La sociedad depende cada vez más de las cadenas de suministro. Mercancías van y vienen por todo el mundo, ¿tenemos identificadas las amenazas a la seguridad de la cadena y las medidas para proteger la carga, y evitar los daños y robos?
La organización internacional para la estandarización (ISO) dispone de la familia ISO 28000 para atender el mundo de las cadenas de suministro, concepto que se deriva del término en inglés "supply chain".
Bajo un enfoque de Planear, Hacer, Verificar y Actuar (PDCA), permite integrar un sistema de gestión específico a los muy conocidos ISO 9000, ISO 14000, etc.
En este boletín, sólo se explican las partes específicas de la norma ISO 28001 que están vinculadas con la seguridad en la cadena de suministro y no se abunda en la estructura de un sistema de gestión que se encuentra presente en las normas ISO.
La familia ISO 28000.-
La serie (o familia) está constituida por 8 normas y que son las siguientes:
ISO 28000:2022 Seguridad y resiliencia / Requisitos
ISO 28001:2007 Buenas prácticas para la implementación / Requisitos y guías
ISO 28002:2011 Desarrollo de la capacidad de resiliencia en la cadena
ISO 28003:2007 Requisitos para los organismos de certificación
ISO 28004-1:2022 Principios generales
ISO 28004-2:2022 Aplicación en operaciones portuarias
ISO 28004-3:2022 Aplicación en organizaciones pequeñas y medianas (no portuarias)
ISO 28004-4:2022 Orientación adicional específica
Independientemente de que la norma ISO 28001 requiere las partes típicas de un sistema de gestión tales como la definición de una política, el análisis del entorno interno y externo, la definición de la estructura organizacional, el control de documentos y registros, las auditorias internas y la revisión por la dirección, por citar algunos de los más relevantes, la familia permite a una organización establecer un sistema de gestión integral de la seguridad de las cadenas de suministro.
Para ello se requiere evaluar el entorno de seguridad en el que opera la organización, determinando las medidas adecuadas que deban implementarse y se verifiquen los requisitos reglamentarios que la organización deba cumplir. Una vez identificadas las necesidades de seguridad, se deben implementar mecanismos y procesos para alcanzar tales necesidades.
Las cadenas de suministro son muy dinámicas, y en muchas ocasiones se trabaja con cadenas múltiples de suministro; por lo que los proveedores de servicios deberían también de ser involucrados como condición para ser incluidos en esa cadena de suministro.
La mayor ventaja para una organización que implementa y certifica en esta norma, consiste en la demostración formal de un sistema de gestión de la seguridad que contribuye directamente a la capacidad de cumplimiento del negocio y, por ende, al incremento de su credibilidad.
Es un hecho que la reciente pandemia ha mostrado la vulnerabilidad de las cadenas de suministro. De acuer con información disponible en la red, los esfuerzos iniciaron con los atentados del 11 de septiembre de 2011, al introducirse el hecho de que las cadenas pueden ser utilizadas para fines ilícitos tales como el terrorismo, atentados, tráfico de narcóticos, de divisas, el robo de mercancías, la posibilidad de que infiltren en los procesos elementos explosivos y, lo más relevante para cada organización en particular, la continuidad y prestigio de las empresas.
Surgen entonces diversas iniciativas para la seguridad en las cadenas como la de Operador Económico Autorizado (OEA) en Europa; el programa C-TPAT Customs-Trade Partnership Against Terrorism (Aduanas y Socios de Negocios contra el Terrorismo), en los Estados Unidos, el Nuevo Esquema de Empresas Certificadas (NEEC), en México; el Partners in Protection (PIP) en Canadá; y así sucesivamente hasta más de 159 programas que se han implementado y desarrollado en el mundo.
Intervienen las aduanas de los diferentes países, y las comunidades de negocios que forman parte del comercio internacional.
El estándar de ISO, funge como elemento de enlace entre los distintos programas que existen para facilitar el reconocimiento mutuo.
De tal forma que hoy en día, un número importante de empresas a nivel mundial han decidido implementar y certificar bajo la norma ISO 28000 con el objeto de asegurar sus cadenas de suministro y responder a los retos de cada mercado.
Al evaluar el entorno interno y externo de la organización, las palabras clave son los riesgos y las amenazas. Cada organización identifica su propia cadena de suministro con base en el concepto de que:
LA SEGURIDAD es: "la resistencia a los actos intencionales, destinados a causar un perjuicio o daño mediante la cadena de suministro".
Y la gestión de la seguridad es el esquema que engloba las políticas, objetivos y programas, así como las metas.
Para ello, se recurre a un concepto muy utilizado en idioma inglés "upstream/downstream", que traducido al español sería algo así como "aguas arriba / aguas abajo", simulando que la cadena de suministro es como un río que fluye y en el cuál, en determinado momento, interviene la organización interesada en la certificación.
Recordando que "el pensamiento basado en riesgos es la base de la prevención" se entiende porqué la norma invita a identificar los riesgos y las amenazas que puedan surgir, tanto "aguas arriba" como "aguas abajo".
La administración de los datos y la información, juegan un papel relevante. La visibilidad en la logística, inventarios, formatos y requisitos de las diferentes autoridades involucradas, administración de proveedores, establecimiento de indicadores de desempeño (KPI's), revisiones periódicas, métodos de rastreabilidad de la carga y planeación de los envíos y/o entregas, controles de calidad durante los trayectos, etiquetado y escaneo de mercancías, sellos de seguridad, almacenamientos temporales, personal involucrado tanto interna como externamente y la administración de los servicios subcontratados, son sólo algunos de los temas que deberán tomarse en cuenta al identificar su propia cadena de suministro.
La implementación de esta Norma Internacional ayuda a las organizaciones a establecer y evaluar los niveles adecuados de seguridad dentro de las partes que están bajo su control en una cadena de suministro internacional.
Finalmente, mencionar que sus clientes, proveedores, socios comerciales, organizaciones gubernamentales y otras partes interesadas pueden solicitar a BICERT, su organismo de certificación de sistemas de gestión que realice auditorías u otro tipo de evaluaciones que confirmen el cumplimiento con las normas.