seguridad de la cadena de suministro 2.- ELEMENTOS NECESARIOS PARA LA IMPLEMENTACIN DE LA ISO 28000 CLAUSULA 4 Mejora continua de la eficacia! IMPLEMENTACIN Y OPERACIN AUTORIDADES Y RESPONSABILIDADES COMPROMISO DE LA ALTA DIRECCIN RECURSOS FORMACIN, COMPETENCIAS y TOMA DE CONCIENCIA COMUNICACIN DOCUMENTACIN y CONTROL DE DOCUMENTOS y DATOS CONTROL OPERACIONAL DE LA ORGANIZACIN PREPARACIN y RESPUESTA ANTE EMERGENCIA y VUELTA A LA SEGURIDAD Lo que tenemos que tener en cuenta VERIFICACIN Y ACCIN CORRECTIVA REVISIN POR LA DIRECCIN Mejora continua 64 Medicin y monitoreo del desempeo de la seguridad Captulo 1: Sistemas de gestin de seguridad de la cadena de suministro CLAUSULA 4.5 IDENTIFICACIN DE INDICADORES CLAVE 1.- La poltica y objetivos de seguridad se logran y mantienen eficazmente. 5.- Se est captando informacin veraz para el anlisis de la mejora del sistema de gestin. 2.- Las amenazas se encuentran bajo control o cercanas a estarlo debido a las medidas preventivas aplicadas eficazmente. 3.- Se est realizando una mejora eficaz a partir de los fallos conocidos de la organizacin en materia de seguridad. 4.- La planificacin de formacin se est llevando a cabo. VERIFICACIN y ACCIN CORRECTIVA 2.- ELEMENTOS NECESARIOS PARA IMPLEMENTACIN ya lo habamos avanzado!! CLAUSULA 4.5.1 65 Captulo 1: Sistemas de gestin de seguridad de la cadena de suministro ANLISIS DEL SISTEMA DE SEGURIDAD PROACTIVO REACTIVO La organizacin asume el pleno control de su sistema de seguridad de modo activo. Toma la iniciativa y verifica el sistema previamente a cualquier fallo. La organizacin reacciona ante cualquier fallo de seguridad investigando, analizando y registrando lo sucedido. Resultados de la identificacin evaluacin y control de riesgos Inspecciones peridicas del sistema Inspecciones de seguridad Evaluacin de nuevos sistemas de logstica Evaluacin y revisin de modelos estadsticos Inspeccin del equipo de seguridad Disponibilidad y efectividad del personal de seguridad Evaluacin de la aptitud de los trabajadores Anlisis de documentacin y registros Benchmarking de otras organizaciones Retroalimentacin de grupos de inters VERIFICACIN Y ACCIN CORRECTIVA 2 Tipos 66 Captulo 1: Sistemas de gestin de seguridad de la cadena de suministro IDENTIFICACIN DE INDICADORES CLAVE RESPONSABLES DEL SEGUIMIENTO DURACIN DEL SEGUIMIENTO RECURSOS VERIFICACIONES = ANLISIS + REVISIN Revisin documentada de los planes y procedimientos de gestin de seguridad Cumplimiento de requisitos legales (actuales) Revisados peridicamente . Actualizados Coherentes Beneficios Mejora en los procesos y actividades de la organizacin. VERIFICACIN Y ACCIN CORRECTIVA Evidenciar la capacidad de la empresa para el cumplimiento de su poltica, metas y objetivos (medidas cualitativas y cuantitativas) Disminucin de no conformidades. Mejora en el cumplimiento legal. Identificacin de amenazas, evaluacin y registros de riesgos. Valoracin de la eficacia de las acciones correctivas y preventivas Evaluacin del sistema CLAUSULA 4.5.2 67 Acciones correctivas y preventivas Captulo 1: Sistemas de gestin de seguridad de la cadena de suministro Procedimientos de informacin Procedimientos de evaluacin Procedimientos de investigacin INCIDENTES DE SEGURIDAD NO CONFORMIDADES PREVENIR Descripcin de los criterios que se deben tener en cuenta para la deteccin, anlisis y eliminacin de las causas. Deteccin y eliminacin de efectos dainos potenciales. VERIFICACIN Y ACCIN CORRECTIVA Responsabilidad y autoridad EMERGENCIAS Evaluar e iniciar acciones preventivas Emergencia = Asunto o suceso imprevisto que se debe solucionar con mucha rapidez. Incidente = Circunstancia o suceso que sucede de manera inesperada y que puede afectar al desarrollo de un asunto o negocio, aunque no forme parte de l. FALLOS DE SEGURIDAD Fallo = Accin equivocada o cosa mal hecha. No conformidad = Incumplimiento de un requisito. CLAUSULA 4.5.3 actuales y potenciales 68 Deben demostrar la conformidad de una actividad con los requisitos de la norma. Deben estar bien preservados, identificados y ser legibles. MTODOS Conservacin Acceso Custodia Especialmente los crticos tiempo proteccin Tomar accin para mitigar todas las consecuencias de dichas fallas, incidentes no conformidades acciones correctivas. Establecer el inicio y fin de acciones correctivas. Confirmacin de la eficacia de las acciones correctivas tomadas. ACCIONES PREVENTIVAS Y CORRECTIVAS Evaluacin de riesgo antes de la implementacin. Acciones apropiada para la magnitud de los problemas y proporcional con las posibles amenazas y riesgos. VERIFICACIN Y ACCIN CORRECTIVA Captulo 1: Sistemas de gestin de seguridad de la cadena de suministro CURAR Eliminar las causas actuales y potenciales Organizacin Control de Registros CLAUSULA 4.5.4 69 VERIFICACIN Y ACCIN CORRECTIVA La organizacin debe establecer, implementar y mantener un programa de auditora de gestin de la seguridad. El SGS cumple con las disposiciones planificadas El SGS ha sido implementado y mantenido adecuadamente El SGS es eficaz para el cumplir la poltica y objetivos de la organizacin Captulo 1: Sistemas de gestin de seguridad de la cadena de suministro Debe asegurar que las auditorias del sistema de gestin de la seguridad se lleven a cabo en intervalos planeados. Revisin los resultados de auditoras previas y las acciones tomadas para rectificar no conformidades. Verificar el despliegue apropiado de los equipos y el personal de seguridad Auditoria CLAUSULA 4.5.5 Proporcionar informacin a la Direccin sobre resultados de auditoras. 70 GARANTIZA SU CONTINUIDAD Y EFICACIA Captulo 1: Sistemas de gestin de seguridad de la cadena de suministro CLAUSULA 4.6 Elementos a analizar: Resultados de las auditoras del sistema de gestin. Acciones correctivas y preventivas. Resultados de los simulacros de seguridad y de los planes de continuidad. Informacin sobre indicadores, objetivos, metas y planes de seguridad. Informes sobre amenazas, riesgos y su gestin. Efectividad de las medidas implementadas en el sistema. Resultados de las mtricas. Revisiones por la direccin anteriores. Informes sobre la compaa en materia de seguridad tanto internos como externos. REVISIN POR LA DIRECCIN MEJORA CONTINUA 2.- ELEMENTOS NECESARIOS PARA IMPLEMENTACIN OPORTUNIDADES DE MEJORA Intervalos planeados Registro documental 71 Captulo 2: Evaluacin de los riesgos de seguridad dentro de un SGSCS 1.- INTRODUCCIN CLAUSULA 4.3 No se especifica una metodologa concreta DESVENTAJA La organizacin debe establecer y mantener procedimientos para la identificacin y valoracin continua de las amenazas a la seguridad y de las amenazas y riesgos relacionados con la gestin de la seguridad, y la identificacin e implementacin de medidas necesarias de control de gestin. Libertad para adaptar el nuestro mtodo de evaluacin de riesgos a nuestra organizacin Indefinicin VENTAJA La norma nos deja campo abierto para la definicin de los procesos de identificacin de la amenaza, evaluacin y gestin del riesgo para adecuarnos, as, al tamao de la organizacin, ubicacin, naturaleza de su actividad, complejidad. Norma diseada para todo tipo de organizaciones ACTUAR SOBRE LAS AMENAZAS 72 Captulo 2: Evaluacin de los riesgos de seguridad dentro de un SGSCS Visin general de todos los riesgos, amenazas y vulnerabilidades asociadas. 1.- Identificar: las distintas fuentes de perturbacin en el conjunto de la cadena de suministro. 4.- Actuar: poner en prctica las medidas preventivas correspondientes. 2.- Evaluar el riesgo: estimar, cuantitativa o cualitativamente, las consecuencias del riesgo y la probabilidad de ocurrencia de los factores causantes de cada factor de riesgo 3.- Decidir: la poltica de riesgos a aplicar en cada caso: impedir el riesgo, reducirlo a un nivel razonable, transferirlo a otra organizacin o soportarlo. PROCESO DE GESTIN DEL RIESGO 2.- FINALIDAD 73 Captulo 2: Evaluacin de los riesgos de seguridad dentro de un SGSCS 74 Captulo 2: Evaluacin de los riesgos de seguridad dentro de un SGSCS 3.- CONSIDERACIONES La metodologa empleada para la evaluacin de riesgos debe ser documentada para asegurar su continuidad dentro de la organizacin. DOCUMENTACIN Valiosa informacin de entrada. Tenemos que valorar hasta donde podemos actuar como organizacin. LEGISLACIN Y REGLAMENTACIN La valoracin de las amanezcas debe considerar la organizacin en su conjunto aunque podamos limitar el alcance a una parte. VALORACIN DE AMENAZAS Repetitividad, mantenimiento y perdurabilidad Los encargados de hacer una evaluacin de riesgos deberas ser personas cualificadas en materia de seguridad. RESPONSABLES 75 Captulo 2: Evaluacin de los riesgos de seguridad dentro de un SGSCS 4.- PASO 1 ALCANCE DE LA EVALUACIN Debemos asegurarnos que el alcance de la evaluacin abraza las actividades desarrolladas por la organizacin. Debe evaluarse peridicamente y revisar tambin el plan de seguridad cuando proceda. Estado general de la organizacin. EVALUACIN INICIAL Requisitos legales y reglamentarios. Amenazas de seguridad identificadas. Informacin obtenida de cuerpos de seguridad. Anlisis de las prcticas que realiza la empresa, a fecha actual, en materia de seguridad. Histrico de incidentes de seguridad de la organizacin. 76 Captulo 2: Evaluacin de los riesgos de seguridad dentro de un SGSCS 5.- PASO 2 PERSONAL A CARGO DE LA EVALUACIN Destreza y/o conocimiento en los siguientes puntos Tcnicas de evaluacin de riesgos Aplicacin de medidas para mantener la confidencialidad de la informacin de la compaa. Las operaciones realizadas en las actividades de envo, trasporte, personal, etc. aplicables en la cadena de suministro por la organizacin. Amenazas de seguridad y metodologas para su tratamiento. ISO 28000. Registro del responsable o responsables, as como del grupo de colaboradores que tengas a su disposicin COMIT DE SEGURIDADMULTIDISCIPLINAR Personal con capacidad de decisin y de aprobar presupuestos AGILIDAD 77 Los expertos en obra civil debera ser los responsables de calcular las probabilidades de que ocurra un incendio en las instalaciones de la empresa Los expertos en maquinaria calcularn la probabilidad de que un proceso fabril se vea interrumpido. El clculo de la PROBABILIDAD de riesgo es conveniente que lo hagan especialistas o expertos en distintas materias. En cuanto a las CONSECUENCIAS, es responsabilidad de la organizacin su clculo o estimacin a partir de datos procedentes de los distintos actores implicados en el proceso, tanto internos como externos: proveedores, transportistas, distribuidores Factores ajenos a la organizacin Penalizaciones impuestas por fabricantes con procesos continuos o con producciones a gran escala Penalizaciones administrativas Ej: Empresa con riesgo de contaminacin ambiental Central Nuclear Factores propios de la organizacin Captulo 2: Evaluacin de los riesgos de seguridad dentro de un SGSCS Valoracin habitual en funcin del beneficio que la organizacin deja de percibir por la perdida de un determinado producto 78 Captulo 2: Evaluacin de los riesgos de seguridad dentro de un SGSCS 5.- PASO 3 EVALUACIN Debemos realizar una identificacin de escenarios bajo amenazas =debemos identificar las vulnerabilidades sobre las que operan estas amenazas y sus efectos potenciales. Situacin bajo amenaza Para cada escenario debemos evaluar la probabilidad y las consecuencias de cada escenario identificado. Deberemos implementar medidas hasta que el escenario definido quede bajo control. Mtodos de evaluacin de amenazas empleados Soluciones propuesta identificadas 1.- Identificar: las distintas fuentes de perturbacin en el conjunto de la cadena de suministro. PROCESO DE GESTIN DEL RIESGO 1.1 Listar todas las actividades identificadas bajo el alcance de la evaluacin de riesgos. 1.2 Identificar los controles de seguridad ya existentes en la organizacin. 1.3 Identificar las situaciones/escenarios de amenazas a la seguridad Repetitividad y perduracin 79 Captulo 2: Evaluacin de los riesgos de seguridad dentro de un SGSCS Ubicacin de procesado de producto previo a su preparacin para el transporte. Punto de preparacin de pedidos. Puntos de almacenaje de productos. Transporte de productos. Puntos de carga y descarga de pedidos. Puntos donde exista un cambio de custodia en la cadena de suministro. Puntos donde se desarrolle documentacin relativa al producto transportado. Rutas de transporte. Puntos en los que terceros participan en la cadena de suministro. Puntos donde terceros tengan acceso a informacin referente a la cadena de suministro y/o producto suministrado. AMENAZAS DE EMPLAZAMIENTO 80 ESCENARIO = todo contexto temporal, lgico, o entorno fsico, en el que se puede producir una amenaza sobre un activo de la organizacin. AMENAZA = todo suceso o evento, accidental o intencionado, que puede causar algn dao a un activo de la organizacin, o comprometer un objetivo estratgico. Una amenaza puede suceder sobre un activo determinado de la organizacin en un escenario especfico. Captulo 2: Evaluacin de los riesgos de seguridad dentro de un SGSCS ACTIVIDAD =procesos que tienen lugar para la obtencin de productos, bienes y/o servicios destinados a cubrir necesidades y deseos en una sociedad en particular. 81 Captulo 2: Evaluacin de los riesgos de seguridad dentro de un SGSCS ACTIVIDAD ESCENARIO AMENAZAS Ingenieracivil Edificio Incendio Inundacin Acceso ainformacinporpersonalnoautorizado Transportede frutas Carga ydescargade lasfrutas Dao alaintegridaddelacargapormanipulacin indebida Fabricacin de vehculos Trabajadores dela lneademontaje Faltadecapacitacin Consumo dealcoholydrogas EJEMPLOS Accesos de la organizacin Medios de transporte Tratamiento de la carga Medio por el que circular el transporte. Inspecciones a realizar. Empleados Comunicacin Actualizacin de la documentacin Tratamiento de la informacin ASPECTOS A TENER EN CUENTA EN LA EVALUACIN 82 ALTO MEDIO BAJ O Captulo 2: Evaluacin de los riesgos de seguridad dentro de un SGSCS 2.- Evaluar el riesgo: estimar, cuantitativa o cualitativamente, las consecuencias del riesgo y la probabilidad de ocurrencia de los factores causantes de cada factor de riesgo PROCESO DE GESTIN DEL RIESGO 2.1 Evaluacin de las consecuencias 2.2 Evaluacin de las probabilidades 2.1 Evaluacin de las consecuencias Considerar desde la prdida de vidas a la prdida econmica potencial. Una clasificacin habitual de las consecuencias a aplicar a cada incidente IMPORTANTE Documentar el criterio de clasificacin para asegurarnos la homogeneidad de aplicacin del mtodo Dos tcnicos no hacen la misma evaluacin 2.3 Priorizacin de actuaciones Mtodos cualitativos 83 Captulo 2: Evaluacin de los riesgos de seguridad dentro de un SGSCS Mtodos cualitativos 84 Captulo 2: Evaluacin de los riesgos de seguridad dentro de un SGSCS Catastrfico: Crtico: Caso de ocurrir este tipo de riesgos, la situacin puede controlarse de manera adecuada sin grandes esfuerzos. Sus consecuencias no tienen incidencia apreciable en la actividad. Este tipo de situaciones forman parte del da a da de la actividad de la organizacin. Cuando, pese a su ocurrencia, no peligra la existencia de la organizacin. En este tipo de situaciones, resulta crtica la puesta en marcha de un plan de acciones para recuperar la situacin inicial. Cuando la ocurrencia del factor de riesgo puede llegar a tal punto que la supervivencia de la organizacinest en peligro. Estos riesgos suelen estar asociados a catstrofes naturales, u otras causas de fuerza mayor. Este sera el caso de la destruccin del centro de almacenaje y distribucin de una compaa con una importante actividad logstica. Marginal: Despreciable: TIPOS DE RIESGO EN FUNCIN DE LAS CONSECUENCIAS 85 Captulo 2: Evaluacin de los riesgos de seguridad dentro de un SGSCS 2.1 Evaluacin de las consecuencias 2.2 Evaluacin de las probabilidades RIESGO Debemos realizar un cruce entre consecuencia y probabilidad para establecer un criterio de actuacin o priorizacin de medidas. 2.1 Evaluacin de las probabilidades Estimar con modelos estadsticos o analticos la probabilidad de ocurrencia de los factores causantes de cada factor. Mtodo cualitativos NIVEL DE RIESGO 86 Captulo 2: Evaluacin de los riesgos de seguridad dentro de un SGSCS MATRIZ DE NIVEL DE RIESGO (ni) Se pretende que, aquellas amenazas, con probabilidad alta y consecuencias graves se acometan lo antes posible. 2.3 Priorizacin de Actuaciones Mtodos cualitativos 87 Captulo 2: Evaluacin de los riesgos de seguridad dentro de un SGSCS 3.- Decidir: la poltica de riesgos a aplicar en cada caso: impedir el riesgo, reducirlo a un nivel razonable, transferirlo a otra organizacin o soportarlo. PROCESO DE GESTIN DEL RIESGO Aceptabilidad = cantidad de perjuicio est dispuesto a soportar la organizacin bajo ciertas circunstancias. 1. Fsicas 2. Operacionales 3. Documentacin 4. Tecnolgicas Clasificacin de los tipos de medidas a aplicar 88 3.- Decidir: la poltica de riesgos a aplicar en cada caso: impedir el riesgo, reducirlo a un nivel razonable, transferirlo a otra organizacino soportarlo. Captulo 2: Evaluacin de los riesgos de seguridad dentro de un SGSCS AMENAZA EVALUACIN DEL RIESGO ACCIONES Control o eliminacin de la amenaza SIN ACCIN El objetivo es llegar a unos escenarios bajo control en los que podamos operar el sistema de gestin en la cadena de suministro de modo SEGURO. Actuar: Afectar a la probabilidad, a la amenaza o al impacto que ejerce sobre la organizacin impedir o reducir el riesgo. D E C I S I O N E S 3.1 Toma de decisiones Soportar: No actuar sobre el riesgo (DOCUMENTAR Conscientes efectos potenciales) Transferir: Podemos realizar subcontrataciones o bien actuar sobre las que ya disponemos para transferirles el riesgo (NO PERDEMOS RESPONSABILIDAD). Finalizar: Si el riesgo excede el riesgo asumible por la organizacin y, esta, dictamina que el coste, tanto en medios econmicos como humanos y/o tiempo, es excesivo es posible que la conclusin lgica sea el cese de la actividad problemtica. 89 Contramedida =Acciones para hacer frente a las vulnerabilidades (puntos dbiles) de la organizacin, y reducir la probabilidad de que se puedan materializar las amenazas detectadas, conel consiguiente impacto. Captulo 2: Evaluacin de los riesgos de seguridad dentro de un SGSCS Debemos implementar las contramedidas. Plan de Accin debera llevar una descripcin de los principales hitos, responsables, recursos destinados (incluidos econmicos y tiempo del personal). Contramedidas Plan de accin Lo que vamos a hacer Cmo lo vamos a hacer Afectarn al funcionamiento actual de la organizacin (barreras fsicas, cambios en la produccin.) Aprobacin Valoracin del impacto en la organizacin. Valores esperados Grado de eficacia. 4.1 Plan de acciones Estas contramedidas, expresadas como acciones correctivas y/o preventivas, deberan llevar un Plan de Accin asociado. 4.- Actuar: poner en prctica las medidas preventivas correspondientes. 90 Captulo 2: Evaluacin de los riesgos de seguridad dentro de un SGSCS 4.2 Seguimiento del plan de accin Si la contramedida resultase insuficiente en su control y/o valoracin o se estima en una primera aproximacin falta de efectividad deberemos imponer cuantas medidas estimemos oportunas para disponer de la situacin bajo control. Deberemos realizar un control continuado para la supervisin de la eficacia de las medidas implantadas as como una nueva evaluacin de los escenarios cuando sea necesario. Tpicamente se revisa al menos una vez al ao. Cambios significativos de operacin. Cambios significativos de personal. Cambios significativos de la legislacin aplicable. Cambios de significativos en las rutas de transporte. Cambios significativos en las externalizaciones. Aplicacin de nuevas tecnologas al proceso productivo. Motivos para una reevaluacin: Reduccin de recursos. Incidencias o problemas repetitivos asociadas a un escenario. Nuevas actividades dentro del mbito Fallos crticos de actividad < 1 ao 91 Captulo 2: Evaluacin de los riesgos de seguridad dentro de un SGSCS PASOS EN UNA GESTIN DEL RIESGO 1.- Identificacin del alcance 2.- Personal a cargo de la evaluacin 3.- Listado de todas las actividades identificadas bajo el alcance 4.- Identificar controles de seguridad existentes 5.- Identificar situaciones de amenazas a la seguridad 6.- Evaluacin de las consecuencias 7.- Evaluacin de las probabilidades 8.- Priorizacin de actuaciones 9.- Toma de decisiones 10.- Plan de accin: Contramedidas Identificacin Evaluacin Decisin 11.- Seguimiento del plan de accin Actuacin 92 Captulo 2: Evaluacin de los riesgos de seguridad dentro de un SGSCS 6.- MTODOS CUANTITATIVOS Se pretende ganar un cierto grado de objetividad. Mtodo ms directo pero se pierde apreciacin subjetiva. La objetividad absoluta no existe RIESGO = PROBABILIDAD AMENAZA x IMPACTO AMENAZA Elaboracin de escalas de valores Sencilla N Significado 1 Insignificante 2 Baja 3 Mediana 4 Alta Compleja Al final no deja de ser cualitativo Obtener un resultado en casos complejos donde intervengan muchas variables. Podemos elegir Definir numricamente actuaciones en funcin de rangos de riesgo. VENTAJAS Podemos variar los rangos aumentar el detalle con el paso del tiempo. 93 Captulo 2: Evaluacin de los riesgos de seguridad dentro de un SGSCS EJEMPLO Podemos definir rangos y lmites a nuestra medida N Significado 1 Insignificante 2 Baja 3 Mediana 4 Alta 94 Captulo 2: Evaluacin de los riesgos de seguridad dentro de un SGSCS Ejemplo de ficha de una medida correctiva en un plan de accin ACTIVIDAD ESCENARIO AMENAZAS Fabricacin de vehculos Trabajadores delalneade montaje Faltadeformacin Consumo dealcoholy drogas Probabilidad Consecuencia Riesgo 4 2 8 N Significado 1 Insignificante 2 Baja 3 Mediana 4 Alta Medida Tipo Nuevo Riesgo SI ACP012012 6 95 Captulo 2: Evaluacin de los riesgos de seguridad dentro de un SGSCS 96 Captulo 2: Evaluacin de los riesgos de seguridad dentro de un SGSCS