos para la mejora. 9.3.3 Elementos de salida de la revisión Los elementos de salida de las revisiones por la alta dirección deben incluir las decisiones y acciones relacionados con los cambios posibles en las políticas, los objetivos, las metas y otros elementos del SGOS, con el propósito de promover la mejora continua que incluyan; a) Mejora de la eficacia del SGOS; b) Actualización de la evaluación del riesgo y de los planes de gestión del riesgo; c) Modificación de los procedimientos y controles que afecten a los riesgos, según sea necesario, para responder a eventos internos o externos que puedan afectar al SGOS; d) Recursos necesarios; e) Mejora de la manera en que se mide la eficacia de los controles. 10 MEJORA 10.1 NO CONFORMIDAD Y ACCIÓN CORRECTIVA La organización debe establecer, implementar y mantener procedimientos para tratar las no conformidades y emprender acciones correcticas y preventivas. Los procedimientos deben definir los requisitos para identificar y corregir las no conformidades y emprender las acciones para mitigar sus consecuencias. Cuando se presenta una no conformidad, la organización debe: a) Reaccionar ante la no conformidad y, según corresponda: - Emprender acciones para controlarla y corregirla; - Tratar las consecuencias; b) Evaluar la necesidad de acciones para prevenir las no conformidades y eliminar las causas de estas, con el fin de que no se repita ni se presenten en ninguna otra parte, a través de: - Revisión de la no conformidad; - Determinación de las causas raíz de la no conformidad; - Determinación de si existe no conformidades similares o si existe el potencial de que ocurran; c) Investigas las no conformidades, determinar sus causas y ejecutar acciones para evitar su recurrencia; d) Implementar toda acción apropiada correctiva y preventiva que se ejecute; e) Revisar la eficacia de toda acción correctiva y preventiva que se ejecute; f) Registrar los resultados de las acciones correctivas y preventivas que se ejecuten; g) Hacer los cambios en el SGOS, según necesidad. Las acciones correctivas deben ser apropiadas para los defectos de las no conformidades que se han detectado. La organización debe asegurar que los cambios propuestos se hacen en la documentación del SGOS y debe conservas información documentada como evidencia de: - La naturaleza de las no conformidades y de todas las acciones posteriores que se ejecuten; - Los resultados de toda acción correctiva. 10.2 MEJORA CONTINUA 10.2.1 Generalidades La organización debe mejorar continuamente la suficiencia, propiedad y eficacia del SGOS través del uso de la política y los objetivos de la gestión de las operaciones de seguridad, los resultados de auditoria, el análisis de los eventos monitorizados, las acciones correctivas y preventivas y la revisión por la dirección. 10.2.2 Gestión del cambio La organización debe establecer un programa de gestión del cambio en las operaciones de seguridad, definido y documentado, para asegurar que cualquier cambio interno o externo que tenga impacto en la organización se revisa con respecto al SGOS. Esta debe identificar las actividades criticas nuevas que es necesario incluir en el programa de gestión del cambio de SGOS. 10.2.3 oportunidades de mejora la organización debe monitorear, evaluar y explotar las oportunidades de mejora el desempeño del SGOS y eliminar las cusas de problemas potenciales, incluidos los siguientes aspectos: a) monitoreo continuo del panorama operativo para identificar problemas potenciales y oportunidades de mejora; b) determinar e implementar las acciones necesarias para mejorar el desempeño de las operaciones de seguridad; c) revisar la eficacia de las acciones ejecutadas para demostrar el desempeño. Las acciones que se ejecuten deben ser apropiadas al impactó de los problemas potenciales y a las realidades de los recursos y obligaciones de la organización. La alta dirección debe asegurar que las acciones se ejecutan sin retraso indebido para explotar las oportunidades de mejora. Cuando se revisan las disposiciones existentes y se introducen disposiciones nuevas que podrían tener impacto en la gestión de la calidad de las operaciones y las actividades, la organización debe considerar los riesgos asociados antes de su implementación. Los resultados de las revisiones y las acciones ejecutadas se deben documentar con claridad y se deben conservar los registros. Las actividades de seguimiento deben incluir la verificación de las acciones ejecutadas y el reporte de los resultados de la verificación. Norma de Estudio NTC-ISO 18788 ANEXO A (informativo) ORIENTACIONES PARA EL USO DE ESTA NORMA A.1 GENERALIDADES El texto adicional de que suministra en este anexo se proporciona para facilitar la comprensión de los requisitos de esta norma. Aunque esta guía aborda y es consistente con los requisitos, cuando se implementan tales requisitos la organización también necesita analizar e implementar las selecciones pertinentes de esta que se aplica a su ámbito de aplicación, obligaciones legales y contractuales y ambiente operativo, es necesario que los elementos de esta guía que no se consideran pertinentes para el SGOS de la organización se justifiquen en la declaración de aplicabilidad. Las operaciones de seguridad privada juegan un papel importante en la protección de los clientes del sector público, privado y sin ánimo de lucro en circunstancias en donde la gobernabilidad puede ser débil o el estado de derecho/principio de legalidad están debilitadas debido a eventos causados por la naturaleza o por el ser humano. Los clientes de los sectores públicos, privados y organizaciones no gubernamentales (ONG) incluyen una gama amplia de servicios por parte de las organizaciones que ejecutan o contratan operaciones de seguridad incluyen la vigilancia y protección de personas y objetos, tales como convoyes, instalaciones, lugares designados, propiedad y otros lugares (estén armados o desarmados), así como otras actividades para las cuales el personal de las organizaciones debe aportar u operar un arma en el desempeño de sus labores. Esta norma proporciona criterios auditables para las organizaciones y sus clientes, con el fin de demostrar la rendición de cuentas sobre el cumplimiento de los derechos humanos y las libertades fundamentales, y que se previenen los actos impropios, ilegales y excesivos. El rol principal de las organizaciones que ejecutan o contratan operaciones de seguridad es asegurar que los clientes pueden operar con protección y seguridad, mientras cumplen a cabalidad y apoyan los derechos humanos fundamentales y universales para que las personas estén seguras en su estado personal y en propiedad en condiciones de gobernalidad debilitada. En muchas partes del mundo, este derecho básico esta abajo ataque. En muchos casos, estos ataques que se dirigen contra las personas que trabajan para aliviar el sufrimiento de las poblaciones afectadas, para restaurar la infraestructura critica necesaria para el bienestar de los individuos y la sociedad, o que están comprometidas en otras actividades que llevaran a la estabilidad y el desarrollo de la población a largo plazo. Estos ataques pueden tener el propósito de ganancia financiera inmediata, estar motivados por asuntos políticos o por razones de odio, fanatismo y/o venganza. Estos ataques no solamente violan los derechos básicos de los individuos objeto de dicha violencia, sino que también afectan a la población más amplia a la que, en consecuencia, se le niega el alimento, el agua, el tratamiento médico, la electricidad, el empleo y la paz con frecuencia, los perpetradores buscan esconderse entre la población civil, utilizando a los inocentes para protegerse, a menudo utilizando la intimidación y el medio. Cuando la comunidad o la autoridad efectiva carecen de la capacidad de defender con amplitud las vidas, los derechos y la propiedad de sus ciudadanos – o si no puede proporcionar seguridad las vidas, los derechos y la Norma de Estudio NTC-ISO 18788 propiedad de sus ciudadanos – o si no puede proporcionar seguridad mínima ni llevar a los perpetradores de esta violencia ante la justicia – los individuos y las organizaciones pueden recurrir a proveedores comerciales de servicios de seguridad para brindar la capacidad de autodefensa, con el fin de prevenir la comisión de ofensas graves que impliquen amenazas graves para la vida o daño corporal. Esta norma reconoce que las organizaciones que ejecutan o contratan operaciones de seguridad funcionan en circunstancias que son inherentemente inestables y peligrosas. Esta norma proporciona los principios y los requisitos para gestionar el riesgo que se asocia con la operación en circunstancias de gobernabilidad debilitado por eventos causados por la naturaleza o por el ser humano. El propósito de esta norma es mejorar y demostrar un nivel alto de profesionalismo en las organizaciones, mientras se mantiene la protección y seguridad de sus operaciones y clientes, dentro de un marco que tiene como propósito asegurar el respeto de los derechos humanos, las leyes y las libertades fundamentales. El reto para las organizaciones que ejecuten o contratan operaciones de seguridad va más allá de la respuesta y el reporte de los incidentes. Las organizaciones se deberían comprometes en un proceso exhaustivo y sistemático para gestionar previamente los riesgos que se asocian con sus operaciones. Esto exige la creación de un proceso continuo, dinámico e interactivo que sirva para promover una cultura de respeto de los derechos humanos, las leyes y las libertades fundamentales, al tiempo que brinda a los clientes un nivel de servicio que apoye si misión. El respeto por la vida y la dignidad humana es el principio fundamental subyacente de esta norma. Las organizaciones que ejecutan o contratan operaciones de seguridad y sus clientes tienen la obligación de respetar la vida y la dignidad humana de las partes interesadas tanto internas como externas (incluida la comunidad en general). Al usar esta norma, las organizaciones pueden extender mejor los riesgos que enfrentan y desarrollar estrategias preventivas para: a) gestionar los riesgos para la vida y la propiedad de aquellos están obligadas a proteger en términos contractuales; b) apoyar los objetivos del Montreux Document n Pertinent International Legal Obligations and Good Practices for States related to Operations of Private Military and Security Companies during Armed Conflict del 17 de septiembre de 2008, el international Code of Conduct for Private Military and Security Companies during Armed Conflict del 17 de septiembre de 2008, el international Code of Guiding c) demostrar el compromiso, la conformidad y la rendición de cuentas con respecto a los derechos humanos, las leyes y las libertades fundamentales; d) reducir el riesgo y apoyar al negocio y la misión operacional; e) gestionar con éxito un evento indeseable o perturbador desarrollando una estrategia y planes de acción para proteger su interés y de sus clientes y otras partes interesadas. Norma de Estudio NTC-ISO 18788 La planificación y preparación adaptables y preventivas para eventos indeseables y perturbadores potenciales ayudaran a reducir la probabilidad y las consecuencias de un evento. El proceso de gestión holística puede ayudar a evitar o minimizar la interrupción o suspensión de los servicios y las operaciones críticos para la misión. Esta norma suministra guía o recomendaciones para cualquier organización que preste o contrate operaciones de seguridad para identificar y desarrollar las mejores prácticas para facilitar y promover acciones para: a) reducir los riesgos a través de sus operaciones y cadena de suministro (incluidos los subcontratistas); b) proporcionar a la alta dirección visión y liderazgo orientados para las estrategias de protección de los activos tangibles e intangibles, al tiempo que se respetan los derechos humanos, las leyes y las libertades fundamentales; c) identificar y evaluar los riesgos críticos para su éxito a corto y largo plazo; d) minimizar la probabilidad y las consecuencias de una amplia variedad de peligros y amenazas; e) entender, proporcionar y aplicar la capacitación en el respeto de los derechos humanos; f) entender los roles y las responsabilidades que se necesitan para proteger los activos y fomentar la misión; g) gestionar las medidas y recursos para responder ante incidentes; h) desarrollar, someter a prueba y mantener planes de prevención y respuesta ante incidentes, y procedimientos operativos asociados; i) desarrollar y ejecutar la capacitación y los riesgos para apoyar y evaluar la prevención, protección, preparación, mitigación, respuesta y recuperación, así como los procedimientos operativos; j) desarrollar y ejecutar programas de capacitación para dar apoyo a las operaciones que requieren el uso de la fuerza, k) desarrollar procedimientos de comunicaciones internas y externas que incluyan la respuesta a las solicitudes de información por parte de los medios de comunicación o del público; l) establecer métricas para medir y demostrar el éxito; m) documentar los recursos claves, la infraestructura, las tareas y las responsabilidades que se requieren para sustentar las funciones operativas criticas; n) establecer procesos que garanticen que la información permanece segura, actual y pertinente para los riesgos y el ambiente operativo cambiantes. El éxito del sistema de gestión depende del compromiso en todos los niveles y las funciones de la organización, especialmente de su alta dirección, aquellos que toman las decisiones deberían estar preparados para hacer el presupuesto y asegurar los recursos necesarios para hacer que esto suceda. Es necesario implementar una estructura administrativa apropiada para tratar con eficacia la prevención, la mitigación y la gestión, Esto asegurara que todas las partes involucradas entiendan quien toma las decisiones, cómo se implementan las decisiones y cuáles son los roles y las responsabilidades de todas las personas que trabajan en nombre de la organización. Esta norma impulsa una cultura de operaciones de seguridad dentro de la organización en donde todas las actividades de seguridad están vinculadas inextricablemente al respecto a los derechos humanos, las leyes y las libertades fundamentales. Los clientes de la organización que ejecutan o contratan operaciones de seguridad tienen un interés inherente en asegurar que las organizaciones acatan los principios de esta norma, dado que las acciones de una organización se reflejan directamente en sus clientes, en particular cuando el cliente es una entidad del gobierno. Las consecuencias de actos impropios, ilegales y excesivos por parte de una organización que ejecuta o contrata operaciones de seguridad pueden ir desde avergonzar a un cliente, pasando por riesgos para la reputación y responsabilidades legales, perturbación critica de la diplomacia y los esfuerzos de ayuda y reconstrucción, hasta el aumento de las amenazas. Por lo tanto, cuando contratan los servicios de las organizaciones, los clientes también están interesados en asegurar que los contratos reflejen la implementación transparente de un SGOS. A.2 DERECHOS HUMANOS Y DERECHO INTERNACIONAL HUMANITARIO A.2.1 Generalidades La discusión sobre los derechos humanos y el derecho internacional humanitario en esta sección es un resumen amplio; se debería buscar asesoría legal antes de ejecutar operaciones de seguridad en cualquier ambiente particular. Consulte la bibliografía con respecto a algunos instrumentos internacionales aplicables. A.2.2 Derechos humanos A.2.2.1 Generalidades Con base en el Montreux Document n Pertinent International Legal Obligations and Good Practices for States related to Operations of Private Military and Security Companies during Armed Conflict del 17 de septiembre de 2008, el internacional Code of Conduct for Private Security Service Providers (ICoC) del 9 de 2010 y Guiding Principles for Business and Human Right; Implementing the United Nations “Protect, Respect and Remedy” Framework del 21 de marzo de 2011, cuando aparece el término “derechos humanos” en esta Norma, se refiere a los derechos y las libertades articuladas en la ley del derecho internacional humanitario a que tienen derecho todas las personas sin discriminación. Los derechos humanos son universales e interrelacionados, son interdependientes, inalienables e indivisibles. Ellos se articulan tanto en el derecho nacional como internacional. Para los propósitos de esta norma, las organizaciones que ejecutan o contratan operaciones de seguridad deberían respetar todos los derechos humanos no derogables, tales como: - el derecho a la vida; - libertad frente al genocidio y los crímenes contra la humanidad; - libertad frente a la tortura, el tratamiento o castigo cruel, inhumano o degradante; - libertad frente a la esclavitud, el comercio de esclavos y la servidumbre; - los derechos al debido proceso, tratamiento igualitario - el derecho a la libertad frente a la aplicación retroactiva de las penales; - libertad frente a la discriminación. A.2.2.2 Autodefensa y defensa de otros El propósito de una organización que se ejecuta o contrata operaciones de seguridad, es permitir el derecho a la vida en circunstancias que son inherentemente instables y peligrosas, haciéndolo de manera que no se violen otros derechos humanos. Esta norma reconoce la importancia fundamental de la autodefensa para proteger el derecho a la vida. Esta norma reconoce la importancia fundamental de la auto defensa para proteger el derecho a la vida. La autodefensa le permite al individuo usar en autodefensa o defensa de otros cuando es razonable y necesaria para prevenir la muerte o el daño corporal grave. A.2.3 Derecho internacional humanitario a) comprometerse con métodos y medios de guerras limitadas; b) distinguir entre aquellos que participan directamente en las hostilidades y la población civil (no combatientes); c) limitar los ataques únicamente a objetivos militares; d) evitar el daño innecesario a la población civil y la propiedad; e) abstenerse de causar daño o matar al adversario que se rinde o que ya no puede tomar parte en la lucha; f) tratar humanitariamente atado a las personas que no toman parte activa en las hostilidades (incluidos los adversarios que se han rendido, están heridos o enfermos); g) abstenerse de la tortura física o mental o de ejecutar castigos crueles. Las obligaciones legales internacionales que se aplican particularmente a las ESP se especifican en el Montreux Document, parte 1, párrafos 22-27 Norma de Estudio NTC-ISO 18788 Durante el conflicto armado, el personal de operaciones de seguridad normalmente se considera civil bajo el DIH. Como civiles, el personal de operaciones de seguridad no puede ser objeto de un ataque directo, a menos y durante el tiempo que participe directamente en las hostilidades. Bajo las condiciones de esta norma las organizaciones que ejecutan o contratan operaciones de seguridad y su personal no tienen privilegios de involucrarse en el combate ni ejecutar ningún otro acto que probablemente deteriore directamente las operaciones militares o la capacidad de una parte en el conflicto. Esta restricción generalmente implica que el personal de operaciones de seguridad no puede, por ejemplo, atacar a fuerzas enemigas armadas ni defender un objetivo militar contra un ataque por parte del personal de las operaciones de seguridad no está prohibida por el DIH s es capturado, el personal de operaciones de seguridad que esté autorizado a acompañar a las fuerzas armadas no pierde ningunos derechos existentes para los prisioneros de guerra como resultado de su participación directa en las hostilidades. Sin Embargo, directa en las hostilidades. Sin embargo, como civiles sin privilegios de combatientes, como civiles sin privilegios de combatientes, el personal de operaciones de seguridad puede ser responsable bajo la ley criminal y de responsabilidad civil de cualquier lesión grave o muerte infringida otras a otros o la destrucción de propiedad que comentan, independientemente del estado de prisionero de guerra, al personal de operaciones de seguridad capturado tiene derecho a condiciones de detención adecuadas y humanas. La autodefensa y la defensa de otros contra ataques ilegales es un derecho inherente y no lo participación directa en hostilidades. Este derecho a la autodefensa se aplica incluso si los atacantes son miembros de las fuerzas por parte del personal de operaciones de seguridad para resistir ataques no hace que pierdan su estado de protección como civiles. Sin embargo, el fuego defensivo contra un ataque ilegal o para oponerse a él de algún otro modo (p. ej., por una de las partes del conflicto armado contra un objetivo militar de la parte enemiga) se podría considerar participación directa en las hostilidades, lo cual resultaría en la pérdida del estatus de protección durante dicha acción. El personal de operaciones de seguridad puede ser acusado y culpado de violaciones graves del derecho internacional, por ejemplo, de crímenes de guerra y crímenes contra la humanidad. Estos crímenes tienen jurisdicción extraterritorial con diversos grados de aplicación. Algunos estados y organizaciones internacionales promueven un concepto de jurisdicción extraterritorial con diversos grados de aplicación. Algunos estados y organizaciones interrelacionados promueven un concepto de jurisdicción universidad para tales crímenes. Según este concepto, es posible que las personas acusadas de tales crímenes según llevadas ante la justicia en cualquier país, ante cualquier juez. Los directores, gerentes y supervisores del personal de operaciones de seguridad también pueden ser responsable de tales crímenes cometidos por el personal bajo su autoridad efectiva, ya sea debido a ordenes o instrucciones que han dado o al fracaso de los supervisores de las operaciones de seguridad para ejercer el control apropiado sobre su personal. Las compañías también pueden ser responsables bajo el derecho penal de la responsabilidad civil o evaluación. Con base en la evaluación del riesgo, se recomienda que la organización consulte asesores legales apropiados con respecto a la interpretación y la ley en la evaluación. Las organizaciones que operan en condiciones de conflicto armado deberían implementar la capacitación más exhaustivas de las personas que trabajan en su nombre para incluir, sin limitarse a: a) la diferencia entre autodefensa/defensa de otros y participación directa en las habilidades; b) crímenes individuales específicos, tales como tortura y otro tratamiento inhumano, de los que podrían ser acusados como crímenes de guerra o crímenes contra la humanidad; c) consideraciones específicas para el uso de la fuerza en conflictos armados internacionales y no internacionales, para incluir las diferencias entre el conflicto armado internacional y conflicto armado sin carácter internacional y el estado de los diversos grupos beligerantes y grupos armados no estatales; d) la diferencia entre el uso de procedimiento de fuerza y las reglas de participación propias de las fuerzas armadas; e) las circunstancias en las cuáles la organización y las personas que trabajan en su nombre se pondrían a considerar beligerantes o incorporadas en las fuerzas armadas. A.2.4 Derecho internacional consuetudinario El derecho internacional consuetudinario hace referencia a las reglas de la ley que se derivan de la conducta consistente da los estados que actúan por la creencia de que la ley les exige actuar de esa manera. Los elementos del derecho internacional consuetudinario incluyen la repartición generalizada por parte de los estados de actos internacionales similares con el paso del tiempo (practica estatal), los actos que se producen por el sentido de obligación y los actos que son aceptadas por un número significativo de estados. A.2.5 Derecho internacional sobre derechos humanos El derecho internacional sobre derechos humanos hace referencia al cuerpo de leyes internacionales que está diseñado para promover y proteger los derechos humanos y consistente en tratados y acuerdos entre los derechos humanos y consiste en tratados y acuerdos entre los estados. El derecho internacional sobre derechos humanos es vinculante para todos los estados y sus agentes. Las normas internacionales de derechos humanos se hacen cumplir a través de leyes nacionales y diversas cortes y tribunales nacionales y regionales, así como la carta estatuaria de la ONU, y mecanismos que se basan en los tratados. Los principios que se describen en el ICoC están destinados a orientar a la organización en el desarrollo y la implementación de la política y procedimientos que sean coherentes con los objetivos del derecho internacional sobre derechos humanos. A.3 ENFOQUE EN LOS SISTEMAS DE GESTIÓN Un sistema de gestión es un proceso dinámico y multifacético, en el cual cada elemento interactúa como un conjunto estructurado de unidades funcionales. Este proporciona un marco de referencia que se basa en la premisa de las partes componentes de un sistema se pueden comprender mejor cuando se visualizan en el contexto de las relaciones entre ellas y con otros elementos de un sistema y no de manera aislada. La única manera de comprender e implementar a cabalidad produce un proceso un proceso interactivo en el cual el establecimiento del contexto y la política, la serie de pasos consecutivos, son una red de funciones que interactúan. El enfoque en los sistemas de gestión se caracteriza por: a) la comprensión del contexto y el ambiente en el que operan los sistemas; b) la identificación de los elementos claves del sistema, así como de los límites de este; c) la comprensión del rol o la función de cada elemento en el sistema; d) la comprensión de la interacción dinámica entre los elementos del sistema. El enfoque en los sistemas garantiza que se desarrollen estrategas y políticas históricas proporciona una base analítica para el desarrollo de estrategias y políticas que se han de implementar en el ambiente complejo y cambiante en el cual funciona la organización. El establecimiento de un marco de referencia para evaluar los riesgos y la eficacia de las estrategias y las políticas, antes y durante la implementación, proporciona un bucle de retroalimentación para la toma de decisiones a través de todo el proceso. A.4 CONTEXTO DE LA ORGANIZACIÓN A.4.1 Comprensión de la organización y su contexto A.4.1.1 Generalidades Con el fin de gestionar los riesgos y promover una cultura de respeto de los derechos humanos, la organización requiere de conocimiento y comprensión de los factores internos y externos que puede influir en sus operaciones de seguridad y tener impacto en las partes interesadas. La organización establece el contexto de su SGOS mediante la identificación y la comprensión de las influencias internas y externas y del ambiente en el cual opera. Al establecer el contexto la organización puede definir el campo de aplicación de su SGOS y diseñar un marco apto para el propósito de gestión de las operaciones de seguridad. Esto debería ayudar a asegurar que la organización satisface los objetivos, las necesidades y los intereses de las partes interesadas internas y externas. El contexto determinará los criterios para la gestión del riesgo de la organización, los clientes y las comunidades que sufren el impacto, suministrando así una base para establecer los criterios del riesgo y los parámetros para los procesos de evaluación del riesgo y de su tratamiento. Durante el proceso de establecimiento del contexto interno y externo, la organización debería identificar sus activos tangibles e intangibles significativos. Esto incluye la identificación de la importancia relativa de diversos tipos de activos con respecto a la viabilidad y el éxito de la organización. A.4.1.2 Contexto interno Al establecer el contexto interno de la organización es importante considerar: a) los factores internos que afectan a las operaciones de seguridad y el ambiente operativo de la organización; b) las partes interesadas internas que imponen y toman riesgos; c) las partes interesadas internas sobre las que recae los impactos de los riesgos; d) los factores que influyen la aceptación del riesgo. A.4.1.3 Contexto externo a) los factores de riesgo que se asocian al sector industrial y el ambiente operativo; b) los factores externos que afectan a las operaciones de seguridad y al ambiente operativo de la organización; c) las partes interesadas externas que imponen y toman riesgos; d) las partes interesadas externas sobre las que recaen los impactos de los riesgos relacionados con las operaciones de seguridad; e) los factores que influyen en la capacitación en la aceptación del riesgo por parte de las partes interesadas externas. A.4.1.4 Mapeo y análisis de la cadena de suministro y el subcontratista La gestión de los riesgos en la cadena de suministro, incluidos los contratistas y las fuerzas locales sometidas al contrato, exige la comprensión de la cultura y el ambiente de dichas entidades, así como del contexto total de su cadena de suministro. Cada nodo de la cadena de suministro de la organización implica un conjunto de riesgos y procesos de gestión que es necesario manejar. Las cadenas de suministro y el empleo de subcontratistas son partes integrantes de las operaciones de seguridad. Aunque existe la interdependencia significativa dentro de la cadena suministro, cada nodo individual de una cadena es único en determinados aspectos: esta singularidad puede exigir enfoques individualizados para la gestión de los riesgos implicados, por lo tanto. Para gestionar los riesgos dentro de una cadena de suministro, es necesario que la organización identifique: a) el rol de las organizaciones y los individuos en cada nivel, tanto aguas arriba como aguas debajo de cadena o red de suministro; b) la comprensión de las interdependencias y la infraestructura de soporte critica para el éxito de la misión; c) la manera en que cada nodo juega un papel en agregar valor el desempeño de otros elementos de la cadena, directa o indirectamente; d) determine como cada nodo tiene el potencial de contribuir al perfil de riesgo de la organización, tanto positiva como negativamente; e) evaluar cómo cada nodo ejerce alguna influencia en el éxito para minimizar el riesgo durante la implementación del sistema de gestión. Norma de Estudio NTC-ISO 18788 Cuando se lleva a cabo el análisis de los nodos, la organización debería reconocer que las decisiones que se toman en nodos individuales tienen implicaciones potenciales en toda la cadena. Por lo tanto, es necesario comprender y controlar los factores de riesgo en toda la cadena. Por lo tanto, es necesario comprender y controlar los factores de riesgo en toda la cadena de suministro para la implementación exitosas del SGOS. A.4.1.5 Definición de los criterios del riesgo La organización debería entender y definir sus criterios para evaluar la importancia del riesgo. Los criterios para evaluar la importancia del riesgo. Los criterios del riesgo deberían reflejar los valores, objetivos y recursos de la organización, así como el contexto de sus operaciones de seguridad. Los criterios del riesgo establecerán la organización, así como el contexto de sus operaciones de seguridad. Los criterios del riesgo establecerán las referencias para medir los factores de riesgo y las necesidades de tratamiento del riesgo. A.4.2 Comprensión de las necesidades y expectativas de las partes interesadas La organización debería identificar y mantener un registro de las partes interesadas que son pertinentes para las operaciones de la organización y los requisitos de esta norma, y documentar su compromiso con las partes interesadas. También debería considerar los requisitos, las percepciones, los valores, las necesidades, lo intereses y la tolerancia al riesgo de las partes interesadas pertinentes. Las partes interesadas pertinentes incluyen, entre otras: a) clientes y usuarios; b) usuarios finales; c) socios en la cadena de suministro y la contratación externa; d) autoridades competentes responsables de la seguridad doméstica y de otorgar licencias o autorizaciones, y de los reglamentos para las operaciones de seguridad privada; e) las comunidades locales dentro del campo de aplicación de esta norma (p. ej., la comunidad donde se llevan a cabo las operaciones de seguridad); f) el estado del personal expatriado empleado por la organización o con el cual la organización adquiere materiales y otros activos; g) las organizaciones no gubernamentales y organizaciones internacionales dentro de su ambiente operativo; h) los medios de comunicación. A.4.3 Determinación del campo de aplicación del sistema de gestión de las operaciones de seguridad. La organización define los límites para la implementación de su SGOS. Esta puede elegir implementar el SGOS en toda la organización, en unidades operativas específicas, en lugares geográficos discretos, o en flujos de cadenas de suministro definidos. Estos límites del campo de aplicación reflejan los objetivos de la alta dirección para el SGOS, y el tamaño, la naturaleza y la complejidad de la organización del SGOS, todos los activos, las actividades, los productos y los servicios dentro de dicho capo de aplicación se convierte en elementos de interés dentro del SGOS. La organización debería justificar todas las exclusiones con respecto al campo del SGOS utilizando la evaluación del riesgo en la justificación. Las exclusiones pueden incluir la incapacidad de una organización para controlar determinados servicios y operaciones; sin embargo, las exclusiones no invalidaban las responsabilidades y obligaciones de las organizaciones con respecto a los derechos humanos, las leyes y las libertades fundamentales. El campo de aplicación debería asegurar la integridad de la organización y las operaciones de sus clientes. La creatividad del SGOS depende de la elección de los limites organizaciones que se definen en el campo de aplicación. Las organizaciones ejecutan las operaciones de seguridad en una amplia variedad de ambiente en donde los factores de riesgo pueden diferir. Con base en el texto de las operaciones de seguridad y la evaluación del riesgo, la declaración de aplicabilidad debería documentar las secciones pertinentes de este anexo que aplican al establecimiento del SGOS dentro del campo de aplicación definido. Las actividades subcontratadas o contratadas externamente siguen siendo responsabilidad de la organización y se deberían incluir dentro del SGOS. Si un producto, servicio o actividad subcontratada externamente o parte de la cadena de la organización. Permanecen bajo control de la gestión y la rendición de cuentas con respecto a los riesgos de la organización, entonces la alta dirección debería ubicarlos dentro del campo de aplicación del SGOS. La organización debería hacer los arreglos apropiados y tomar las medidas adecuadas para asegurar que se implementen acuerdos de gestión de las operaciones de seguridad eficaces con sus subcontratistas y socios en la contratación externa. El nivel de detalle y complejidad del SGOS, la amplitud de la documentación exigida y los recursos comprometidos con el SGOS deberían orientar la declaración del campo de aplicación del SGOS. Cuando la organización implementa esta norma para una unidad operativa específica, la organización puede usar políticas, los planes y procedimientos aplicables que han desarrollado otras partes de la organización: a) establezca una política apropiada para la gestión de las operaciones de seguridad; b) valore y gestione los riesgos relacionados con las operaciones de seguridad de la organización; c) identifique los requisitos legales aplicables y otros requisitos a los que se suscribe la organización; d) identifique las prioridades y establezca los objetivos y las metas para la gestión apropiada de las operaciones de seguridad; e) establezca una estructura y programas para implementar la política y lograr los objetivos y las metas; f) facilite la planificación, el control, el monitoreo, las acciones preventivas y correctivas y las actividades de auditoria y revisión, con el fin de asegurar tanto que la política cumple con el SGOS como que tal sistema sigue siendo apropiado; g) pueda adaptarse a las circunstancias cambiantes. A.5 LIDERAZGO A.5.1 Liderazgo y compromiso A.5.1.1 Generalidades La alta dirección de la organización (p. ej., el director ejecutivo) debería demostrar su compromiso y resolución para implementar el SGOS en la organización. Sin el compromiso de la alta dirección, ningún sistema de gestión puede tener éxito. La alta dirección debería demostrar a sus partes interesadas internas y externas su compromiso visible con el respeto de los derechos humanos, las leyes y las libertades fundamentales en la prestación de las operaciones de seguridad. Para iniciar y sostener el esfuerzo del SGOS, la alta dirección debería comunicar a todas las personas que trabajan en su nombre la importancia de: a) hacer que la competencia individual y la organización en la ejecución de las operaciones de seguridad sea inherente en todo lo que hace la organización; b) respetar los derechos humanos, las leyes y las libertades fundamentales como un componente integral de todas las operaciones de seguridad; c) integrar la gestión de las operaciones de seguridad de toda la organización; d) analizar los problemas como oportunidades de mejora. La alta dirección debería suministrar evidencia de su compromiso con el desarrollo y la implementación del SGOS y la mejora continua de su eficacia a través de; a) la comunicación en toda la organización de la importancia de cumplir los requisitos de esta norma; b) el establecimiento y la comunicación de la política y los criterios del riesgo; c) asegurar que los objetivos de las operaciones de seguridad se establecen en todos los niveles y funciones; d) asegurar que las responsabilidades y autoridades para los roles pertinentes del sistema de gestión se asignan y comunican dentro de la organización; e) asignar recursos apropiados para el sistema de gestión; f) asegurar la competencia y capacitación de las personas que trabajan en nombre de la organización; g) demostrar el compromiso con el sistema de gestión y la minimización del riesgo; h) promover la toma de conciencia sobre el riesgo y los requisitos del SGOS en toda la organización; i) el liderazgo mediante el ejemplo; j) participar en revisiones e impulsar el proceso de mejora continua. Es esencial que la alta dirección de la organización patrocine, proporcione los recursos necesarios y tome responsabilidad en la creación, el mantenimiento, el sometimiento a prueba y la implementación de un SGOS es una prioridad para la alta dirección. Es igualmente fundamental que la alta dirección acoja un enfoque “vertical” para el SGOS, de manera que los directivos en todos los niveles de la organización entiendan la rendición de cuentas con respecto al mantenimiento del sistema como parte de las prioridades de gobernabilidad general. A.5.1.2 Declaración de conformidad La declaración de conformidad establece y comunica el compromiso de la alta dirección con la ejecución de operaciones de seguridad consistentes con las responsabilidades de la organización en el respeto de los derechos humanos al implementar los requisitos de esta norma y los siguientes: a) International Code of Conduct For Private Security Service Providers; b) Montreux Document on Pertinent International Legal Obligations and Good Practices For States related to Operations of Private Military and Security Companies during Armed Conflict: c) Guiding Principles on Business and Human Rights; Implemeting the United Nations “Protect, Respect and Remedy” Framework 2011; d) Y cualquier otra norma de derechos humanos reconocida y aplicable en el ámbito internacional. A.5.2 Política La política para las operaciones de seguridad es un impulsor para implementar y mejorar el SGOS de una organización. Por lo tanto, esta política debería reflejar el compromiso de la alta dirección para: a) Respetar la vida humana y la dignidad como prioridad fundamental; b) Evitar, prevenir y reducir la probabilidad y las consecuencias de eventos perturbadores e indeseables; c) Cumplir los requisitos legales y otros requisitos; d) Respetar los derechos humanos; e) La mejora continua. La política para las operaciones de seguridad es el marco de referencia que forma la base sobre la cual la organización establece sus objetivos y metas. Esta política debería ser suficientemente clara para que pueda ser entendida por todas las partes interesadas internas y externas y se debería revisar y verificar periódicamente para reflejar la naturaleza única, la escala y los impactos de los riesgos de sus actividades, funciones, productos y servicios. La política para las operaciones de seguridad se debería comunicar a todas las personas que trabajan en nombre de la organización, incluidos clientes, socios en la cadena de suministro, subcontratistas y miembros pertinentes de la comunidad local. La comunicación con los subcontratistas y otras partes externas puede tener formas alternas a la declaración de la política en sí misma, por ejemplo, las reglas, directivas y procedimientos. La alta dirección debería definir y documentar la política para las operaciones de seguridad de la organización dentro del contexto de la política para las operaciones de seguridad de cualquier organismo cooperativo más amplio del cual haga parte y con la aprobación de dicho organismo. Corporativo más amplio del cual haga parte y con la aprobación de dicho organismo. A.5.3 Roles, responsabilidades y autoridades en la organización La gestión del riesgo no es solo responsabilidad de la alta dirección. Para que un SGOS sea eficaz, es necesario que cada persona que trabaje en nombre de la organización lo implemente. Este es un enfoque vertical ascendente y descendente. Es necesario que la protección de los derechos humanos y la gestión del riesgo se convierten deberían ser gestores del riesgo. Por ende, los roles, las responsabilidades y autoridades de las personas que trabajan en nombre de la organización dentro del campo de aplicación del SGOS se deberían definir y comunicar con claridad. El sistema de gestión es implementado por las personas dentro de la organización se debería asignar y empoderar a una más persona calificada para implementar, poner a prueba o en práctica del SGOS y mantenerlo. La alta dirección debería llevar a cabo sus propias revisiones y auditorias periódicas de la totalidad del SGOS. Se puede asignar a un equipo de planificación de la gestión de las operaciones de seguridad que incluya a los altos líderes provenientes de todas las funciones organizacionales importantes y de grupos de apoyo para asegurar la aceptación amplia del SGOS. A.6 PLANIFICACIÓN A.6.1 Acciones para tratar los riesgos y las oportunidades A.6.6.1 Generalidades Norma de Estudio NTC-ISO 18788 Las organizaciones que ejecutan o contratan opresiones de seguridad funcionan inherentemente en circunstancias de incertidumbre y riesgo. Es necesario que ellas gestionen el riesgo para el cliente, al tiempo que también gestionan el riesgo para la organización alcance sus objetivos tácticos, operativos y empresariales dentro del contexto de la protección de la vida y la propiedad de sus clientes, de las personas que trabajan en su nombre y de las comunidades locales, al tiempo que también gestionan el riesgo para la organización y por lo tanto es intrínsecamente un objetivo del negocio que exige debida diligencia con los respectos derechos humanos para lograr la misión operativa y al tiempo que se respetan los derechos humanos y se cumplen las leyes locales, nacionales e internacionales. El reto es valorar, evaluar y tratar el riesgo y la incertidumbre con el fin de gestionarlos de manera efectiva en términos de costo, al tiempo que se satisfacen los objetivos operativos y estratégicos de la organización y del cliente. La evaluación del riesgo proporciona una comprensión clara del ambiente de riesgo con el fin de que organización identifique los riesgos y tome decisiones informadas para priorizar el tratamiento de estos. El proceso de evaluación del riesgo brinda una comprensión de los riesgos para las partes interesadas internas y externas que podrían afectar el logro de los objetivos operativos y empresariales de la organización. Se pretende crear un proceso sistemático para que la organización identifique, analice y evalué los riesgos para determinar aquellos que son significativos para la organización y sus partes interesadas. La evaluación del riesgo brinda una base para evaluar lo idoneidad y eficacia de los controles implementados actualmente, así como para las decisiones sobre los enfoques más adecuados a utilizar en la gestión y tratamiento de los riesgos. Esta identificada aquellos riesgos que se deberían tratar como prioridad por parte del SGOS de la organización. La evaluación del riesgo suministra el fundamento para establecer objetivos, metas y programas dentro del sistema de gestión, así como para medir la eficacia del SGOS. A.6.1.2 Requisitos legales y otros A.6.1.2.1 Generalidades La organización debería identificar y comprender los requisitos legales, reglamentarios y contractuales que afectan el logro de sus objetivos. Estos pueden incluir requisitos locales, nacionales e internacionales y legales reglamentarios. La identificación y la comprensión de estos requisitos ayuda a asegurar la conformidad legal, prevenir los litigios, minimizar la responsabilidad civil, mejorar la imagen de la organización y fomentar la capacidad de la organización para prestar a sus clientes servicios de protección responsables. La organización debería establecer, implementar e incorporar en sus procesos, medidas para identificar, cumplir y evaluar los requisitos legales y voluntarios aplicables, que incluyen (entre otros) los siguientes: a) Requisitos legales locales, nacionales e internacionales aplicables y pertinentes, reglamentarios y otros relacionados con sus actividades y operaciones, y aquellos de los subcontratistas o empresas conjuntas dentro del campo de aplicación de esta norma. b) Derecho internacional humanitario y derecho internacional sobre humanos pertinentes, que incluyen, pero no se limitan a la prohibición de la tortura u otro tratamiento cruel, inhumano o degradante; conocimiento y prohibición de la explotación o el abuso sexual o de la violencia con base en el género, la prevención y el reconocimiento del tráfico y la esclavitud de personas. c) Leyes y códigos de empleo y ambiente nacionales e internacionales que sean aplicables. d) Medidas nacionales e internacionales contra soborno, corrupción y crímenes similares. e) Procesos para el cumplimiento de leyes locales, nacionales e internacionales en lo que respecta a adquisición, licencia y transporte de armas de fuego (y otras mercancías controladas tales como armaduras corporales y explosivos) para el uso en sus operaciones de seguridad. f) Cualquier código o convención voluntaria a la cual se suscribe a la organización. Estos pueden incluir UN Guiding Principles on Bussiness and Human Rights (UNGPs), el International Code of Conduct for Private Security Providers (ICoC) y voluntary Principles on Security and Human Rights (VPs) Ejemplos de otros requisitos a los cuales se puede suscribir la organización incluyen, si así corresponde: a) Obligaciones empresariales, contractuales y otras; b) Acuerdos con autoridades, grupos comunitarios u organizaciones no gubernamentales; c) Acuerdos con los clientes; d) Lineamiento no reglamentario; e) Principios o códigos de practica voluntarios; f) Compromisos de administración de producto o servicio (p. ej., garantías); g) Requisitos de asaciones comerciales; h) Compromisos públicos de las organizaciones o sus organizacionales partes; i) Protocolos no vinculantes; j) Requisitos de cuidado médico; k) Obligaciones financieras; l) Responsabilidad social y compromisos ambientales; m) Requisitos de formación sobre identidad, confidencialidad y privacidad. El Montreux Document, sección 1, párrafo E, resume las obligaciones legales internacionales pertinentes que se aplican a las organizaciones y su personal cuando ejecutan o contratan operaciones de seguridad. Las obligaciones legales especificas varían por jurisdicción, lugar geográfico, tipo y naturaleza de las operaciones, y el lugar, el tipo y la naturaleza de los clientes de la organización. Por lo tanto, es importante que la organización que sea conscientes de sus obligaciones dentro del contexto de su ambiente operativo. La organización debería definir y documentar controles operativos específicos, así como las responsabilidades individuales para cumplir estos requisitos. A.6.1.2.2 La organización debería aplicar los principios y las directrices sobre la implantación que se indican en ISO 31000, como se ilustra en la Figura A.1. Norma de Estudio NTC-ISO 18788 NOTA Fuente: ASIS Internacional El proceso de evaluación del riesgo se realiza dentro del contexto interno y externo de la organización. La evaluación del riesgo es el proceso global de identificación, análisis y evolución del riesgo, como se describe a continuación: a. Identificación del riesgo: proceso para identificar, clasificar, documentar y clasificar los riesgos por medio del análisis de amenazas, de la criticidad, a la vulnerabilidad y de los riesgos para los derechos humanos. El proceso analiza las fuentes y las causas del riesgo, así como eventos y situaciones y circunstancias que pueden tener impacto en la organización y sus partes interesadas La identificación debería incluir todas las fuentes de riesgo que pueden impedir que la organización logre sus objetivos empresariales, tácticos y operativos, incluidos los derechos, la protección y seguridad de los clientes, de las personas que trabaja en nombre de la organización y otras partes interesad internas y externas. Norma de Estudio NTC-ISO 18788 b. c. Análisis del riesgo: procesos para el desarrollo de la compresión del riesgo y su nivel. Este proporciona la base para determinar cuáles riesgos se deberían tratar y el método más adecuado para tratarlos. Este proceso analiza las cusas y las fuentes del riesgo, sus consecuencias (incluida la gravedad) y la probabilidad de que pueda ocurrir y el incidente y sus consecuencias asociadas. La organización debería determinar cuáles son las consecuencias de un evento en las partes interesadas, si se materializa la amenaza. El nivel del riesgo está en función de la probabilidad, la gravedad de las consecuencias y proporciona lavase para priorizar los riesgos que es necesario tratar. Evolución del riesgo: procesos de comparar los niveles de riesgo estimados con los criterios de riesgo que se definieron al establecer el contexto. Este determina la importancia del nivel y el tipo de riesgo. La evaluación del riesgo utiliza la comprensión del riesgo que se ganó en el análisis del riesgo con el fin de tomar las decisiones acerca de las estrategias que se requieren para priorizar, controlar y tratar los riesgos. A.6.1.2.3 Análisis del riesgo para los derechos humanos El análisis del riesgo para los derechos humanos es el proceso de identificar, valorar y documentar los riegos relacionados con los derechos humanos y sus impactos, con el fin de gestionar el riesgo y mitigar o prevenir los impactos adversos en los derechos humanos e infracciones legales. En ocasiones también se denomina “evaluación del riesgo ora los derechos humanos”. El análisis del riesgo para los derechos humanos debería valorar los resultados tanto negativos como positivos de los riesgos. Los impactos negativos se clasifican y priorizan en términos de la gravedad de las consecuencias de un evento con riesgo. La evaluación de los resultados positivos del riesgo puede brindar oportunidades para mejorar el ambiente del riesgo de las partes interesadas. El análisis de riego parta los derechos humanos es parte integral del proceso la de la evaluación del riesgo. La realización de un análisis completo del riesgo para los derechos humanos brinda una base para identificar, evaluar, gestionar y documentar los riegos con el fin de prevenir, mitigar, y considera los abusos de los derechos humanos y las infracciones legales, y forma parte de la de la debida diligencia necesaria para evitar la implicación de la organización en abusos e derechos humanos e infracciones legales. La organización debería identificar los riesgos potenciales y reales para los derechos humanos relacionados con sus actividades o vinculados directamente a sus relaciones empresariales y sus fuentes potenciales, así como analizar su probabilidad, gravedad y consecuencias para priorizar los riesgos e implementar medidas adecuadas para prevenirlos, mitigarlos y considerarlos. Procesos para el análisis del riesgo para los derechos humanos: a) b) Valorar los riesgos relacionados directamente con las actividades de las operaciones de seguridad de la organización y que se vinculan con sus clientes, subcontratistas, socios en contratación externa, cadena de suministro y otras relaciones empresariales. Incluir comunicaciones y consultas importantes con las partes interesadas internas y externas que sufren el impacto del resiego y las actividades asociadas. c) d) Identificar y obtener la experticia en derechos humanos que son necesarias para llevar a cabo el análisis del riesgo para los derechos humanos y demostrar la exclusividad del proceso para valorar los riesgos para los derechos humanos. Documentar el proceso de evaluación del riego con propósitos de revisión, integración y actualización de los hallazgos, trazabilidad de la eficacia de las respuestas, comunicaciones externas y reporte acerca de cómo se tratan los impactos, y protección contra litigios. A.6.1.2.4 Consideraciones en proceso de evaluación del riesgo La evaluación del riesgo proporciona una comprensión del riesgo, sus causas, probabilidad, gravedad y consecuencias. Por ende, la organización debería realizar una evaluación exhaustiva del riesgo dentro del campo de aplicación de su SGOS, considerado con los elementos de entrada y de salida (tanto intencionados como no intencionados) que se asocian con: a. b. c. d. Sus actividades, productos y servicios; Las interacciones con el ambiente y la comunidad; Las relaciones con las partes interesadas internas y externas; La infraestructura y las interdependencias. La evaluación de riesgo debe incluir un análisis detallado y una evaluación de las incertidumbres que se asocian al logro exitoso de la misión de la organización y a su responsabilidad en respeto de los derechos de todas las partes interesas, por ejemplo (entre otros) los siguientes: a. b. c. d. e. f. g. Riesgos tactitos relacionados con la misión y las operaciones; Riesgos relacionados con la reputación de la organización y el cliente; Implicaciones políticas, económicas y sociales de la organización; Amenazas y consecuencias para las personas que trabajan en nombre de la organización; Amenazas y consecuencias para las comunidades locales y otras partes interesadas e impacto potencial de las opresiones en los derechos humanos; Riesgos relacionados con las relaciones empresariales, por ejemplo, el uso de subcontratistas, socios en contratación externa, e interacciones con otras organizaciones vinculadas a las operaciones de seguridad; Interrelaciones entre los riegos tactitos y operativos y la necesidad de respetar la vida y los derechos humanos. Existen muchas metodologías para valorar los riesgos, La organización debería establecer, implementar mantener una metodología formal que este documentada y que se pueda repetir. La alta dirección debería definir claramente y revisar las afirmaciones, el campo de aplicación, los criterios de evaluación y los resultados. Puesto que una organización puede terne muchos riesgos, esta deberías establecer y documentar los criterios y metodología para identificar aquellos que se consideran significativos. Sin embargo, el método utilizado debería brindar resultado consistente e incluir el establecimiento y aplicación de los criterios de evaluación, como aquellos que se relacionan con la protección de la vida y6 los derechos humanos, la gravedad de los impactos adversos en los derechos humanos, su apalancamiento para prevenir o mitigar impactos adversos, la crítica de las actividades y las funciones, los aspectos legales y los interese de las partes interesadas internas y externas. La organización debería analizar la probabilidad y las consecuencias de los eventos Norma de Estudio NTC-ISO 18788 perturbadores indeseables para sus operaciones y partes interesadas, e identificar las operaciones críticas a las que se da prioridad alta para desarrollar objetivos y tiempos de respuesta. Cuando se valoran las consecuencias, la organización debería considerar los siguientes aspectos: a. Costo humano: daño psíquico y psicológico de los clientes, las personas que trabajan en su nombre, los proveedores, las comunidades locales y otras partes interesadas. b. Costo financiero: reemplazo de equipos y propiedades tiempos muertos, pago de horas extras, devaluación del stock, ventas/negocios que se pierden demandas legales, multas/sanciones reglamentarias etc. c. Costo para la imagen: reputación, permanencia en la comunidad, prensa negativa, pérdida de clientes, etc. d. Impactos de los derechos humanos: impactos adversos reales y potenciales en los derechos humanos de personas y grupos específicos, en particular grupos vulnerables o marginados, dentro del contexto especifico de las operaciones. e. Efectos indirectos: en la economía regional y reducción en la economía regional neta etc. f. Impacto ambiental: degradación de la calidad del ambiente o de las especies en peligro de extensión. La evaluación del riesgo es un proceso incluyente que recurre a la conducción de experticia en derechos humanos, interna y externa, y que implica la consulta significativa con partes interesadas internas y externas, que incluyan a las partes interesadas potencialmente pueden sufrir impactos adversos. Los procesos de identificación, análisis y evolución del riesgo y del impacto se enmarca en el ambiente operativo de la organización; por la tanto, estos deberían considera el contexto interno y externo, los requisitos legales y otros. El con el fin de lograr resultados que reflejan con precisión el perfil del riesgo y del riesgo de la organización, un equipo capacitado y competente debería reunir los datos para la evaluación del riesgo, el cual debería incluir expertos calificados adecuadamente y reconocidos en derechos humanos. Las técnicas de muestreo para la recolección de datos administrativos, financieros, técnicos, sociales y físicos se deberían selecciona de modo que se garantice que hay muestras representativas. La evaluación del riesgo no es una ciencia exacta; por lo tanto, las afirmaciones y la confiabilidad de la información se debería documentar. Todas las unidades operativas de la organización dentro del campo de aplicación del SGOS se deberían consultar directamente durante el proceso de recolección de datos. La alta dirección debería recibir información y revisar los resultados de evaluación de riesgo en el fin de establecer los objetivos, las metas y las estrategias de la gestión de las operaciones de seguridad. La organización debería definir el alcance de la evaluación del riesgo con base en: a. b. c. d. e. f. g. h. El campo del SGOS (productos, servicios y actividades); Las expectativas y obligaciones de los clientes; Los requisitos legales, reglamentarios y contractuales; La responsabilidad de respetar los derechos humanos; Las expectativas de las comunidades en las que recae ek impacto de las partes interesadas; Apetito por el riesgo; Requisitos para las relaciones empresariales, las interdependencias y la infraestructura; Requisitos para datos – información. El proceso de la evaluación del riesgo debería tomar en consideración las condiciones operativas normales y anormales, así como las situaciones perturbadoras razonablemente previsibles, con el fin de controlar mejor los eventos perturbadores e indeseables. Sin embargo, no es posible prever todas las situaciones perturbadoras ni indeseables, de modo que la organización también debería considerar las consecuencias en un evento en los activos, las actividades y las funciones esenciales, y también las comunidades y las partes interesadas que sufren el impacto, independiente de la naturaleza de un evento con el fin de gestionar de modo preventivo sus riesgos. La evaluación del riesgo debería: a. Usar una metodología documental cuantitativa y/o cualitativa para estimar la oportunidad o probabilidad de los riesgos potenciales identificados y la importancia de sus consecuencias si un evento se materializa; b. Basarse en criterios razonables y definidas; c. Considerar debidamente todos los riesgos potenciales que reconoce para sus operaciones; d. Considerar sus dependencias de otros, y otras dependencias de la organización incluidos los clientes, la comunidad, las relaciones de negocios y las dependencias y obligaciones de la cadena de suministro; e. Evaluar las consecuencias de las obligaciones legales y otras, así como de los compromisos voluntarios que gobiernan las actividades de la organización; f. Considerar los riegos que se asocian con las partes interesadas, los contratistas, los socios en contratación externa, los proveedores y otras partes afectadas; g. Analizar la información sobre los riesgos y seleccionar aquellos que pueden causar consecuencias significativas y/o aquellos cuya consecuencia es difícil de determinar en términos de importancia; h. Analizar y evaluar los costos beneficios y recursos que se necesitan para gestionar los riesgos; i. Evaluar los riesgos y los impactos que puede controlar e influir a través de su apalancamiento. NOTA Es la organización la que determina el grado de control y sus estrategias para aceptar, evitar, gestionar, minimizar, transferir la tolerancia y/o tratar el riego. En algunos lugares la infraestructura critica, los bienes comunitarios y el patrimonio cultural pueden ser elementos importantes en la proximidad en donde funciona la organización y, por lo tanto, se debería tener en cuenta para tener sus riesgos y el impacto en las proximidades. Al desarrollar información con respecto a sus riesgos significativos, la organización debería considerar la necesidad de retener la información con fines históricos y para diseñar e implementar SGOS. El proceso de identificación y evaluación de los riesgos debería considerar la ubicación de las actividades como el costo y el tiempo de emprender el análisis y la disponibilidad de datos confiables. La información que ya se ha desarrollado con el propósito de planificar el negocio, con fines reglamentarios u otros propósitos se puede utilizar en este proceso. Norma de Estudio NTC-ISO 18788 A intervalos regulares, la organización debería volver a revisar su reevaluación durante toda la duración de una actividad y para abordar las operaciones organizacionales y los entornos operativos cambiantes y en la respuesta a los eventos. Los cambios que podrían originar una repetición de la revisión de la reevaluación incluyen cambios en: a) b) c) d) e) f) g) Tendencias contractuales e industriales; Relaciones empresariales; Actividades nuevas cambios importantes en las operaciones; Requisitos reglamentarios; Ambiente político; Condiciones debidas a un evento; Resultados en pruebas / ejercicios con base en el desempeño. Este proceso de identificación y evaluación de los riesgos no tiene como fin cambiar ni incrementar las obligaciones legales de la organización. A.6.1.3 Objetivos de las operaciones en seguridad y planificación para alcanzarlos A.6.2.1 Generalidades Los objetivos y las metas se establecen para satisfacer los propósitos y los compromisos de la política de operaciones de seguridad de la organización. Al establecer los objetivos y las metas para las operaciones de seguridad, la organización puede traducir la política en los planes de acción que describe en las estrategias para las operaciones de seguridad. Los objetivos y las metas deberían ser específicos y mediables con el fin de rastrear su progreso y determinar la manera en que SGOS se está desempeñando en mejorar la reparación general de la organización. Los “objetivos “del SGOS son las consideraciones predominantes, como la minimización de los accidentes. Las “metas” de las operaciones de seguridad son meticas específicas para medir el desempeño con base en los indicadores del desempeño. Los objetivos y las metas deberían ser apropiados para la organización, basados en la evaluación del riesgo. igualmente deberían reflejar lo que la organización hace que también lo ejecuta y que quiere hacer. Los niveles de dirección adecuados deberían definir los objetivos y metas. Los objetivos y las metas se deberían revisar y verificar periódicamente. Una vez se establecen los objetivos y las metas, la organización debería considerar el establecimiento de indicadores claves del desempeño de las opciones de seguridad que se puedan medir. Tales indicadores se pueden usar como base para un sistema de evaluación del desempeño de las operaciones de seguridad y pueden brindar información sobre el SGOS y las estrategias específicas de prevención, mitigación, respuesta y recuperación. Al establecer sus objetivos y metas la organización debería considerar: a. b. c. Compromisos de la política; alineación con los objetivos estratégicos; resultados de la evaluación del riesgo; d. e. f. g. h. i. j. k. l. apetito y tolerancia del riesgo; requisitos legales y otros; contexto interno y externo; criterios de desempeño; requisitos de infraestructura e interdependencias; intereses de las partes interesadas; opciones tecnológicas; consideraciones financieras, operativas y otras organizaciones; acciones, recursos y escalas temporales necesarias para lograr los objetivos. Al considerar sus opciones tecnologías, la organización debería analizar el uso de las mejores tecnologías disponibles cuando sea viable económicamente, efectivo en términos de costos y se consideren apropiadas. La referencia a los requisitos financieros de la organización no tiene como objetivo implicar que las organizaciones están obligadas a usar metodologías específicas de contabilidad de costos; sin embargo, la organización puede elegir considerar los costos directos, indirectos y ocultos. A.6.2.2 Logro de los objetivos de las operaciones de seguridad y del tratamiento del riesgo Las estrategias para las operaciones de seguridad y los planes de acción son enfoques documentados para lograr los objetivos y las metas de la organización. Las estrategias deberían coordinarse e integrarse con otros planes, estrategias, presupuestos de la organización. Los planes de acción se puedes subdividir para adoptar elementos específicos de las operaciones de la organización. Para gestionar exitosamente las operaciones de seguridad, las estrategias y los planes de acción debería definir: a. b. c. las responsabilidades para lograr las metas (¿quién lo hará? ¿dónde se hará?); los medios y recursos para lograr las metas (¿cómo hacerlo?); el marco temporal para lograr las metas (¿cuándo se hará?); Las estrategias se pueden subdividir parta tratar elementos específicos de las operaciones de la organización. La organización puede usar varios planes de acción, en la medida en que las responsabilidades claves, los pasos tácticos, los recursos necesarios y las programaciones estén definidos adecuadamente en cada uno de los planes documentados. Las estrategias deberían incluir, cuando sea apropiado y practico, las consideraciones de todas las etapas de las actividades de la organización relacionadas con planificación, diseño, construcción, puesta en marcha, funcionamiento, modernización, producción, mercadeo, contratación externa y desmantelamiento. El desarrollo de las estrategias se puede ejecutar para las actividades actuales y actividades, productos y/o servicios nuevos. La planificación de la organización debería considerar la prioridad de las actividades las obligaciones contractuales, las necesidades de los empleados y la comunidad circulante, así como la continuidad operativa. Las estrategias deberían ser dinámicas y se debería monitorear y modificar cuando: a. b. c. d. e. cambian los resultados de la evaluación del riesgo; se modifican o adicionan objetivos y metas; se introducen o cambian requisitos legales pertinentes se han hecho (o no se ha hecho) un avance significativo en el logro de los objetivos y las metas; las actividades, loa productos, los servicios, los procesos o las instalaciones cambian o se presentan otros inconvenientes. La determinación de la estrategia para las operaciones de la seguridad le permite a la organización evaluar una rama de opciones. La organización puede elegir un enfoque apropiado para cada actividad, de modo que pueda operar en un nivel aceptable. La estrategia o estrategias más adecuadas dependerán de varios factores tales como: a. b. c. Los resultados de la evaluación del riesgo de la organización; Los costos de la implementación de una o varias estrategias; Las consecuencias de las fallas de acción. La alta dirección debería aprobar las estrategias documentadas para confirmar que la determinación de las estrategias para las operaciones de seguridad se ha ejecutado correctamente, que se ha considerado las cusas o los efectos probables de un evento indeseables o perturbador, y que las estrategias seleccionadas son adecuadas para satisfacer los objetivos de la organización según el apetito por el riesgo de esta. Las estrategias también deberían considerar las relaciones, interdependencias y obligaciones con las partes interesadas externas que tenga la organización. Estas partes interesadas incluyen clientes, proveedores y socios en contratación externa, así como autoridades públicas y otras en la comunidad. La organización debería establecer y mantener las estrategias que primero y mejor protegen la vida y la seguridad de las partes interesadas, al tiempo que se respetan los derechos humanos y se preserva la integridad de la entrega de sus productos y servicios. Además, las interacciones y la coordinación con las autoridades públicas y otros en la comunidad se deberían determinar e incluir en el desarrollo de la estrategia. Estas disposiciones estratégicas con las partes interesadas externas deberían brindar soporte al logro de los objetivos de las operaciones de seguridad y estar claramente definidas y documentadas. A.7 A.7.1 RECURSOS A.7.1.1 Generalidades Se deberían identificar los recursos necesarios para SGOS. Esto se incluye en los recursos humanos y las habilidades especializadas, los equipos, la infraestructura interna la tecnología, la información, la inteligencia y los recursos financieros. La alta dirección debería asegurar la disponibilidad de recursos esenciales para establecer implementar, controlar, poder a prueba y mantener el SGOS. Norma de Estudio NTC-ISO 18788 A.7.1.2 Requisitos estructurales A.7.1.2.1 Generalidades Un contrato proporciona la base legal para la relación entre el cliente y el contratante. La organización se hace parte de un contrato debería ser una entidad legal y las firmas de la organización deberían estar claramente autorizadas para formar parte de contratos a nombre de la organización. A.7.1.2.2 Estructura organizacional la organización debería establecer una infraestructura de gestión que defina claramente los roles, las responsabilidades y la rendición de cuentas necesarias para cumplir sus obligaciones contractuales. A.7.1.2.3 Seguros La organización debería buscar una cobertura de seguros que sea suficiente parta cumplir toda responsabilidad por daños a cualquiera persona con respecto a lesiones personales, muerte, o daño a la propiedad, y que sea consistente con su evaluación del riesgo. El límite de dicha cobertura debería estar por lo menos en el nivel mínimo según lo prescriba el cliente o se reconozca como la mejor práctica de la industria. Los seguros deberían incluir la responsabilidad civil del empleador y la cobertura de la responsabilidad civil pública. Al personal extranjero y local se les debería proporcionar pólizas de seguro de salud y de vida adecuadas su estructura salarial y al nivel del riesgo de sus servicios, según lo exija la ley. Al buscar la cobertura de los seguros la organización debería considerar lo siguiente: a. b. c. d. e. f. g. h. Las políticas y los limites responsabilidad de la organización se deberían especificar en el contrato; La jurisdicción de la póliza y en cado de disputa; los límites territoriales; los límites de la independización; la cobertura de todas las actividades, incluido el uso de armas; la cobertura médica y el tratamiento de las personas que trabajan en nombre de la organización, así como de las comunidades en las que realice el impacto; las actividades de los subcontratistas; protección del cliente Los ejemplos de tipos de cobertura por considerar incluyen, pero no se limitan a los siguientes: a. b. c. responsabilidad civil; compensación de los trabajadores; accidente; d. e. f. daño a la propiedad; secuestro, rescate y/o cautividad; póliza de hombre clave A.7.1.2.4 Contratación externa y subcontratación Un contrato debería brindar la base legal para la relación entre en el contratante y el subcontratista. La organización es responsable de todas las actividades que contrate externamente con otra entidad. El contrato debería especificar las responsabilidades, los términos y las condiciones en las cuales se debe desempeñar el subcontratista. A.7.1.2.5 Procedimientos y controles financieros y administrativos Los procedimientos y controles financieros y administrativos de una organización para apoyar a la gestión eficaz de la seguridad y del riesgo también deberían considerar los riesgos financieros destacados. A.7.2 Competencia La organización debería identificar concienciación, el conocimiento, la comprensión y las habilidades de cualquier persona con responsabilidad y autoridad necesita para ejecutar las labores en su nombre, que incluyan: a. b. c. d. el establecimiento de programas de capacitación y concienciación para las partes interesadas internas y externas que pueden verse afectas por un evento conservador o indeseable. Exigir a los subcontratistas que trabajan en su nombre que puedan demostrar que sus empleados cumplen el requisito de competencia y/o la capacitación adecuada. La determinación del nivel de experiencia, competencia y capacitación necesarios para asegurar la capacidad del personal que tiene responsabilidad documentada para llevar a cabo actividades especializadas en la gestión del SGOS. Monitoreo y reevaluación del nivel de capacitación se debería llevar a cabo continuamente para identificar las oportunidades de mejora. Es responsabilidad de la organización de todas las personas que trabajan en su nombre estén suficientemente capacitados, tanto antes de cualquier despliegue como conminutamente, en el desempeño de sus funciones y para respetar las leyes locales, naciones y humanitarias y de derechos humanos pertinentes. Los objetivos de capacitación definidos se deberían basar en la evaluación del riesgo y facilitar la uniformidad y normalización de los requisitos de capacitación. La capacitación debería incluir específicamente la capacitación sobre derechos humanos en temas claves como: a. b. c. La prohibición de la tortura y cualquier otra tratamiento cruel, inhumano o degradante; Prohibición y concienciación sobre la exploración sexual y abuso o la violencia con base en el género; Reconocimiento y prevención del tráfico de personas y la esclavitud Norma de Estudio NTC-ISO 18788 La organización debería identificar y valorar las diferencias entre la competencia necesaria para ejecutar una actividad de operaciones de seguridad y aquella que posee el individuo o quien se exige ejecutar la actividad. Esta diferencia se puede rectificar a través de un programa de educación adicional, capacitación de desarrollo de habilidades, el cual puede incluir las siguientes fases: a. b. c. d. e. f. g. h. Identificación de las necesidades de competencia y capacitación; Diseño y desarrollo de un plan de capacitación para tratar las necesidades de competencia y capacitación definidas; Selección de métodos y materiales adecuados; Verificación de la conformidad con los requisitos de capacitación del SGOS; Capacitación de los grupos objeto; Documentación y monitoreo de la capacitación que se recibe; Evaluación de la capacitación que se recibe frente a las necesidades y los requisitos de capacitación definidos; Mejora del programa de capacitación según necesidad. La capacitación puede incluir temas generales y específicos para la labor y le contexto, que preparen al personal para desempeñarse al personal para desempeñarse bajo el contrato especifico y en las circunstancias específicas. Los temas generales incluyen, entre otros, los siguientes: a. b. c. d. e. El uso de los procedimientos de fuerza y armas de fuego; Derecho humanitario y leyes sobre derechos humanos; Aspectos religiosos de género y culturales, y respeto de la población local; Manejo de quejas presentadas por la población civil; en particular, transmitiéndolas a la autoridad correspondiente; Medidas contra el soborno, corrupción y otros crímenes relacionados. Los ejemplos de los temas específicos para la labor y el contexto pueden incluir: a. b. c. d. e. f. g. h. Accionamiento táctico; Técnicas de la entrevista; Navegación terrestre; Comunicaciones electrónicas; Asistencia médica; Enlace con la comunidad; Evacuación de víctimas; Otras labores especificas e implícitas en los términos del contrato o de los servicios que ofrece la organización. La organización debería emplear capación práctica, orientada el escenario que requiera que las personas capacitadas tomen decisiones en situaciones que refleja las condiciones que podría enfrentar el personal de seguridad en la ejecución de sus misiones, y que les exigiera reaccionar a las consecuencias de tales decisiones. La capacitación sobre DIH se debería estructurar para satisfacer las condiciones específicas que enfrentan las operaciones de seguridad de la organización en condiciones de conflicto armado. La capacitación se enfocará en el estatus civil de la organización, las consecuencias de las Norma de Estudio NTC-ISO 18788 actividades que resultarían en perdida de dichos estatus y la responsabilidad civil individual por las violaciones al DIH o a las leyes internacionales sobre los derechos humanos. Un programa de capacitación y concientización puede incluir: a. b. c. d. e. f. g. h. Un proceso de consulta con el personal de toda la organización con respecto la implementación del programa de gestión de las operaciones de seguridad; Discusión de la gestión de las operaciones de seguridad en boletines, reuniones informativas, programa de instrucción o diarios de la organización (incluida la orientación a los empleados nuevos); Inclusión de la gestión de las operaciones de seguridad en las páginas redes internas pertinentes; Modelos de capacitación en línea dentro del sistema de gestión del aprendizaje de la organización; Aprendizaje derivado de incidentes internos y externos a través de los informes posteriores a la acción; Gestion de las operaciones de seguridad como un elemento en las reuniones del equipo de gestión; Capacitación en conferencia y aula de clases; Capacitación en primeros auxilios y aspectos prácticos. Todo el personal debería recibir capacitación para ejecutar sus responsabilidades individuales relacionadas con el SGOS. Debería recibir información y capacitación sobre los componentes críticos del SGOS, así como en derechos humanos, derecho humanitario y derecho penal pertinente que afecte a sus actividades de forma directa dicha capacitación podría incluir procedimientos para medidas de prevención y mitigación, respuesta, requisitos de documentación y rendición de cuentas, manejo de la comunidad local, inquietudes del cliente y los medios de comunicación. La capacitación en armas, incluidas la letalidad reducida se debería ejecutar según la norma escrita adecuada al arma y a las condiciones de uso que se esperan. La capacitación debería incluir instrucción, capacitación con base en el escenario y capacidad mecánica – para incluir el mal funcionamiento de las armas y la calificación del fuego real. La capacitación inicial se debería repetir a intervalos regulares, por lo menos anualmente, o con más frecuencia si así lo exige el contrato. Los equipos de respuesta a eventos deberían recibir educación y capacitación acerca de sus responsabilidades y deberes, incluidas las interacciones con los servicios de emergencia y otras partes interesadas internas y externas. Los miembros del equipo deberían recibir capacitación a intervalos regulares (por lo menos anualmente) los miembros nuevos deberían recibir la capacitación en el momento en que se vinculan a la organización. Estos equipos también deberían recibir capacitación sobre la prevención de eventos indeseables. La organización debería incluir a las partes interesadas externas pertinentes, así como los recursos en sus programas de competencia concienciación y capacitación. Norma de Estudio NTC-ISO 18788 A.7.3 Toma de conciencia La organización debería construir, promover e integrar una cultura de gestión de las operaciones de seguridad dentro de la organización que: a. b. c. Garantice que la cultura de la gestión de las operaciones de seguridad y el respeto de los derechos humanos sean parte de los valores y la gobernabilidad claves de la organización; Haga las partes interesada tomen conciencia de la política de gestión de las operaciones de seguridad y su rol en todos los planes; Beneficie la mejora en el desempeño personal. A.7.4 Comunicación A.7.4.1 Generalidades Se deberían elaborar disposiciones para la comunicación y la consulta, interna y externa, durante las condiciones normales y anormales. La comunicación eficaz es uno de los ingredientes más importantes en la prevención, la gestión y el reporte de un evento perturbador o indeseable. Las comunicaciones proactivas y la planificación de la consulta se deberían llevar a cabo con las partes interesadas internas y externas con el fin de transmitir información del día a día, de alerta, de un evento perturbador y de respuesta organizacional y comunitaria. Para proporcionar las mejores comunicaciones y mensajes adecuados para los diversos grupos, puede ser adecuado segmentar las audiencias. De este modo, los mensajes se pueden adaptar para que se divulguen a grupos específicos, por ejemplo, empleados, clientes, comunidad local o los medios de comunicación. Los procedimientos y proceso de comunicación y consulta deberían tomar en consideración: a. b. c. d. e. f. g. h. La comunicación interna entre los diferentes niveles y actividades de la organización, y con subcontratistas, clientes y entidades asociadas, Las necesidades de las partes interesadas; Recibo, documentación y respuesta a las comunicaciones pertinentes provenientes de las partes interesadas externas (incluidas las comunidades locales); La planificación proactiva de las comunicaciones con las partes interesadas externas (incluidos los medios de comunicación); La comunicación preferente de los planes de respuesta y presentación de informes a las partes interesadas correspondientes de manera que se facilite la comunicación y para asegurar a las partes interesadas que se implementa la planificación apropiada; La facilitación de la comunicación estructurada con los servicios de emergencia; La disposición de los canales de comunicación durante una situación perturbadora; La sensibilidad y el nivel de detalle de la información; i. El ambiente operativo. La organización debería implementar un procedimiento para recibir, documentar y responder a las comunicaciones pertinentes provenientes de las partes interesadas tanto internas como externas. Este procedimiento puede incluir un diálogo con las partes interesadas y la consideración de sus preocupaciones pertinentes. En algunas circunstancias, las respuestas de las preocupaciones de las partes interesadas pueden incluir información pertinente a cerca de los riesgos, los impactos y los procedimientos de control que se asocian a las actividades y operaciones de la organización. Estos procedimientos también deberían tratar las comunicaciones necesarias con las autoridades con respecto a la planificación para emergencias y otros temas pertinentes. A.7.4.2 Comunicaciones operativas Los planes de comunicación operativa son necesarios para obtener control, coordinación y visibilidad adecuados de las operaciones de visibilidad en curso tales planes debería incluir una descripción de la manera en que se va a compartir la información sobre amenazas pertinentes entre el personal de operaciones de seguridad, las fuerzas militares y las fuerzas del orden así como la manera en que se proporcionara asistencia apropiada al personal de operaciones de seguridad que se ve involucrado en situaciones hostiles. La información se debería intercambiar de manera que se pueda comprender en cada nivel de ejecución, con el cliente y otras personas que estén protegidas por la organización, y con las fuerzas militares u otras fuerzas de seguridad pública que se encuentren en los equipos de seguridad de la organización. A.7.4.3 Comunicación del riesgo La organización también debería identificar y establecer relaciones con la comunidad, las agencias del sector público, las organizaciones y los funcionarios responsables de la inteligencia, las advertencias, la prevención, la respuesta y la recuperación relacionadas con eventos potenciales indeseables y perturbadores. La organización debería planificar formalmente su estrategia de comunicaciones de prevención, mitigación y respuesta, tomando en consideración las decisiones que se han tomado y son específicas para los grupos objeto pertinentes los mensajes y temas apropiados, y la elección de los medios. La organización debería establecer procedimientos para comunicarse y consultar a las partes interesadas internas y externas, que sean específicos para los riesgos sus impactos y procedimientos de control. Tales procedimientos deberían analizar el grupo específico de partes interesadas, el tipo de información que se va a comunicar, el tipo de evento perturbador y sus consecuencias, la disponibilidad de métodos de comunicación y las circunstancias individuales de la organización. Los métodos para la comunicación externa pueden incluir los siguientes dos puntos a. b. c. d. e. f. g. h. Publicaciones en noticieros y prensa; Medios de comunicación; Reportes financieros; Boletines informativos; Sitios webs; Redes sociales; Llamadas telefónicas, mensajes de correo electrónico y de texto (que se envían de forma manual y/o a través de sistemas automatizados para notificación de emergencias); Correos de voz; i. Reuniones comunitarias. La organización debería ejecutar una planificación previa de la comunicación para un evento perturbador. Plantillas de borrador de mensajes, guiones y declaraciones se pueden elaborar con anticipación para las amenazas que se han identificado en la evaluación del riesgo, para su distribución a uno o más grupos de partes interesadas que se ha identificado en la evaluación del riesgo. También se debería establecer procedimientos para asegurar que las comunicaciones se pueden distribuir sobre la marcha. La organización debería designar y publicar el nombre de un portavoz principal (con reemplazos identificados) quien debería gestionar/distribuir las comunicaciones sobre la crisis a los medios de comunicación y otros. Estos individuos deberían recibir capacitación en las relaciones con los medios de preparación para una crisis y de manera continua. Toda la información se debería canalizar a través de un solo equipo para asegurar la consistencia de los mensajes. La alta dirección debería enfatizar que todo el personal de la organización debería estar informado rápidamente con respecto a dónde remitir las llamadas de los medios de comunicación y que solo el portavoz autorizado de la compañía pueda hablar con los medios. En algunas situaciones, también puede ser necesario en el sitio de un portavoz capacitado. A.7.4.4 Comunicación de los procedimientos de quejas y reclamos La organización debería establecer y comunicar a las partes interesadas internas y externas pertinentes los procedimientos de quejas y reclamos. Tales procedimientos deberían asegurar la privacidad y confidencialidad, y estar adoptados a la cultura, el lenguaje, la educación y los requisitos tecnológicos de la audiencia objeto. También se deberían establecer procedimientos para crear un mecanismo de reporte para quejas y reclamos anónimos y no anónimos. A.7.4.5 Comunicación de la política del delator La delación ocurre cuando una persona que rebaja en nombre de la organización plantea una preocupación acerca del peligro, la conducta no ética o ilegalidad que afecta a otros, interna o externamente. Las personas que trabajan en nombre de la organización pueden tener el temor de que elevar la alarma acarreara represalias de sus colegas o empleadores. Sin embargo, la organización debería animar a las personas que trabajan a su nombre a plantear sus preocupaciones acerca de lámala practica y de los actos inapropiados contra cualquier parte interesada interna o externa. La política del delator ayudara a la organización a tratar una preocupación de manera adecuada. Dicha política también puede servir como disuasión para aquellos que o pueden estar considerando una práctica ilegal, inapropiada o no ética. Una buena política del delator ayudara la organización a reducir los problemas y mejorar las condiciones de trabajo, así como la eficacia operativa. Las políticas de delación eficaces brindan a los individuos una ruta alternativa di a su propia línea directa de gestión a través de la cual plantear sus preocupaciones. Por lo tanto, las organizaciones deberían establecer y comunicar una política del delator que brinde un mecanismo interno claro para reportar de forma anónima los incumplimientos y las preocupaciones acerca del peligro, la conducta no ética o la ilegalidad que afecte a otros, interna o externamente. La política también debería establecer circunstancias y condiciones en que se aceptan y protegen las divulgaciones externas, y el momento en que los temas se han de referir a la autoridad correspondiente. Los delatores deberían recibir protección por plantear las preocupaciones en la medida en que hayan actuado de buena fe y tengan fundamentos razonables par platearlas. Norma de Estudio NTC-ISO 18788 A.7.5 Información documentada A.7.5.1 Generalidades El nivel de detalle de la documentación debería ser suficiente para describir el SGOS y la manera en que actúan en conjunto todas las partes. La documentación también debería brindar orientación sobre donde obtener más información detallada sobre la operación de las partes específicas del SGOS. Esta documentación puede estar integrada con la documentación de otros sistemas de gestión que la organización halla implementado; no tiene que estar en forma de manual. La amplitud de la documentación del SGOS pueden diferir de una organización a otra debía a: a. b. El tamaño y el tipo de organización, así como sus actividades, productos servicios; La complejidad de los procesos y sus interacciones. Los ejemplos de documentación incluyen: a. b. c. d. e. f. g. h. i. Política, objetos y metas; Declaración de aplicabilidad, declaración de conformidad y código de ética; Información sobre los riesgos significativos y sus impactos; Procedimientos; Información sobre procesos; Cuadros organizacionales; Normas internas y externas; Respuestas ante incidentes, planes de mitigación, emergencia y crisis, Registros. Toda decisión de documentar los procedimientos se debería basar en: a. b. c. d. Las consecuencias, incluidas aquellas para los activos tangibles e intangibles, de no hacerlo así; La necesidad de demostrar la conformidad con los requisitos legales y otros a los cuales se ha suscrito la organización; La necesidad de asegurar que la actividad se ejecuta de modo consistente; Los requisitos de esta norma. Las ventajas de documentación eficaz incluyen: a. b. c. Implementación más fácil a través de la comunicación y la capacitación, Mantenimiento y revisión más fáciles, Menos riesgo de ambigüedad y desviaciones, d. Capacidad de demostración y visibilidad. Los documentos creados originalmente para fines diferentes a los del SGOS se pueden utilizar como parte de ese sistema de gestión y, si se usan así, se deberían mencionar en el sistema. A.7.5.2 Creación y actualización A.7.5.2.1 Generalidades Los procedimientos deberían incluir el control de la identificación, accesibilidad, la integridad y la Seguridad de la información documentada. A.7.5.2.2 Registros Además de los registros que exige esta norma, también se pueden incluir (entre otros): a. b. c. d. e. f. g. h. i. j. k. l. m. Registros de conformidad; Autorización para poseer armas; Rendición de cuentas por equipos sensibles y seriados; Informes sobre combustible, munición, y materiales de capacitación; Rastreo de armas, explosivos, vehículos y materiales peligrosos; Uso de reportes de fuerza (letal y no letal); Informes de auditoría de conformidad con el contrato; Informes de conformidad de exportación/importación; Documentación del rastro de la auditoria; Licencias; Resultados de ejercicios y pruebas; Registros del control del acceso; Documentación del subcontratista. A.7.5.3 Control de la información documentada La organización debería crear y mantener documentos que sean suficientes para implementar el SGOS. Sin embargo, el principal enfoque de la organización debería estar en la implementación eficaz del SGOS en el desempeño dela cuestión de las operaciones de seguridad y no en un sistema complejo de control de documentos. Se debería considerar apropiadamente la información confidencial. se deberían establecer procedimientos, comunicarlos y mantenerlos para el manejo de la información clasificada. Esta información debería estar calificada y etiquetada claramente para proteger. a. b. c. La sensibilidad de la información; La privacidad, la vida y la seguridad de los individuos; La imagen y la reputación del cliente. Norma de Estudio NTC-ISO 18788 La organización debería consultar con las autoridades correspondientes dentro de su organización para determinar el periodo adecuado en que los documentos se deberían retener y, establecer, implementar y mantener los procesos para hacerlo de manera eficaz. Los registros se deberían retener por lo menos durante 7 años o de otro modo según lo explica a lo limite la ley. A.8 Operaciones A.8.1 Planificación y control operacionales A.8.1.1 Generalidades La organización debería evaluar aquellas de sus operaciones que se asocian con sus riesgos significativos identificados y asegurar que estas ejecutan de manera que controlaran o reducirán la probabilidad y las consecuencias adversas asociadas a ellas con el fin de cumplir los requisitos de su política de gestión de las operaciones de seguridad y satisfacer sus objetivos y metas esto debería incluir a todas las partes de sus operaciones, incluso al subcontratista, la cadena de suministro y las actividades de manteamiento. Dado que esta parte del SGOS proporciona orientación sobre como incorporar los requisitos del sistema en las operaciones diarias, esto requiere del uso de procedimientos documentados para controlar las situaciones en donde la ausencia de procedimientos documentos podrían acarrear desviaciones con respecto a la política, los objetivos y las metas de la gestión de las operaciones de seguridad. Con el fin de minimizar la probabilidad de un evento indeseable o perturbador, estos procedimientos deberían incluir controles administrativos, operacionales y tecnológicos. cuando se revisan las disposiciones existentes o se introducen disposiciones nuevas que podrían tener impacto en las operaciones y las actividades, la organización debería considerar la reducción asociada de las amenazas y los riesgos antes de su implementación. A.8.1.2 Desempeño de las funciones relacionadas con la seguridad A.8.1.2.1 Generalidades Los procedimientos deberían dar apoyo a la ejecución de las funciones relacionadas con la seguridad para la protección de las personas y los activos tangibles e intangibles, coherencia con los registros legales, las obligaciones contra actuales y el resto de los derechos humanos. A.8.1.2.2 Primeros auxilios y cuidado de las víctimas Todo el personal debería recibir capacitación inicial y recurrente en los primeros auxilios y cuidado de las víctimas, con énfasis especial a la respuesta inmediata de lesiones traumáticas posteriores a un ataque o accidente. La capacitación se debería ejecutar con respecto a una norma aceptada. Como mínimo, este debería incluir le mantenimiento o establecimiento de la seguridad y protección adecuadas del área de tratamiento, estabilización de las víctimas, preparación y solicitud de evaluación. Norma de Estudio NTC-ISO 18788 Esto incluye asegurar que los individuos que se tratan no continúan planeando una amenaza delibera o involuntarias para otras personas en las cercanías. La capacitación también debería incluir la priorización de las víctimas para el tratamiento con base en la gravedad de las lesiones, independientemente del estado de amistad/enemigo, raza, antecedentes étnicos u otra discriminación. La organización debería asegurar que los individuos y los equipos de seguridad estén equipados con los materiales necesarios para brindar tratamiento y estabilización inmediatos para lesionados traumáticos supervivientes mientras se espera la evacuación de las víctimas. A.8.1.3 Respeto de los derechos humanos Las organizaciones están obligadas a respetar y cumplir el derecho internacional humanitario y las leyes sobre derechos humanos que les imponen las leyes nacionales aplicables, así como las normas internacionales sobre derechos humanos. Las organizaciones deberían establecer, implementar y documentar procedimientos para proteger la dignidad humana y tratar a todas las personas con humanidad. Los procedimientos se deberían establecer y comunicar a las partes correspondientes para reportar y remediar cualquier no conformidad e incumplimiento. A.8.1.4 Prevención y gestión de eventos indeseables o perturbadores Los procedimientos deberían enfatizar la gestión preventiva y proactiva de los riegos que pueden acarrear eventos indeseables y perturbadores, así como abordar las medidas de respuesta, recuperación y remediales si se presenta en un evento. La organización debería establecer las estructuras administrativas y financieras adecuadas para apoyar eficazmente al SGOS antes, durante y después de un evento perturbador o indeseable. Se deberían establecer y documentar procedimientos que garanticen la transparencia con respecto a las autorizaciones, consistentes con los procedimientos de rendición de cuentas que se aceptan en general y en las buenas prácticas industriales. Por lo tanto, se deberían definir con claridad la estructura de gestión, las autoridades y la delegación de responsabilidad para la toma de decisiones (incluidos los límites de gastos, las autoridades y la responsabilidad en la implementación). A.8.2 Establecimiento de normas de comportamiento y códigos de conducta de ética La organización debería establecer, implementar o mantener un código de tica para sus empleados, subcontratistas y socios en contratación externa. El código de ética debería comunicar con claridad el respeto de los derechos humanos y la dignidad de las personas, así como la prohibición de sobornos ,conflictos de interés, corrupción u otros crímenes(p.ej; el que todas las personas que trabajan en nombre de la organización entienden sus responsabilidades para acatar los derechos humanos y las leyes locales, nacionales e internacionales, y prevenir y reportar todo abuso de los derechos humanos, lo que incluye, entre otros, la prohibición de: a. b. c. d. La tortura u otro tratamiento de castigo cruel, inhumano o degradante; La explotación sexual el abuso o la violencia con base en el género; El tráfico de personas; La esclavitud y el trabajo forzado; e. f. Las peores formas de trabajo infantil; La discriminación ilegal. La organización debería comunicar con claridad y brindar capacitación sobre código de ética a todas las personas que trabajan en su nombre. También documentar y mantener registros de las comunicaciones y la capacitación. A.8.3 Uso de la fuerza A.8.3.1 Generalidades Los riesgos más importantes que presentan las operaciones de seguridad privada se asocian al uso inapropiado de la fuerza y las armas de fuego por parte del personal de la organización. Esto incluye todo uso de la fuerza por parte del personal que excede la que es necesaria o razonable bajo las circunstancias que se presentan a dicho personal. El uso inadecuado de la fuerza podría ocasionar la muerte o lesiones a las partes inocentes, lo cual podría ocasionar daño de la reputación de la organización y responsabilidad civil para la empresa y la parte a la que protege. También podría acarrear inseguridad e inestabilidad adicionales que afectaran a la organización, a los que protege y a otros actores que trabajan en el área. El uso de la fuerza también incluye la falla en usar la fuerza disponible que es necesaria la perdida de la vida del personal de la organización, de aquellas personas y recursos a los que protege y de otros en las proximidades. Los procedimientos de uso de la fuerza de la organización son herramientas críticas para gestionar el riego del uso inapropiado de la fuerza y, por lo tanto, es necesario que: a. b. c. Sean claros y comprensibles para todas las personas autorizadas a portar armas y aquellas que los supervisan; Se pueden aplicar en situaciones complejas y circunstancias ambiguas; La organización los hago cumplir estrictamente, incluso cuando la aplicación legal el uso de la fuerza sea débil. A.8.3.2 Política del uso de la fuerza La organización puede desarrollar una política del uso de la fuerza como una declaración global acerca del uso permitido de la fuerza en el contexto operativo de la organización. La política debería describir los principios de aplicación general que incluyen: a. b. c. d. El uso de la fuera únicamente en defensa propia, la defensa de otros o para restringir el acceso o prevenir la destrucción de una propiedad especifica; La limitación del uso de la fuerza a aquella que se necesaria y razonable para anular la amenaza; El uso de fuerza letal únicamente en defensa propia o en defensa de otros contra una amenaza inminente de muerte o lesión corporal grave, y si no existe otra alternativa razonable disponible; La restricción de involucrarse en funciones militares únicamente, como en operaciones de combatiente, operaciones similares a combate, operaciones de registro y acordonamiento, o en operaciones ofensivas o conjunto con las fuerzas armadas de un estado. Norma de Estudio NTC-ISO 18788 Una vez se ha desarrollado, la política del uso fuerza de la organización forma la bese para el uso de procedimientos de la fuerza específicos para el alcance de las operaciones y las condiciones o el trabajo para ese lugar. A.8.3.3 Procedimientos para el uso de la fuerza Los procedimientos para el uso de la fuerza: - - Documentan las circunstancias en las cuales se pueden usar armas de fuego y otra fuerza en autodefensa y en la protección de las personas especificas (incluido otro personal de operaciones de seguridad) o de la propiedad contra ataques ilegales o cualquier otro daño que pretenda otra de las partes. Guían al personal en la aplicación de la fuerza, garantizando que todo uso de la fuerza que se consistente con dicha política también es consistente con la ley local u otros reglamentos de control, así como los códigos de conducta que suscribe la organización. Siempre que sea posible estos procedimientos se deberían desarrollar en consenso con la parte a la cual protege la organización. Esto garantiza un entendimiento común entre aquellos que son protegidos y promueven procedimientos que sustenten la misión y el propósito de la parte a la cual se protege. A.8.3.4 Consideraciones generales para el uso de la fuerza, las armas de fuego y otras armas Los limites específicos sobre el uso de la fuerza varían de lugar a otro sitio según el ambiente operativo especifico. Sin embargo, existen determinados principios de aplicación general que la organización debería considerar al desarrollar sus procedimientos de uso de fuerza, que incluyen los siguientes: a. b. c. La fuerza letal se justifica únicamente en condiciones de seguridad extrema y como últimos recursos cuando medios menores ha fracasado, probablemente vayan a fracasar o se pueden emplear de manera razonable. La fuerza letal se debería usar únicamente en defensa propia o en la defensa de otros frente a una amenaza letal inminente, o cuando es razonable y necesaria para prevenir la ejecución de delitos graves que impliquen la amenaza seria para la vida o daño corporal grave. Se pueden usar grados de fuerza menores en respuesta a amenazas que no imponen un peligro inminente de muerte o de daño o lesión corporal grave. Estas opciones van desde la presidencia física hasta el uso de armas como garrotes y dispositivos de choque nervioso (p. ej; los Taser), y otras medidas comúnmente se denominan fuerza “menos letal” como un recordatorio de que independientemente del propósito, todo uso de la fuerza podría resultar en una lesión grave o muerte involuntaria. El riesgo de los efectos letales involuntarios se incrementa con la complejidad y la eficacia del dispositivo y disminuye con el novel de capacitación y suficiencia del usuario y aquellos que dirigen el uso de la fuerza. La autorización para el uso de la fuerza en defensa propia cambia en un lugar a otro, a veces cambia entre autoridades bajo el mismo gobierno nacional. En general, la fuerza letal no está para proteger la propiedad y prevenir el acceso no autorizado a esta. Las excepciones comunes incluyen: Norma de Estudio NTC-ISO 18788 1. 2. d. e. Situaciones en que los individuos que protegen la propiedad perciben una amenaza inminente de muerte o lesión grave en su intento por bloquear el acceso o prevenir el hurto a la destrucción de dicha propiedad: en tal situación, el uso de la fuerza se convierte en defensa propia; Para prevenir el hurto o sabotaje real de propiedad inherentemente peligrosa, la pérdida o destrucción de la cual representaría una amenaza inminente de muerte o lesión corporal grave (los ejemplos incluyen armas de fuego y otras municiones materiales radiológicos y sustancias químicas altamente toxicas o agentes biológicos); el uso necesario y razonable de la fuerza para proteger este tipo de propiedades en general se considera en defensa de otros. La autoridad legal competente puede autorizar el uso de la fuerza letal si esta es razonable y necesaria para prevenir el sabotaje o la destrucción de infraestructura critica (p. ej; servicios públicos e instalaciones esenciales), la cual es vital para la salud y cuyo daño crearía una amenaza inminente de muerte, o daño o lesión corporal grave. En estas situaciones la autoridad generalmente emitiría reglas específicas para el uso de la fuerza para incluir la protección de dicha infraestructura. Uso continuo de la fuerza. Los procedimientos del uso de la fuerza de la organización deberían describir la aplicación de la fuerza a lo largo de un continuo operacional. El personal de operaciones de seguridad debería intentar resolver las situaciones con los niveles mínimos de fuerza o reducir la fuerza que se aplica, si la situación y las circunstancias lo permiten. No obstante, no se requiere el retraso de la fuerza ni el incremento secuencial de esta a lo largo de un continuo para resolver una situación o amenaza. En algunos casos, el aumento secuencial o las escala en la fuerza pueden aumentar el riesgo para todas las partes. El objetivo del uso del continuo de fuerza es usar la fuerza razonable cuando ésta se usa para lograr objetivos legales. Los procedimientos de uso de la fuerza de la organización no constituyen un documento legal. Tampoco proporcionan ninguna protección de la organización y su personal contra acusaciones derivadas del uso de la fuerza que lleven a lesiones graves o muerte. Los procedimientos del uso de la fuerza se pueden citar en defensa contra acusaciones de asesinato, homicidio culposo u otro tipo de homicidio, asalto o agresión para demostrar que la organización ha definido claramente los procedimientos para el uso de la fuerza, los cuales son consistentes con la ley aplicable en el momento en que se usó la fuerza. El personal de la organización también puede usar los procedimientos para demostrar que el uso de la fuerza fue razonable en grado y duración en las circunstancias que enfrentó el individuo en eso momento y que no fue una reacción mal concebida, si no disciplinada y controlada, con la debida consideración de la seguridad de los demás. Los procedimientos de uso de la fuerza de la organización pueden ser más restrictivos de lo que permite la ley aplicable. Por ejemplo, el uso de disparos de advertencia puede estar permitido por la ley o los reglamentos pertinentes, pero no se exige. La organización puede determinar que el uso de disparos de advertencia presenta un riesgo innecesario de daño involuntario a los transeúntes debido a la descarga sin objetivo de armas letales. Igualmente, algunos regímenes legales autorizan el uso amplio de la fuerza para proteger a otros en las proximidades incluso si no tienen relación con el individuo armado ni sus labores. Los procedimientos del uso de la fuerza de la organización, sin embargo, pueden restringir el uso de la fuerza en Norma de Estudio NTC-ISO 18788 defensa de otros en estas circunstancias. Al analizar dicha restricción, la organización podría considerar que algunos regímenes legales exigen el uso de la fuerza razonable, necesaria y disponible en la defensa de otros. Sin embargo, en ninguna circunstancia los procedimientos del uso de la fuerza de la organización deberían restringir el derecho inerte a la autodefensa del individuo. A.8.3.5 Reglas para el uso de fuerza (RUF) En algunas circunstancias es posible que la autoridad competente le halla proporcionado a la organización las RUF. Las autoridades competentes incluyen los gobiernos que ejercen control en el área en que opera la organización, los gobiernos que contratan a la organización para la seguridad, o los comandantes militares que ejercen autoridad equivalente a de la ocupación militar de un área. Las RUF representan autorizaciones y limites oficiales para la organización en el uso de armas de fuego y otra fuerza asociada a las operaciones de su negocio. En general, tales RUF incluirán instrucciones con respecto a los procedimientos de autorización de armas que incluyen tipos de armas, escalada de la fuerza para incluir requisitos de advertencia, aclaraciones y limites en uso de la fuerza en defensa propia y requisitos de comunicaciones y reporte en asociación con el uso de fuerza. La organización debería llevar a cabo una revisión exhaustiva de las RUF, de esta norma y de otros compromisos que suscriba. Los procedimientos de uso de la fuerza de la organización deberían incluir todos los elementos de estas fuentes que están ausentes en las RUF. La organización también debería revisar las RUF para asegurar que no exceden el uso de la fuerza que se permite en esta norma ni restringen el uso de la fuerza razonable innecesaria en defensa propia. Si las RUF que se han publicado exceden el uso de la fuerza permitido en esta norma u otra ley aplicable, o restringen irracionalmente el uso de la fuerza en defensa propia, la organización debería solicitar la modificación de estas. Siempre que sea posible, organización debería solicitar la aprobación por una autoridad competente de sus procedimientos del uso de la fuerza para que se publiquen como RUF. A.8.3.6 Autorización de armas La organización debería desarrollar procedimientos para identificar el personal específico que necesita estar armado para realizar las operaciones de seguridad de la organización, y las circunstancias en las cuales dicho personal puede portar armas. La autorización de armas debería limitar al personal calificado, según los términos y las condiciones del contrato o cuando existe una expectativa razonable de que la vida o los activos estén en peligro si no se portan las armas. La organización debería documentar sus procedimientos de diligencia de vida acordes con la región en donde se ejecutan las operaciones de seguridad, frente a las leyes nacionales aplicables y pertinentes para que su pernal evalué si un individuo se le prohíbe o no poseer o portar un arma. La organización no debería entregar armas a su personal hasta que se completen las investigaciones de los antecedentes del individuo. Los procedimientos de autorización para las armas deberían limitar que el personal porte armas en las operaciones de seguridad hasta que el individuo esté capacitado y certificado en el uso de esas armas específicas. Los Norma de Estudio NTC-ISO 18788 procedimientos de la organización deberían especificar las condiciones en las cuales se puede suspender o revocar la autorización para las armas y la autoridad para tal acción. La organización también debería considerar las restricciones al acceso a las armas en las siguientes circunstancias: a. b. c. d. e. Cuando no se ejecutan las operaciones de seguridad; En un plazo de 8 o más horas después de consumir bebidas alcohólicas; Mientras se encuentre bajo prescripción de medicamentos que puedan alterar la reacción o el juicio; Inmediatamente después de reportar un evento indeseable, Después de recibir alegatos de incumplimiento con las RUF o los procedimientos para el uso de fuerza que se han establecido. Para todas las personas autorizados a portar armas en nombre de la organización, debería existir un registro de: a. b. c. d. e. Prueba de la autorización para portar armas; Un registro actual de la capacitación, la calificación y la competencia para el uso de armas que sea específico para el tipo y el modelo autorizados, Expedición y devolución del arma especifica utilizada en la ejecución de sus labores; Mantenimiento de las armas; Uso de las armas (disparó del arma fuera de la capacitación). La organización debería desarrollar procedimientos para mantener y acceder a estos registros para cada persona durante todo el tiempo que el individuo tenga autorización para usar o portar armas por periodo más largo según lo exija la ley. A.8.3.7 Capacitación en uso de la fuerza Las RUF y la política y los procedimientos del uso de la fuerza se debería comunicar a las personas que trabajan en nombre de la organización con el nivel de detalle que sea adecuado para la audiencia objeto. La capacitación debería incluir todos los elementos principales de los procedimientos del uso de fuerza de la organización y las RUF autorizadas acordes con el nivel y las tareas previstas a ejecutar por parte del personal que se encuentra en capacitación. Se deriva prestar atención especial a las siguientes áreas: a. b. c. d. e. f. g. Las leyes de autodefensa aplicables a las operaciones de seguridad particulares; Cuándo y dónde puede estar armado el personal de la organización; Almacenamiento de las armas cuando no se están utilizando; Los conceptos de autodefensa y defensa de otros; lo que se considera razonable y necesario; Las consecuencias de incumplir los procedimientos del uso de la fuerza o las RUF autorizadas; Las responsabilidades civiles y legales potenciales que puede enfrentar el individuo o la organización como resultado del uso de la fuerza (esto incluye la responsabilidad supervisora por la acción o la falta de acción y la responsabilidad individual independientemente de las órdenes de supervisión o las instrucciones que den al individuo); h. La diferencia entre las reglas de participación (RDP) apropiadas para las fuerzas armadas y los procedimientos del uso de la fuerza o las RUF que se aplican a la autodefensa civil. (En muchos casos, el personal de seguridad privada provendrá de ambientes militares en donde han aprendido a usar la fuerza en consistencia con las RDP. Además, las operaciones de seguridad privada pueden ser ejecutadas en un entorno en donde estén trabajando juntos con las fuerzas militares que operan bajo las RDP). Una comprensión clara de las diferencias es crítica tanta para las operaciones de seguridad privada como para las militares. La capacitación debería incluir instrucciones como aplicación de la fuerza como parte de un continuo de respuestas y evaluar la comprensión del individuo dentro de dicho continuo. El propósito es que el individuo entienda y aplicar solamente la cantidad de fuerza razonable necesaria para detener una amenaza, pero que sea suficientes para atender a las personas y la propiedad del ataque u otro tipo de violencia. Como mínimo, el continuo, o el uso de la fuerza gradual, deberían incluir capacitación en las siguientes técnicas y en los indicadores adecuados para su uso y el éxito o el fracaso de dicha técnica. a. b. c. d. e. f. Presencia personal: precisa como disuasión; Verbalidad: la fuerza es física; gritar advertencias verbales para disuadir de las actividades. Control de mano vacía: uso de la fuerza corporal para ganar control de una situación, restringir fiscalmente, bloquear acceso o detener al adversario. Métodos menos letales: uso de tecnologías de letalidad reducida para obtener el control de una situación. Amenaza fuerza letal: mostrar un arma y demostrar la intención de usarla. Fuerza letal: uso de armas letales para obtener control de una situación. Disparar para eliminar la amenaza únicamente cuando sea necesario. Disparos únicamente con un objetivo y con la debida consideración de la seguridad de los transeúntes. La capacitación sobre el uso de la fuerza debería incluir: a. b. c. El uso continuo de la fuerza; El rol de la autoridad supervisora en el control de dicha fuerza (incluida la autoridad y los limites sobre la autoridad para dirigir y escalar o reducir la fuerza); Los roles de la autoridad del personal supervisor de la organización, la parte y las autoridades legales tales como política o personal militar en dirección o restricción del uso de la fuerza. Los programas de capacitación deberían incluir capacitación académica (aula de clase), mecánica de fuego real con base en el escenario. A los individuos se les debería presentar la situación similar a aquellas que se enfrentaran bajo la ejecución de las operaciones de seguridad. Dichas situaciones deberían ser a adecuadas a las labores de los individuos y exigirle aplicar el juicio e iniciar respuestas adecuadas en situaciones de complejidad y ambigüedad creciente. La capacitación en fuego real también debería ser pertinente para los requisitos de las operaciones de seguridad particulares. los ejemplos incluyen, entre otros, fuego rápido en distancias cortas, desactivación del fuego dirigido contra vehículos en movimientos, uso de barricadas y obstáculos, o fuego proveniente de vehículos en movimiento. La organización debería utilizar diferencias realistas, medibles y objetivas para demostrar la suficiencia. Las normas para la calificación del uso de armas deberían ser consistentes con las normas militares o industriales publicadas adecuadas para las tareas de seguridad que se esperen del individuo y se deberían pactar con la entidad a la cual se protege, siempre que se posible. Norma de Estudio NTC-ISO 18788 A.8.4 Detención y registro A.8.4.1 Detención de personas La organización debería capacitación a su personal en la detención de personas. Esto normalmente se limita a personas detenidas después de un ataque contra el personal de la organización, los clientes o la propiedad bajo la protección de la organización. También debería incluir las acciones por ejecutar cuando el individuo intenta abandonar el punto de control de acceso sin autorización. La capacitación debería ser teórica, practica y enfatizar la protección de las personas y la propiedad contra ataques posteriores, al tiempo que se trata humanamente a los detenidos. La capacitación debería incluir medidas para proteger a las personas detenidas contra ataques o violencia, el reporte de la detención al cliente o a las autoridades correspondientes, y la transferencia de las personas detenidas a la autoridad correspondiente lo antes posible. La organización debería documentar la transferencia de la custodia que incluya la identidad de la persona detenida, el delito que se argumenta y a quien se transfiere dicha persona. A.8.4.2 Registro La organización debería establecer procedimientos para el registro de del personal que sean consistentes con la dignidad y el tratamiento humano de las personas a las que se registra, al tiempo que se garantiza la seguridad de los clientes, la propiedad bajo la protección, la seguridad del personal de la organización y los transeúntes. La organización debería documentar y proteger los efectos personales que se retienen después de un registro. La capacitación diferencia entre registros invasivos mínimos de las personas en puestos de guardia estacionarios y los registros exhaustivos que se requiere después de la detención. Los procedimientos de registro de las personas incluidas deberían incluir: a. b. c. La distinción entre las personas detenidas como resultado de un ataque o una amenaza inminente y el registro voluntario de las personas en los puntos de control de acceso; El equilibrio entre prestar los primeros auxilios que se requieren para preservar la vida y la necesidad de asegurar que el individuo al cual de registra no presenta una amenaza inminente de muerte o daño corporal grave para aquellos en las proximidades. Las acciones respecto a las personas que rechazan el registro o aquellas que intentan abandonar el área después de enterarse que van a ser registradas. A.8.5 Operaciones de apoyo a las fuerzas del orden La organización consultar a un asesor legal competente antes de involucrarse en actividades de las fuerzas del orden o relacionadas con ellas. A.8.6 Recursos, roles, responsabilidad y autoridad Norma de Estudio NTC-ISO 18788 La implementación exitosos SGOS requieren el compromiso de todas las personas que trabajan para la organización en nombre. Los roles, las responsabilidades y las autoridades de los individuos que deberían definir claramente para asegurar la implementación del SGOS, prevenir malentendidos (en particular un evento indeseable o perturbador) y evitar omisiones de labores. Los roles, las responsabilidades y las autoridades también se deberían definir, documentar y comunicar para la coordinación con las partes interesadas internas. Esto debería incluir las interacciones con subcontratistas, socios, proveedores, autoridades y comunidades locales. La organización debería definir y comunicar las responsabilidades y autoridades de todas las personas involucradas en la gestión de las operaciones de seguridad independientemente de sus roles en la organización. Los recursos siniestrados por la alta dirección deberían permitir el cumplimiento de los roles y las responsabilidades y autoridades se deberían revisar cada vez que se procede un cambio en el contexto operacional de la organización. Es necesario implementar una estructura administrativa adecuada para tratar eficazmente con la gestión de incidentes un evento indeseable o perturbador. Deberían existir definiciones claras para la estructura de gestión, la autoridad para las decisiones y la responsabilidad de la implementación. La organización debería tener un equipo de gestión de incidentes para liderar la respuesta ante un evento bajo la dirección clara de la alta dirección o sus representantes. Este equipo debería incluir funciones tales como: a. b. c. d. e. f. g. h. i. Planificación; Respuesta y gestión de incidentes; Gestion de recursos humanos; Salud, seguridad y respuesta medica; Gestion de la información; Seguridad; Legal; Comunicaciones/relaciones con los medios de comunicación; Otras funciones de apoyo críticas. El equipo de gestión de incidentes el apoyo de mucho equipo, según corresponda, tomando en cuenta factores tales como tamaño y tipo de la organización, número de empleados, ubicación etc. Los equipos deberían desarrollar planes de respuesta para abordar los diversos aspectos de las potenciales crisis tales como evaluación y control de daños, comunicaciones, recursos humanos, tecnología de la información y apoyo admirativo. Los planes de respuesta de gestión de incidentes deberían ser conscientes y estar ingresados en el SGOS general. La designación de los individuos como miembros de los equipos de gestión de incidentes se debería basar en sus habilidades, nivel de compromiso e interés particular. A.8.6.2 Personal A.8.6.2.1 Generalidades Norma de Estudio NTC-ISO 18788 Las necesidades de personal, competencia y capacitación son elementos de salida del contexto de la organización y sus requisitos contractuales, así como de la evaluación del riesgo y la decisión de objetivos. La organización debería establecer procedimientos para el bienestar de las personas que trabaja en su nombre, que sean consistentes con la protección que brindan las leyes laborales aplicables y otras que incluyan: a. b. c. d. e. Proporcionar al personal una copia de todo el contrato del cual formen parte de un idioma que ellos entiendan, Proporcionar al personal disposiciones adecuadas de pago y remuneración proporcionales sus responsabilidades y condiciones laborales: Adoptar políticas de salud y seguridad ocupacional, Asegurar al personal acceso libre a sus propios documentos de viaje: Prevenir discriminación ilegal en empleo. La privacidad y confidencialidad de la información acerca de los individuos se deberían proteger. La información corporativa de a antecedentes de los individuos puede ser altamente sensible. Es esencial que la organización establezca y mantenga procedimientos para asegurar adecuada y estrictamente la confidencialidad de la información tanto interna como externamente. La organización debería retener los documentos pertinentes de manera segura durante un periodo de tiempo que cumpla con las leyes y los reglamentos aplicables. Los requisitos contractuales y las políticas sobre registros de la organización. Por lo menos, se debería documentar la siguiente información para todo el personal: a. Nombre, dirección e información del contacto; b. Información de contacto para la familia y personas inmediatas con el fin de notificar en caso de lesión o muerte; c. Información de identificación personal; d. Informaron exigir por lo requisitos legales y otros. A.8.6.2.2 Selección, revisión de antecedentes y aprobación del personal La organización debería establece un padecimiento documentado para verificar los antecedentes previo al empleo y aprobar a las personas que van a trabajar en su nombre. Igualmente, debería establecer, documentar, implementar y mantener procedimientos para el rechazo del personal que no cumple las calificaciones mínimas establecidas para los cargos paras la sección adecuada de personal calificado con base en su conocimiento, habilidades, destrezas y otros atributos. Los procedimientos de revisión y selección deberían ser consistentes en los requisitos legales y contractuales, y con los principios del Montreux Documents y el /CoC. El proceso de selección y aprobación se debería basar en la amenaza de trabajo para el cual se consideran los candidatos el nivel de autoridad de la persona y el área de especialización. La selección y aprobación se debería realizar antes de ofrecerle al candidato un cargo y empezar a trabajar. Los candidatos deberían firmar autorizaciones y consentimientos adecuados antes de realizar la revisión de antecedes. La decisión de retener los servicios de un individuo se debería basar en la totalidad de las calificaciones del candidato y de los resultados de la revisión de antecedes y la aprobación. Siempre que se posible, el proceso de selección ya probación debería incluir: a. b. c. d. Verificación de identidad; Verificación de la historia personal; Experiencia, calificaciones; Verificación de otras credenciales. Las exclusiones de deberían documentar cuando no se dispone de información, esta no es confiable o no es adecuada. La verificación de la identidad debería incluir la verificación de la validez de la historia personal y edad mínima del candidato. La historia personal validada mediante búsquedas en el historial del candidato, cuando está disponible, debería considerar, en otros: a. b. c. d. e. f. g. h. i. j. k. Dirección del domicilio; Registros de empleo; Medios electrónicos; Historial de registro civil y delictivo, Registros de violaciones de derechos humanos, Registro del servicio militar o fuerzas del orden; Registros de vehículos automotores; Reportes de créditos; Índices de infracciones sexuales; Lista de sanciones del gobierno y la industria; Registros de licencias específicas para la industria. Al verificar la experiencia y las calificaci0nes que presenta el candidato, la organización debería buscar brechas inexplicables. Esto debería brindar información acerca de, en otros: a. b. c. d. e. f. Verificación de la educación; Verificación de empleo; Verificación de licencias/certificación/registros; Referencias personales; Entrevistas con el supervisor y colegas; Verificación de la historia militar o de las fuerzas del orden. La organización también debería establecer criterios claramente definidos para la selección y la aprobación de los individuos con base en: a. b. c. d. Abuso de sustancias; Idoneidad física y mental para las actividades; Ineptitud para portar armas; Habilidad para operar en condiciones estresantes y adversas. Norma de Estudio NTC-ISO 18788 Se recomienda proteger la privacidad y confidencialidad de la información acerca de los individuos. Los documentos personales como pasaportes, licencias y certificados originales de nacimiento se deberían devolver al personal dentro de un periodo de tiempo razonable. A.8.6.2.3 Selección, revisión de antecedentes y aprobación de subcontratistas La organización solamente debería tener los servicios temporal o continuamente, de sus subcontratistas competentes con capacidad para operar en coherencia con esta norma y los principios del Montreux Document y del /CoC. La organización es responsable del trabajo del subcontratista. La organización debería establecer, mantener y documentar criterios claramente definidos para la selección y aprobación de los contratistas que se emplearan en la contratación. Los acuerdos contractuales con los subcontratistas deberían estar documentados y retenerse según las leyes aplicables y las obligaciones contractuales con el cliente los criterios para la subcontratación deberán incluir la capacidad del subcontratista para: a. b. Cumplir los requisitos de esta norma; Ejecutar sus actividades de conformidad con las leyes pertinentes (locales, nacional, humanitarias y de derechos humanos); c. Proteger la imagen y a la reputación del cliente; d. Proporcionar recursos y experticia adecuados, que incluyan personal competente, para satisfacer los objeticos operacionales; e. Asegurara transparencia, rendición de cuentas y su supervisión adecuada en la implementación de las labores asignadas; f. Tener en cuenta las obligaciones financieras y económicas (incluida la remuneración adecuada de su personal y la cobertura de los seguros); g. Obtener los registros, las licencias o autorizaciones que son requisitos; h. Mantener registros precisos y actualizados del personal y la propiedad; i. Adquirir, usar, devolver y disponer de las armas y la municione según las leyes aplicables y las obligaciones contractuales. La organización debería: a. Asegurar acuerdos escritos adecuados con el subcontratista o el socio en contratación externa; b. Asesorar al cliente en la redacción de los acuerdos y, cuenda se apropiado obtener su aprobación; c. Ser responsable de la vigilancia de la capacitación del personal suministrado por el subcontratista para emplear en el contrato incluido el respeto de los derechos humanos y a la evitación de impactos adversos; d. Asegurar que se sumista cobertura de seguros total para las actividades subcontratista; e. Mantener un registro del cumplimiento de esa norma para el trabajo subcontratado o contrato externamente. A.8.6.3 Adquisición y manejo de armas, materiales peligrosos y municiones La organización debería establecer y documentar sus procesos para cumplir las leyes y los reglamentos nacionales e internacionales con respecto a la adquisición, la licencia y el transporte de armas de fuego (y otras mercancías controladas Norma de Estudio NTC-ISO 18788 como armaduras corporales y explosivos) para el uso en las operaciones, Por lo tanto, la organización debería establecer, mantener y documentar procedimientos que garanticen que: a. b. c. d. e. f. g. h. i. Adquiere sus municiones y equipos en particular sus armas, de manera legal (incluidas las garantías de usuario final); Adquiere y mantiene la autorización legal para la posesión, el transporte, la exportación y el embarque de armas de fuego, munición y otras mercancías controladas, según lo exige la ley nacional e internacional aplicable; Puede identificar y responder por toda la munición y el equipo, especialmente sus armas y mariales peligroso (p. ej; registro de números de serie, hoja de datos de seguridad del material, fichad técnicas, fichas de producto o números de lote); Utiliza municiones y equipos en particular armas de fuego, que no están prohibidos por la ley internacional; Establece criterios pata el uso de equipos materiales y armas adecuados para las labores y las operaciones, dentro del contexto del uso de la defensa propia o la defensa de otros. Establece un sistema de trazabilidad para os equipos, los materiales y las armas; Crea disposiciones adecuadas para el almacenamiento, la expedición, el mantenimiento, y el transporte y el uso seguros y protegidos de equipos, materiales y armas; Realiza mantenimiento regular de las armas de las armas de fuego y del equipo de seguridad para seguridad que son aptos y seguros para el propósito; Ha cumplido las disposiciones contractuales con respecto a la devolución y/o disposición de armas y munición. La posesión y uso de armas debería estar autorizado por la organización y sus subcontratistas, según se especifique en el contrato. Para las personas que trabajan en nombre de la organización, debería haber un registro de: a. b. c. d. Prueba de la autorización para portar armar; Registro vigente de capacitación, calificación y competencia en el uso de armas; Mantenimiento de las armas; Utilización de las armas. A.8.6.4 Uniformes y rotulados La organización debería adoptar y usar rótulos en uniformes y equipos que indiquen el estatus de miembros del equipo de operaciones de seguridad y sus afiliaciones a la compañía utilizando patrones, colores o rotulados que no se confunden fácilmente con aquellos de las fuerzas de seguridad pública, como militares y policías. Los uniformes y rotulados seleccionados por la organización o designados por el cliente también pueden estar sujetos a la aprobación de las autoridades correspondientes en el país en donde opera la organización. Uniformes estandarizados y vehículos rotulados brindan una indicación al público en general, la policía, el ejército, y otras autoridades de que los miembros del equipo de operaciones de seguridad tienen autorización para portar y usar armas. Los uniformes deberían incluir un número de placa, nombre, u otros medios para distinguir al personal individual de la organización los rotulados en los vehículos deberían incluye el logo de la compañía y un número único. Los uniformes y otros rotulados Norma de Estudio NTC-ISO 18788 facilitan la identificación apropiada por parte del público en caso de un evento perturbador o indeseable. Esta identificación permite el reportaje abierto y transparente y reducir la probabilidad de que organización pueda ser culpada por la posible mala conducta de otra organización que opera en la misma área. Los uniformes pueden proyectar una imagen positiva acerca de la organización y promover un comportamiento profesional y responsable por parte del personal de la compañía. En situaciones de conflicto armado, los uniformes y rotulados diferenciables puede reducir la probabilidad de que el personal de operaciones de seguridad sea tomado por combatientes y sean el objetivo de fuerzas armadas hostiles, cuando estas fuerzas atacan el DIH. Para que sea eficaz la información que describe los uniformes, el logo de la compañía, las placas y los rotulados únicos de los vehículos debe estar disponible para las autoridades locales el público y según sea aplicable a las fuerzas armadas opositoras. Puede haber circunstancias específicas en donde un cliente quiera que el personal de operaciones de seguridad no sea identificable fácilmente como tal. En otras circunstancias la evaluación del riesgo puede indicar que la identificaron visible de los escoltas de seguridad armados aumentara la amenaza de violencia y peligro para el cliente, el, público y el personal de seguridad. Es estas situaciones, cuando un enfoque más discreto es consistente con la ley local, se puede instruir al personal de operaciones de seguridad para que use otra vestimenta funcional que no se diferencia facialmente de aquella de los civiles, a no portar armas visibles y que los vehículos no se destaquen en el tráfico civil. Incluso en situaciones discretas o de perfil bajo, el personal de operaciones de seguridad debería portar los medios no transferibles de identificación personal. A.8.7 Salud y seguridad ocupacional La organización debería brindar un ambiente laboral seguro y saludable, reconociendo los posibles peligros y limitaciones inherentes que presentan el ambiente local. Se deberían tomar precauciones razonables para proteger a todas las personas que trabajan en nombre de la organización, o aquellos bajo su cuidado, en situaciones de alto riesgo o de amenaza para la vida. A.8.8 Manejo de incidentes A.8.8.1 Generalidades la organización debería desarrollar procedimientos de prevención, preparación, mitigación, respuesta, recuperación y remediales para los eventos indeseables y perturbadores. También debería establecer procedimientos documentados que detallen la manera en que la organización gestionara un evento perturbador y como recuperara o mantendrá sus actividades en nivel predeterminado, con base en los objetivos de recuperación aprobados por la dirección. Los procedimientos deberían: a. b. c. Estar basados en los riesgos identificados y priorizados en la evaluación del riesgo; Usar la evaluación del riesgo para identificar las características de los eventos indeseables y perturbadores potenciales, incluidos los precursores y las señales de advertencia; Gestionar el riesgo con base en los elementos de salida de la evaluación del riesgo en un proceso sistemático y holístico. d. e. Combinar las opciones para el tratamiento del riesgo considerando las estrategias de evitación, eliminación, reducción, dispersión, transferencia y aceptación para dar una solución óptima; Incluir disposiciones para la notificación a las autoridades y las partes interesadas correspondientes. La organización debería establecer procedimientos para establecer cuando los peligros específicos son tan evidentes que es necesario algún nivel de reacción para evitar, prevenir, mitigar o responder a un evento indeseable potencial. Este proceso debería tener el apoyo de un programa solido de detección y políticas y procedimientos de evitación. Una vez que se reconoce, un insistente perturbador potencial se debería reportar inmediatamente a las autoridades correspondientes, a un miembro de la dirección o a otra persona con la responsabilidad de la notificación de la crisis y de la gestión interna y con las partes interesadas externas. Los criterios específicos de notificación se deberían establecer documentar y cumplir. La evaluación del problema un (proceso evaluativo de toma de decisiones que determinara la naturaleza del problema a abordar) y una evaluación de la gravedad (el proceso de determinar la gravedad de la perturbación y las consecuencias asociadas) se deberían ejecutar al principio de un evento indeseable. Los factores por considerar incluyen el tamaño del problema su potencial para escalar y el posible impacto de la situación en la organización y sus partes interesadas (p. ej; la comunidad local y los clientes). La prevención puede incluir pasos proactivos para coordinar con las partes interesadas internas y externas. La cultura organiza los planes operativos y los objetivos de la gestión deberían motivar a los individuos a sentirse personalmente responsables de la prevención, la evitación la disuasión y la detección. Se deberían emplear estrategias de mitigación efectivas en términos de costos para prevenir o reducir las consecuencias de los eventos potenciales. Se deberían identificar los diversos recursos que contribuirán al proceso de mitigación. Los planes de preparación y respuesta deberían desarrollar arreador de un (escenario del peor de los casos) que sea realistas entendiendo que la respuesta se puede escalar adecuadamente para afrontar la crisis real. Las consideraciones incluyen: a. b. c. d. Las personas son el aspecto más importante en cualquier plan de preparación y respuesta; La manera en que se gestionan los recursos humanos de la organización tendrá impacto en el existo o el fracaso de la gestión del incidente; Las decisiones logísticas que se tomen con anticipación tendrán impacto en el éxito o el fracaso de un buen plan de preparación y respuesta; Se deberían examinar la financiación existente y las pólizas de seguro. A.8.8.2 Monitoreo, reporte e instigación de los incidentes La organización debería establecer procedimientos para el reporte de incidentes que documenten todo incidente que involucre a las personas que trabajan en su nombre que impliquen el uso de cualquier arma en cualquier circunstancia (excepto la capacitación autorizada),toda escala de la fuerza, daños en los equipos, lesiones a persona destrucción de la propiedad ataques, actos criminales, accidentes de tráfico, incidentes que impliquen a otras fuerzas de seguridad y cualquier otro de tales reportes que exija el cliente. La organización debería establecer procedimientos para una investigación interna con el fin de determinar: a. Hora y lugar del incidente; b. Identidad de las personas involucradas, incluidas sus direcciones u otros detalles de contacto; c. Lesiones/daños sufridos; d. Circunstancias que precedieron al incidente; e. Todas las medidas ejecutas por la organización en respuesta al incidente; f. Causad de que allá víctimas internas y externas; g. Notificación a las autoridades competentes; h. Identificación de la causa raíz; i. Acciones correctivas y preventivas ejecutadas. Después de finalizar la investigación, la organización debería elaborara por escrito un reporte incidente que incluya la información arriba mencionada copia del cual se debería suministrar a las partes interesadas correspondientes (p. ej; clientes y autoridades competentes). Los reportes de incidentes deberían brindar información suficiente para evaluar la idoneidad de la respuesta. Las personas que trabajan nombre la organización deberían conocer las responsabilidades y mecanismos para el reporte del incidente, coincida la recolección y preservación de la evidencia. El programa de porte de incidentes debería incluirse en el programa de la capacitación de la organización. A.8.8.3 Procedimientos de quejas y reclamos internos y externos La organización debería establecer un procedimiento de quejas y reclamos mediante el cual cualquier parte interesada, interno o externa, que considere que existen no conformidades potenciales o reales con esta norma, de violaciones de las leyes internacionales, nacionales y locales o de los derechos humanos pueda entablar reclamos. El procedimiento debería establecer que la organización, o las personas que trabajan en su nombre, no pueden tomar represalias contra nadie que allá entablado un reclamo o coopere en la investigación de uno. Los procedimientos de quejas y reclamos no son solamente para documentar los reclamos; se deberían diseñar para revisar putas al identificar las causas raíz, mejorar la rendición de cuentas, evaluar los criterios de eficacia e impulsar una cultura de mejora continua. Una vez se verifique la queja o el reclamo, se deberían implementar rápidamente acciones correctivas y preventivas. Al desarrollar los procedimientos de quejas y reclamos, se debería a designar a uno o más individuos con la autoridad para coordinar los esfuerzos de investigar y resolver todas las quejas que la organización recibe que afirme acciones que amenacen la vida humana, los derechos o la seguridad, o que no cumplan los requisitos de esta norma o aquellos que exige el cliente. La organización debería adoptar y publicar sus procedimientos de reclamos proporcionando solución pronta y equitativa a las quejas. Los podrecimientos deberían incluir, entre otros: a. b. c. Los mecanismos para presentarla queja o el reclamo; Los requisitos de información del remitente; incluida la presentación de información de verificación; Los marcos temporales para la presentación, las investigaciones y los resultados, d. e. f. g. h. i. j. k. l. Las disipaciones confidencialidad y privacidad, Las etapas jerárquicas para el proceso de resolución, Los procedimientos de investigación, internos como externos, Los requisitos de mantenimiento de los archivos y los registros relacionados con el reclamo y la investigación, Las acciones disciplinarias, Los pasos para resolución de una queja o un reclama, incluidas las acciones para prevenir su recurrencia; La documentación y la comunicación de los resultados, La notificación a las autoridades correspondientes, La evaluación de la eficiencia de los procedimientos de queja y reclamos. A.8.8.4 Política del delator un delator es una persona que trabaja en nombre la organización, que expone actividades y acciones que no cumplen con esta norma son inconsistentes con las obligaciones legales y los compromisos voluntarios de la organización. Los delatores pueden presentar sus alegatos interna o externamente (p.ej.; a los legisladores y agencias de las fuerzas del orden, o a grupos interesados en estos temas). La organización debería establecer y conocer su política del delator a las partes interesadas correspondientes. A.9 EVALUCION DEL DESEMPEÑO A.9.1 Monitoreo, medición, análisis y evaluación A.9.1.1 Generalidades la evaluación del desempeño implica la medición, el monitoreo y la evaluación de las operaciones de seguridad de la organización, su conformidad lega} y el desempeño en cuanto a derechos humanos. La organización debería tener un enfoque sistemático para medir y monitorear con seguridad los indicadores claves del desempeño de las operaciones de seguridad. La métrica garantiza el logro de la política, los objetivos y las metas de la organización, así como dilucidar áreas de mejora. Con el fin de medir y monitorear el desempeño de las operaciones de seguridad de la organización, se debería desarrollar grupo de indicadores para el sistema de gestión y los resultados 8includiso los impactos de sus operaciones de seguridad). las mediciones pueden ser cuantitativas o cualitativas, y relacionarse directamente con la evaluación del riesgo y los objetivos y las metas de las operaciones de seguridad. Los indicadores del desempeño pueden ser indicadores gerenciales, operativos o económicos. Los indicadores deberían brindar información útil para identificar exitosas como aquellas que requieren de corrección o mejora. El SGOS debería brindar procedimientos para definir la métrica, la recolección de datos y el análisis de estos. La métrica se debería establecer para monitorear y medir la eficacia de SGOS e identificar áreas de mejora para promover el desempeño con el fin de prevenir eventos indeseables o perturbadores potenciales. El conocimiento de oportuno a partir de esta información se puede usar para implementar acciones correctivas y preventivas. Las características cruciales son aquellas que la organización necesita analizar para determinar la manera en que se gestiona sus riesgos significativos, alcanza sus objetivos y metas y mejora el desempeño de las operaciones de seguridad. Norma de Estudio NTC-ISO 18788 Cuando sea necesario para asegurar resultados válidos, el equipo de medición se deberá calibrar o verificar a intervalos específicos, o antes del uso, con respecto a estándares de medición que se puedan trazar hasta normas de medición internacionales o nacionales. Cuando no existen tales normas, se debería registrar la base que utiliza para la calibración. A.9.1.2 Evaluación de la conformidad La organización debería poder demostrar que ha evaluado la conformidad con los requisitos legales y derechos humanos que sea identificados, incluidos los permisos o licencias aplicables. También debería poder demostrar que ha evaluado la conformidad con otros requisitos identificados a los cuales se suscribe. A.9.1.3 Ejercicios y pruebas Los escenarios para los ejercicios y las pruebas se deberían diseñar utilizando os eventos que se identificar en la evaluación del riesgo. Los ejercicios y las pruebas pueden servir como una herramienta eficaz de capacitación y se pueden usar para validar las afirmaciones y las conclusiones de evaluación del riesgo. Los ejercicios garantizan que los recursos tecnológicos funcionan según lo planificado y que las personas que trabajan en nombre de organización tienen la capacitación adecuada en su uso y funcionamiento. Los ejercicios pueden hacer que las personas que trabajan a nombre de la organización tengan un comportamiento eficaz en sus labores, aclarar sus roles e identificar áreas de mejora en el SGOS, sus planes y sus procedimientos. Los ejercicios pueden revelar debilidad en el SGOS que deberían corregirse. Un compromiso con los ejercicios le da credibilidad y autoridad al SGOS. El primer paso en la ejecución de ejercicios y pruebas debería ser el establecimiento de las metas y las expectativas. La meta critica es establecer si debe terminamos procesos de prevención y respuesta y funcionan y como se pueden mejorar. La organización debería usa los ejercicios y sus resultados documentados para asegurar la eficacia y preparación del SGOS, específicamente sus planes de operaciones de seguridad, la preparación de sus equipos e instalaciones, con el fin de ejecutar y validar su función en las operaciones de seguridad. Los beneficios de los ejercicios y las pruebas incluyen: a. b. c. d. e. Validación del alcance de la planificación, las afirmaciones y las estrategias; Examen y mejora de la competencia de las personas que trabajan en nombre de la organización; Prueba de la capacidad (p. ej; la capacidad de un sistema telefónico de llamadas entrada y de salida); Incremente de la eficiencia y reducción del tiempo necesario para culminar un proceso (p. ej; utilizando simulacros repetidos para reducir los tiempos de respuesta); Concienciación y conocimiento de las partes interesad internas y externas acerca de SGOS y de sus roles. La organización debería diseñar escenarios de ejercicios que evalúen los planes de las operaciones de seguridad. También debería establecer un cronograma de ejercicios para poner en practica periódicamente el SGOS y sus componentes. Los Norma de Estudio NTC-ISO 18788 ejercicios y las pruebas deberían ser realistas evaluar las capacidades y las habilidades de la gestión de las operaciones de seguridad y asegurar la protección de las personas y de los bienes involucrados. El alcance y el detalle de los ejercicios debería evolucionar con base en la experiencia, los recursos y las capacidades de la organización. Las pruebas tempranas podrían incluir listas de verificación, ejercicios sencillos y componentes pequeños del SGOS. Los ejemplos de la evaluación creciente de los ejercicios incluyen: a. b. c. d. Orientación: sección de introducción, resumen o educación. Ejercicios de mesa: ejercicios prácticos o simulados que se presentan en formato narrativo. Funcional: ejercicios guiados o especializados que simulan un escenario tan real como sea posible en un entorno controlado. Escala total: ejercicio en vivo o de la vida real que simula un escenario o dela vida real en la vida real. Existen varios roles que pueden ejecutar las participantes en el ejercicio, todos los participantes deberían entender sus roles en el ejercicio. Este debería involucrar a todos los participantes de la organización definidos por el alcalde del ejercicio; cuando sea adecuado se puede incluir a las partes interesad externas. Como parte del ejercicio se debería programar una revisión con todos los participantes para discutir los problemas y las lesiones aprendidas. Esta información se debería documentar en un informe formal del ejercicio que la alta dirección debería revisar. se debería hacer autorizaciones a los planes y los procedimientos, y a las medidas correctivas y preventivas que se implementaron inmediatamente. El diseño de las pruebas y los ejercicios se debería evaluar y modificar según sea necesario. Estos deberían ser dinámicos tomando en consideración los cambios en el SGOS, la rotación del personal, los incidentes reales y los resultados de ejercicios anteriores. Las lecciones aprendidas de los ejercidos y pruebas, así como de los incidentes reales que han experimentado, se deberían incorporar en la planificación futura de los ejercicios y las pruebas para el SGOS. Los resultados de los ejercicios y las pruebas se deberían documentar y conservar como registros. A.9.2 Auditoría Interna Es esencial ejecutar auditoría interna del SGOS para asegurar que este logra sus objetivos, cumple las disposiciones, esta implementado y se mantiene adecuadamente, y para identificar oportunidades de mejora. Las autoridades internas del SGOS se deberían realizar a intervalos planificados para determinar y brindar información a la alta dirección sobre la propiedad y la eficacia del sistema, así como suministrar una base para establecer los objetivos para la mejora continua del desempeño del sistema. La organización debería establecer un programa de auditorías (consulte la norma ISO 19011 como guía) que oriente la planificación y ejecución de las auditorias y para identificar las auditorias que se necesitan para satisfacer los objetivos del programa. Este programa se debería basar en la naturaleza de las actividades de la organización su evaluación del riesgo, los resultados de auditorías anteriores otros factores pertinentes. Norma de Estudio NTC-ISO 18788 El programa de auditoría interna se debería basar en el alcance total de SGOS; sin embargo, no es necesario que cada auditora cubra la totalidad del sistema de una vez. Las auditorias se pueden dividir en partes menores, siempre que el programa de auditoria garantice que todas las unidades, actividades y elementos del sistema- el campo de aplicación del SGOS- de la organización se auditen en el programa dentro del periodo designado por la organización. Los resultados de la auditoría interna del SGOS se pueden suministrar en un informe y utilizar para corregir o prevenir no conformidades específicas, y brindar elementos de entrada para realizar la revisión por la dirección. Las auditorías internas del SGOS pueden ser realizadas por personal interno de la organización o por personas externas seleccionas por esta etapa, que trabajen en su nombre. En cualquier caso, las personas que realizan la auditoria deberían ser competentes y hacerlo de manera imparcial y objetiva. En organizaciones más pequeñas e independencia del auditor se puede demostrar cuando el auditor no es responsable de la actividad que se audita. NOTA si la organización quiere combinar las auditorias de su SGOS son auditorias de seguridad, resiliencia, inocuidad o ambientes, Es necesario que el alcance y propósito de cada una se defiendan claramente. La evaluación de la conformidad por tercera parte, realizada por un organismo independiente a la organización, brinda confianza a las partes interesad internas y externas en que se cumplen los requisitos de esta norma. El valor de la certificación es el grado de confianza del público en que esta establecidas por una evaluación externa imparcial y competente. A.9.3 Revisión por la dirección la revisión por la dirección proporcionara a la alta dirección la oportunidad de evaluar la suficiencia, idoneidad y eficacia continuas del SGOS. La revisión por la dirección debería incluir el campo de aplicación del sistema, anqué no es necesario revisar de una vez todos sus elementos, y el proceso de revisión puede ejecutar en un periodo de tiempo. La revisión por la dirección permitirá a la alta dirección acordar las necesidades de cambio en los elementos claves del SGOS, que incluyen: a. b. c. d. e. Política; Asignación de recursos; Apetito y aceptación del riesgo; Objetivos y metas, Estrategias para las operaciones de seguridad. La revisión de la implementación y los resultados del SGOS por parte de la alta dirección se debería programar y evaluar con regularidad. Aunque es aconsejable la revisión continua del sistema, la revisión formal deberá ser estructurada documentada apropiadamente y programada en una base adecuada, las personas involucras en la implementación del SGOS y la asignación de sus recursos deberían participar en la revisión para la dirección además de las revisiones al sistema de gestión que se programan con regularidad, los siguientes factores pueden desencadenar una revisión y deberían examinar una vez que se programa la revisión. a. b. c. d. e. Evaluación del riesgo: el SGOS se debería revisar cada vez que se completa la evaluación del riesgo para la organización. Los resultados de esta evaluación se pueden utilizar para determinar si el SGOS continúa tratando adecuadamente los riesgos que enfrenta la organización. Tendencias sectoriales/industriales, contractuales y políticas: los cambios significativos en la tendencia sectorial/industriales, contractuales y políticas deberían iniciar una revisión del SGOS. Las tendencias generales y las mejores prácticas en el sector/la industria y en las técnicas de planificación de las operaciones de seguridad se pueden usar con propósito de comparación. Requisitos reglamentarios: los nuevos requisitos reglamentarios pueden exigir una revisión del SGOS. Experiencia en los eventos: una revisión de debería llevar a cabo inmediatamente después de un evento indeseable o perturbador, ya sé que hallan activado o no los planes de prevención, mitigación o respuesta. Si se activaron los planes, la revisión debería considerar la historia del propio plan, la manera en que funciono, porque se activó, etc. Si no se activaron los planes, la revisión debe examinar porque no se hizo y si esta fue una decisión correcta. Resultados de pruebas y ejercicios: con base en los resultados de las pruebas y los ejercicios, el SGOS se debería modificar según la necesidad. La mejora continua y el mantenimiento del SGOS deberían reflejar cambios en los riesgos, las actividades y el funcionamiento la organización que afecten a dicho sistema. Los siguientes son ejemplos de procedimientos, sistemas o procesos que pueden afectar al SGOS: a. b. c. d. e. f. g. h. i. j. k. l. Cambios en las políticas; Cambios en los peligros y las amenazas; Cambios en la organización y sus procesos de negocio; Cambios en las afirmaciones en la evaluación del riesgo; Cambios del personal (empleados y contratistas) y su información de contacto, Cambios en el subcontratista y la cadena de suministro Cambios en los procesos y la tecnología: Cambios en el software de los sistemas y las aplicaciones; Lecciones aprendidas de los ejercicios y las pruebas, Lecciones aprendidas de los eventos indeseables y perturbadores de las organizaciones externas; Problemas descubiertos durante de la invocación real del plan, Cambios en el ambiente externo (necesidades de clientes nuevos, cambios políticos, relaciones con las comunidades locales. etc.); m. Otros elementos observados durante la revisión del plan e identificados durante la evaluación del riesgo. A.10 MEJORA A.10.1 No conformidad y acción correctiva La organización debería establecer procedimientos eficaces para seguridad el crecimiento de un requisito, la deficiencia en el enfoque de planeación, los incidentes, los cuasi accidentes y las debilidades asociadas al SGOS (planes y procedimientos) se identifican y comunican oportunamente para prevenir la ocurrencia posterior de la situación, así como para identificar y tratar las causas raíz. Los procedimientos deberían permitir la detención, el análisis y la eliminación continuos de las causas reales y potenciales de las no conformidades. Norma de Estudio NTC-ISO 18788 Es aconsejable una investigación de las causas raíz de toda no conformidad que se identifique con el fin de desarrollar un plan de acción correctiva para tratar inmediatamente el problema y mitigar las consecuencias hacer los cambios necesarios para corregir la situación y restaurar las operaciones normales y tomar medidas para evitar que le problema se repita, eliminar las causas, la naturaleza y oportunidades de las acciones deberían ser adecuados a la escala y naturaleza de la no conformidad y sus consecuencias potenciales. En ocasiones, se puede identificar u problema potencial pero no existe una no conformidad real. En este caso, se debería ejecutar una acción preventiva utilizando un enfoque similar. Los problemas potenciales se pueden extrapolar desde acciones correctivas para no conformidades reales, identificadas durante el proceso de la auditoria interna del SGOS, a partir del análisis de las tendencias y los eventos en la industria, o se pueden identificar durante los ejercicios y las pruebas. La identificación de las no conformidades potenciales también puede formar parte de las responsabilidades rutinarias de las personas consientes de la importancia de observar y comunicar problemas potenciales o reales. Establecer procedimientos para tratar las no conformidades reales y potenciales para emprender acciones correctivas y preventivas de manera continua ayuda a asegurar la confiabilidad y eficacia del SHOS. Los procedimientos deberían definir responsabilidades, la autoridad y las medidas tomar en la planificación y ejecución de la acción correctiva y preventiva. La alta dirección debería asegurar que las acciones correctivas y preventivas están implementadas y que existe un seguimiento sistemático para evaluar su eficacia. Las acciones correctivas y preventivas que resultan en cambios en el SGOS se deberían reflejar en la documentación y también desencadenar una revisión en la evaluación del riesgo con respecto a los cambios en el sistema para evaluar el efecto en los planes, los procedimientos y la necesidad de capacitación. Los cambios se deberían comunicar a las partes interesadas y afectadas. La organización debería emprender acciones para eliminar la causa de las no conformidades asociadas a la implementación y la operación del SGOS con el fin de prevenir su recurrencia. Los procedimientos documentados para la acción correctiva deberían definir los requisitos para: a. b. c. d. e. f. Identificar las no conformidades, Determinar la causa de las no conformidades, Evaluar la necesidad de acciones para asegurar que las no conformidades no se repitan, Determinar e implementar la acción correctiva necesaria, Registrar los resultados la acción ejecutada, Revisar la acción correctiva que se ejecutó y sus resultados. A.10.2 Acción preventiva La organización debería emprender acciones para prevenir que ocurran no conformidades potenciales. Las acciones preventivas que se lleven a cabo deberían ser apropiadas para el impacto potencial de las no conformidades. Norma de Estudio NTC-ISO 18788 El procedimiento documentado para la acción preventiva debería definir los requisitos para: a. b. c. d. e. f. g. Identificar las no conformidades potenciales y sus causas, Determinar e implementar la acción preventiva necesaria, Registrar los resultados de la acción ejecutada, Revisar la acción preventiva ejecutada, Identificar los cambios en los riesgos y asegurar que la atención se centra en los riesgos con cambios significativos, Asegurar que se informa a todas aquellos que necesitan saberlo sobre la no conformidad y la acción preventiva que se implementó, La prioridad de las acciones preventivas basadas en los resultados de las valoraciones del riesgo. A.11 MODELO DE MADUREZ PARA LA IMPLEMENTACION POR FASES La implementación de una norma de sistemas de gestión puede ser una labor abrumadora espacialmente para empresas pequeña y medianas. Todas las organizaciones enfrentan el reto de gestionar sus riesgos dentro de los límites de los objetivos y los recursos disponibles requisitos de esta norma del mantenimiento y la mejora continuos del SGOS una organización puede alcanzar su meta máxima de asegurar el profesionalismo de las operaciones de seguridad consistes con el respecto de los derechos humanos la construcción del SGOS con un método por fases que alcance estándares de madurez blindada a la organización un vínculo entre los objetivos y los recursos. A l usar el modelo de madurez para la implementación por fases del sistema, la organización define una serie de fases diseñabas para ayudarle a evaluar en donde se encuentra actualmente con aspecto a las operaciones de seguridad y al respecto de los derechos humanos, para establecer las metas que quiere alcanzar, para determinar el donde se encuentra con respecto a tales metas y trazar una ruta sensible para el negocio con el fin de lograr la implementación total del SGOS(ANSI/ASIS OSC.3-2013 proporciona más información sobre el uso del modelo de la madurez). Norma de Estudio NTC-ISO 18788 ANEXO B (informativo) PRINCIPIOS GENERALES B.1 GENERALIDADES El propósito de un SGOS es gestionar las operaciones de seguridad de la organización de manera que se promueva la protección y la seguridad de las personas, así como la protección de los bienes (tanto tangibles como intangibles) y que se consistente con el respeto de la leyes internacionales, nacionales y locales y de los derechos humanos. Esto es particularmente importante en circunstancias en donde la gobernabilidad puede ser débil o el estado de derecho/principio de legalidad puede estar debilitado debido a eventos causados por la naturaleza o el hombre. Es necesario que las organizaciones realicen operaciones – y alcancen los objetivos de los clientes – mediante la gestión de los riesgos para todas las partes interesadas, incluidas las personas que trabajan en su nombre, las comunidades afectadas y sus clientes esto se logra al integrar los interese legales, sociales, culturales y ambientales en las operaciones del negocio y las interacciones con las partes interesadas cuando se desarrollan medidas preventivas adecuadas para proteger a las personas y los bienes físicos bajo su protección. La intención es minimizar la probabilidad y las consecuencias de un evento perturbador o indeseable a través de: - Prevención, cuando sea posible; Mitigación del impacto de un evento; Respuesta eficiente y eficaz cuando se presenta un evento manteniendo un nivel de desempeño pactado; Asegurar la reducción de cuentas después del evento; Tomar medidas para prevenir la recurrencia. Un SGOS promoverá una cultura en la organización que garantice operaciones de seguridad consistentes con el respeto de las leyes internacionales, nacionales y locales y de los derechos humanos. Un nivel de desempeño consiste pactado previamente se logra con el desarrollo, el diseño, la documentación, el despliegue y la evaluación del SGOS apropiado. Los elementos del sistema de gestión para llevar a cabo operaciones de seguridad consistentes con el respeto de los derechos humanos se detallan en las secciones 4 hasta 10 y los anexos de esta norma. Al desarrollar, implementar y mejorar el SGOS, la alta dirección/los decisores deberían aplicar los siguientes principios generales. La organización debería integrar todos los principios que se describen a continuación en el diseño y la implementación de SGOS. La meta es lograr los objetivos de la organización y del cliente y proteger los activos (tanto tangibles como intangibles), al tiempo que se garantiza la seguridad y la protección de las personas de la mano con el respeto de los derechos humamos. La gestión de las operaciones de seguridad dependerá de la eficacia y de la integración de estos principios en el marco de referencia de la gestión de la organización, el cual impulsa una cultura de las operaciones de seguridad consistente con el respeto de los derechos humanos en todos los niveles de la organización. El uso de estos principios debería establecer un Norma de Estudio NTC-ISO 18788 ambiente en donde la información se reporte y se unen adecuadamente como la base para la toma de decisiones y la rendición de cuentas en todos los niveles pertinentes de la organización. B.2 ORIENTADO A LOS RESULTADOS Un sistema de gestión es más que un conjunto de procesos de gestión; es una herramienta para lograr los resultados deseados. El SGOS se usa para lograr el resultado de operaciones de seguridad consistentes con el respecto de los derechos humanos y los derechos contractuales. Se definen indicadores claves del desempeño (ICD) para sustentar el logro de los objetivos. Los ICD promueven una cultura de gestión mediante la medición para la mejora continua del monitoreo y el desempeño. El resultado de cualquier SGOS es la gestión eficaz de los riesgos con respecto a: - Operaciones de seguridad y gestión Protección del cliente, los activos y las personas bajo protección, Derechos humanos, Comunidades en las que recae el impacto, Protección y seguridad de los proveedores de seguridad, Reputación e información. B.3 LIDREAZGO Y VISIÓN La alta dirección (que hace referencia a la persona o personas responsables de la toma de decisiones que tienen autorización para la implementación de estas) establece la visión, determina los objetivos y brinda la orientación para la organización promueve una cultura de pertenencia dentro de la organización en donde todos consideran el respecto de los derechos humanos y la gestión de riesgo de los eventos indeseables y perturbadores como parte de su contribución al logro de las metas y los objetivos de la organización. La alta dirección demuestra un compromiso para promover la cultura de las operaciones de seguridad en línea con el respeto de las leyes internacionales, nacionales y locales y de derechos humanos y un liderazgo eficaz en la implementación y el manteamiento de esta norma. B.4 GOBERNABILIDAD La certeza de las operaciones de seguridad profesionales se consideran parte de una estrategia de gobernabilidad global buena y una responsabilidad en toda la empresa. La ejecución de operaciones de seguridad en línea con el respeto de las leyes internacionales, y nacionales y locales y derechos humanos es parte del ethos y los valores de la organización. La protección de la vida y seguridad de las personas en el transcurso del logro de la misión es la preocupación principal de la gestión de los riesgos de los eventos indeseables y perturbadores. Norma de Estudio NTC-ISO 18788 B.5 ORIENTADO A LAS NECESIDADES Evaluar y comprender los activos, las necesidades y las expectativas de la organización es crítico para el éxito de la gestión de las operaciones de seguridad privada.es necesario que la gestión de las corporaciones de seguridad sea receptiva a las necesidades a las expectativas del cliente al tiempo que considera las necesidades y las expectativas de las partes interesadcomo las comunidades afectadas, cuyo apoyo activo o pasivo es necesario para el éxito de la organización y sus clientes. Los objetivos de la organización están ligados a las necesidades y las expectativas de las partes interesadas internas y externas. Las relaciones con las partes interesadas se gestionan sistemáticamente mediante un enfoque equilibrado entre las necesidades de la organización, los clientes y de otras partes interesadas (como las comunidades afectadas). B.6 ESTRATEGIA GENERAL PARA LA GESTIÓN DEL RIESGO ORGANIZACIONAL La gestión de las operaciones de seguridad en consistencia con el respeto de los derechos humanos es parte de la estrategia global para la gestión del riesgo de la organización a menos que el riesgo se gestione eficazmente, las organizaciones no pueden maximizar las oportunidades de minimizar el riesgo. El riesgo es el efecto de la incertidumbre en el logro de los objeticos que enfatiza la protección y la seguridad de las personas y de los bienes (tanto tangibles como intangibles), al tiempo que se conserva el respeto por las leyes internacionales, nacionales y locales de los derechos humanos. El proceso de gestión del riesgo exige una comprensión clara del contexto interno y externo de la organización para identificar proactivamente las oportunidades y minimizar los riesgos. La evaluación y la comprensión del nivel aceptable de riesgo de la organización es crítico para que esta desarrolle una estrategia preventiva y eficaz para la gestión del riesgo que satisfaga las necesidades y expectativas de sus partes interesadas internas y externas dentro del contexto del nivel de riesgo del ambiente operativo. B.7 ENFOQUE EN LOS SISTEMAS El SGOS exige un enfoque multidimensional e iterativo. Identificar, comprender y gestionar los procesos y elementos interrelacionados a que la organización controle eficaz y eficientemente los riesgos. El enfoque en los sistemas que analiza los vínculos y las interrelaciones entre los elementos que componen la totalidad del sistema. Las partes componentes de un sistema se pueden entender mejor en el contexto de sus interrelaciones y no aisladas, y es necesario que se traten como un todo. B.8 ADAPATABILIDAD Y FLEXIBILIDAD La mayoría de las organizaciones, especialmente aquellas que ejecutan o contra operaciones de seguridad, funciona en situaciones en que los ambientes internos y externos están sujetos al cambio. Es necesario que las organizaciones ejecuten el monitoreo operacional continuo para identificar los cambios e implementar estrategias eficaces para el control de estos. Es necesario que las organizaciones sean adaptables: capacees y deseosas de evolucionar – adaptarse constantemente para reflejar el ambiente operativo cambiante. El SGOS se debería considerar un marco de referencia para la gestión en lugar de un conjunto de actividades. A medida que las misiones, los presupuestos, las prioridades y el personal continúa cambiando, la estructura del marco de referencia permanecerá predecible cuando aplicaciones particulares cambien. Norma de Estudio NTC-ISO 18788 B.9 MANEJO DE LA INCERTIDUMBRE La gestión de las operaciones de las operaciones de seguridad no siempre se basa en amenazas predecibles ni riesgos cuantificables. Las organizaciones que ejecutan o contratan operaciones de seguridad con frecuencia trabajan en circunstancias en las que la gobernabilidad puede ser débil o del estado de derecho/principio de legalidad puede estar debilitado debido a eventos por la naturaleza o el ser humano. Es necesario hacer estimaciones y afirmaciones al analizar la probabilidad y las consecuencias de las amenazas tanto conocidas como desconocidas, así como la vulnerabilidad de la organización y las partes interesadas en un entorno cambiante. La gestión de los riesgos de los eventos indeseables y perturbadores considera explícitamente la incertidumbre, la naturaleza de dicha incertidumbre y la manera en que se debería abordar. B.10 CAMBIO CULTURAL Y COMUNICACIÓN Es esencial que la alta dirección establezca programas bien definidos para la estrategia, las comunicaciones, la capacitación y la concienciación que garanticen que todos los niveles gerenciales y los empleados comprendan las metas del sistema de gestión. El SGOS brinda soporte al cambio cultural y perceptual en la organización protegiendo de este modo la imagen y la reputación de la organización de sus clientes. Es necesario que este sistema se entienda a cabalidad, y tenga el apoyo del nivel más alto en la empresa y que se comunique a todas las personas que trabajan en nombre de la organización como parte de la cultura central de esta. B.11 BASE FÁCTICA PARA LA TOMA DECISIONES La evaluación de la gestión el negocio y los temas relacionados con el riesgo de las operaciones de seguridad dirige la toma decisiones y dicta las acciones que se ejecutaran con base en el análisis de los hechos – equilibrado con la experiencia y las mejores prácticas aceptadas en la industria. El SGOS aumenta la habilidad para revisar desafiar y cambiar las opciones y decisiones promueve la capacidad de solución de problemas, incrementa la habilidad para demostrar la eficacia de decisiones anteriores a través de la referencia a registros de hechos, y garantiza que los datos y la información son precisos, confiables y oportunos en línea con la política de la compañía. B.12 MEJORA CONTINUA Los gerentes mejoran su SGOS mediante el monitoreo, la medición, la revisión y la modificación posterior de los procesos, los procedimientos, las capacidades y la información del sistema dentro de un ciclo de mejora continua. Con regularidad se realizan revisiones formales y documentadas. La alta dirección debería analizar los hallazgos de tales revisiones y actuar en consecuencia. Norma de Estudio NTC-ISO 18788 ANEXO C (Informativo) PRIMEROS PASOS – ANÁLISIS DE BRECHAS La organización debería establecer su posición actual con respecto a la gestión de escenarios de riesgo potencial por medio de un análisis de brechas. Este análisis permitirá a la organización comparar su desempeño real con el desempeño potencial necesario para satisfacer sus objetivos el análisis debería considerar los riesgos de la organización (incluidos los impactos potenciales) como base para establecer el SGOS. El análisis de brechas debería incluir cinco áreas principales: a. b. c. d. e. Identificación de los riesgos, incluidos los asociados a las condiciones operativas las situaciones de emergencia, los accidentes y los eventos indeseables y perturbadores potenciales; Análisis de los riesgos para los derechos humanos para determinar la gravead de los impactos de las operaciones de seguridad de la organización y para identificar las oportunidades de mejora; Identificación de los requisitos legales aplicables y otros a los cuales se suscribe la organización; Evaluación de las prácticas y los procedimientos existentes para la gestión del riesgo, incluidos los asociados a las actividades subcontratadas; Evaluación de situaciones de emergencia y accidentes anteriores, así como de las medidas que se tomaron para prevenir y responder a eventos indeseables y perturbadores. En todo caso, se recomienda considerar las operaciones y las funciones dentro de la organización, sus relaciones con sus partes interesadas pertinentes y las condiciones potenciales perturbadoras y de emergencia. Las herramientas y los métodos para emprender un análisis de brechas pueden incluir listas de verificación, realización de entrevistas, inspección y medición directas, o los resultados de auditorías previas u otras revisiones, dependiendo de la naturaleza de las actividades. Norma de Estudio NTC-ISO 18788 ANEXO D (Informativo) ENFOQUE EN LOS SISTEMAS DE GESTIÓN El enfoque de los sistemas de gestión promueve en las organizaciones e análisis de los requisitos organizacionales y las partes interesadas, y la definición de los procesos que contribuyan al éxito. Brinda una base para establecer políticas y objetivos, establecer procedimientos para alcanzar los resultados deseados y medir y monitorear el logro de los objetivos y resultados. Un sistema de gestión proporciona un marco de referencia para la mejora continua con el fin de incrementar la probabilidad de promover el profesionalismo de las operaciones de seguridad al mismo que se garantiza la protección de los derechos humanos y las libertades fundamentales. También proporciona confianza tanto en la organización como en sus clientes de que la organización puede gestionar sus obligaciones contractuales, de seguridad y legales, así como respetar los derechos humanos. El enfoque en los sistemas de gestión considera como influyen las políticas locales, la cultura, las acciones o los cambios en el estado de la organización comunidad y su ambiente. Las partes componentes de un sistema se pueden entender mejor en el contexto de las relaciones entre ellas más que en aislamiento. Por lo tanto, un sistema de gestión analiza los vínculos y las interacciones entre los elementos que componen su totalidad. El enfoque en los sistemas de gestión define de forma sistemática las actividades necesarias para obtener los resultados deseados y establecer la responsabilidad y rendición de cuentas claras para la gestión de las actividades claves. Esta norma de sistemas de gestión brinda los requisitos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar el sistema de gestión de la organización para unas operaciones de seguridad consistente con el respeto de los derechos humanos. Es necesario que la organización identifique y gestione muchas actividades con el fin de funcionar eficazmente. Toda la actividad que permita la transformación de los elementos de entrada en elementos de salida, que utilice recursos y se gestione formalmente se pueden considerar un proceso. Con frecuencia los elementos de salida de un proceso forman directamente elementos de entrada para el siguiente. El enfoque en los sistemas de gestión para la gestión de las operaciones de seguridad que se presenta en esta norma promueve en sus usuarios el énfasis en la importancia de: a. b. c. d. e. f. Entender los riesgos de la organización, los requisitos de seguridad y protección de los derechos humanos; Definir los resultados para las operaciones de seguridad que sean consistentes con el respeto de los derechos humanos, las obligaciones contractuales y legales; Establecer políticas y objetivos, procesos, sistemas y cultura para gestionar los riesgos; Implementar y operar controles para gestionar los riesgos de la organización y sus requisitos de seguridad, así como el respeto de los derechos humanos; Monitorias y revisar el desempeño y la eficacia del SGOS administrativa y operacionalmente; La mejora continua con base en una medición objetiva. Norma de Estudio NTC-ISO 18788 Esta norma adopta el modelo “Planificar-Hacer-Verificar-Actuar” (PHVA), que se aplica para estructuras los procesos de las operaciones de seguridad. La figura D.1 ilustra como el SGOS toma como entrada los requisitos para la gestión de las operaciones de seguridad y las expectativas de las partes interesadas, y a través de las acciones y procesos necesarios, produce resultados para la gestión del riesgo y de las operaciones de seguridad que satisfacen tales requisitos y expectativas. Esta figura también ilustra os vínculos en los procesos que se presentan en esta norma. El siclo PHVA se puede describir brevemente de la siguiente manera: - - - Planificar (Establecer el sistema de gestión): establecer la política, los objetivos, los procesos y los procedimientos del sistema de gestión pertinentes para gestionar las operaciones y mejorara la evaluación del riesgo para entregar resultados acordes a las políticas y los objetivos generales de la organización. Hacer (implementar y operar el sistema de gestión): implementar y operar la política, controles y los procesos y los procedimientos del sistema de gestión. Verificar (monitorear y revisar el sistema de gestión): valorar y medir el desempeño de los procesos frente a la política, los objetivos y la experiencia práctica del sistema de gestión, en informar los resultados a la dirección para su revisión. Actuar (mantener y mejorar el sistema de gestión): emprender acciones correctivas y preventivas basadas en los resultados de la auditoría interna del sistema de gestión y de la revisión por la dirección para lograr la mejora continua del sistema de gestión. El modelo PHVA e un enfoque claro, sistemático y documentador para: a. Establecer objetivos y metas medibles; b. c. d. e. Monitorear, medir y evaluar el progreso; Identificar, prevenir o remediar los problemas a medida que se presentan; Evaluar los requisitos de competencia y capacitar a las personas que trabajan en nombre de la organización; Brindar a la alta dirección un bucle de retroalimentación para valorar el proceso y hacer los cambios apropiados para el sistema de gestión. Además, este contribuye a la gestión de la información dentro de la organización, mejorando así la eficiencia operacional. Esta norma está diseñada de manera que se puede integrar con sistemas de gestión de la calidad, inocuidad, ambiental, seguridad de la información, resiliencia, riesgo, seguridad y otros dentro de la organización. Un sistema de gestión señalado correctamente puede satisfacer los requisitos de todas estas normas. Las organizaciones que han adoptado un enfoque en los sistemas de gestión (p. ej., según ISO 9001, ISO14001, ISO/IEC 27001, ISO 28000, OHSAS 18001, ANSI/ASIS PSC.1-2012, ANSI/ASIS SPC.1-2009) pueden usar su sistema de gestión existente como fundamento para su SGOS según lo prescrito en esta norma. La conformidad con esta norma se puede verificar auditando los procesos que son compatibles y consistentes con la metodología de ISO/IEC 17021-1. Norma de Estudio NTC-ISO 18788 ANEXO E (Informativo) CALIFICADORES PARA LA APLICACIÓN La adopción e implementación de un rango de técnicas de gestión de las operaciones de seguridad de manera sistemática pueden contribuir a los resultados óptimos para todas las partes interesadas y las partes afectadas. Sin embargo, la adopción de la norma por sí sola no garantiza resultados óptimos de las operaciones de seguridad. Con el fin de lograr estos objetivos, el SGOS debería incorporar las mejores prácticas, técnicas y tecnológicas disponibles, cuando sea apropiado y viable en términos económicos. La eficacia en términos de costo de tales prácticas, técnicas y tecnológicas se debería considerar a cabalidad. Esta norma no establece requisitos absolutos para el desempeño de las operaciones de seguridad más allá de los compromisos en la política de la organización para: a. b. c. Cumplir los requisitos legales y aplicables y otros requisitos a los cuales se suscribe la organización; Apoyar la prevención de eventos indeseables y perturbadores y minimizar el riego; Promover la mejora continua. El texto principal de esta norma contiene criterios genéricos que se pueden auditar objetivamente. En otros anexos se encuentra la guía sobre las técnicas de apoyo para la gestión de las operaciones de seguridad. Para las organizaciones que así lo desean, un proceso de auditoría interna y externa puede verificar la conformidad de su SGOS con esta norma. La verificación puede darse mediante un mecanismo aceptable de primera, segunda o tercera parte. La verificación no requiere de certificación por tercera parte. Esta norma no requiere los objetivos específicos para otros sistemas de gestión, como los de calidad, salud y seguridad ocupacional o resiliencia, aunque estos elementos se pueden alinear o integrar con aquellos de otro sistema de gestión. Es posible para una organización adaptar su sistema(s) de gestión existente para establecer un SGOS que cumpla con los criterios de esta norma. No obstante, la aplicación de diferentes elementos del sistema de gestión puede diferir dependiendo del propósito previsto y las partes interesadas involucradas. El nivel de detalle y complejidad del SGOS, la amplitud de la documentación y los recursos dedicados a él dependerán de varios factores, como el campo de aplicación del sistema, el tamaño de la organización y la naturaleza de sus actividades, productos, servicios y cadena de suministro. Este puede ser el caso particular para empresas pequeñas y medianas. Esta norma proporciona un conjunto común de criterios para los programas de gestión de las operaciones de seguridad. La terminología que se emplea en esta norma hace énfasis en conceptos comunes, a la vez que reconoce matrices en el uso de los términos en diversas disciplinas para que haya consistencia con la norma ISO 31000, la evaluación del riesgo es proceso de identificación, análisis y evaluación del riesgo.
