Con el crecimiento exponencial del comercio internacional, cada vez resulta más difícil para cualquier país gestionar la seguridad de la cadena de suministro por si mismo. La familia de normas internacionales ISO 28000 para la gestión de la seguridad para la cadena de suministro, armoniza los esfuerzos globales para ayudar a las organizaciones reducir los riesgos para las personas y las cargas, así como estar preparado ante incidentes y seguir operativos en situaciones de crisis y conseguir una recuperación rápida una vez ocurrido el incidente.
Las organizaciones que invierten en la cadena de suministro se beneficiarán económicamente a medio plazo. El aumento en la transparencia de la cadena lleva al mismo tiempo a mejorar la competencia. La seguridad en la cadena de suministro es la oportunidad de crear procesos estables.
Para que la gestión del riesgo sea efectiva, una organización debería cumplir con los siguientes principios a todos los niveles:
La gestión del riesgo
– crea y protege valores,
– es una parte integral de los procesos de la organización,
– forma parte de la toma de decisión,
– hace frente a la incertidumbre,
– es sistemática, estructurada y oportuna en el tiempo,
– se basa en la mejor información disponible,
– se alinea al contexto interno y externo de la organización y al perfil de riesgos,
– tiene en cuenta factures humanos y culturales,
– es transparente, dinámico y responde ante los cambios,
– facilita la mejora continua.
Los incidentes de la seguridad contra la cadena de suministro internacional son amenazas al comercio y al crecimiento económico de los países comerciantes.
Las personas, los bienes, la infraestructura y el equipamiento, incluyendo los medios de transporte, deben protegerse contra los incidentes de seguridad y sus efectos potencialmente devastadores.
Según la información de TAPA, el coste por robos en la cadena de suministro en la UE supera los 8 billones de Euros. Solo en España se estima que el coste supera los 2.000.000€.
Seguridad en la cadena de suministro
La Norma internacional UNE-ISO 28000:2008 “Especificación para la gestión de la seguridad para la cadena de suministro” define esta cadena como el conjunto relacionado de recursos y procesos que comienza con la provisión de materias primas y se extiende hasta la entrega de productos o servicios al usuario final a través de los medios de transporte. No obstante, el ámbito de aplicación de esta norma también incluye aspectos de seguridad en las finanzas, producción, gestión de la información y las instalaciones de almacenamiento y transferencia de bienes entre distintas localizaciones.
Asimismo, la gestión de la seguridad está enlazada con muchos otros aspectos de la gestión del negocio. Estos otros aspectos deberían considerarse directamente, donde y cuando tienen un impacto en la gestión de la seguridad.
UNE-ISO 28000 puede y debe integrarse en cualquier sistema de gestión ya existente en la organización como UNE-EN ISO 14001 o UNE-EN ISO 9001, etc.
El conjunto de normas ISO 28000
La Norma UNE-ISO 28000:2008 “Especificación para la gestión de la seguridad para la cadena de suministro”, establece los requisitos para mejorar la seguridad de la cadena de suministro mediante el análisis de los riesgos y los planes de reacción adecuados. Para ello, se requiere que la organización evalúe el entorno de seguridad en el que opera, que determine si se implementan unas medidas de seguridad adecuadas y si ya existen otros requisitos reglamentarios que la organización cumpla.
UNE-ISO 28001:2008 Buenas prácticas para la implementación de la seguridad- Requisitos y guía. Esta norma en conjunto con ISO 28000 ha sido conceptuada para cubrir una parte importante de los requisitos de Operador económico autorizado (OEA). Esta norma puede ser utilizada por las organizaciones certificadas OEA para evaluar a sus socios aguas arriba y aguas abajo que no entran dentro del ámbito de aplicación del OEA.
ISO 28002:2010 “Desarrollo de la capacidad de recuperación en la cadena de suministro”. Responde a la necesidad de las empresas asegurar que sus proveedores y la extendida cadena de suministro, han tomado los pasos para prevenir y mitigar las amenazas y riesgos a las cuales están expuestas.
La Norma ISO 28003:2007 Requisitos para los organismos que realizan actividades de auditoria y/o certificación incluye especificaciones de la Norma ISO 17021 Requisitos para los organismos que realizan la auditoria y la certificación de sistemas de gestión.
Por último, la Norma ISO 28004:2007 Guía para la implementación de ISO 28000 puede ser una buena ayuda para la implantación de un sistema de gestión de seguridad.
La parte principal de la norma es la identificación de riesgos y amenazas relacionados con:
§ Fallos físicos, daños fortuitos, acciones criminales,
§ Riesgos operacionales,
§ Sucesos naturales,
§ Factores ajenos al control de la organización,
§ Incumplimiento de requisitos legales,
§ Diseño y la instalación del equipo de seguridad,
§ Gestión de información y datos, comunicaciones,
§ amenaza a la continuidad de las operaciones.
Una vez se haya valorado y clasificado los riesgos, se deben establecer los planes de acción correspondientes para su mitigación
Implantar un sistema de gestión de seguridad
La parte fundamental de las normas de gestión de riesgos consiste en la identificación de los mismos. Una vez se haya valorado el riesgo con la probabilidad que se produzca un suceso, se establecen las medidas o bien para reducir el riesgo que un suceso se origine o bien para mitigar sus consecuencias.
Cotidianamente se puede referir a la seguridad como la ausencia de riesgo o también a la confianza en algo o alguien. Sin embargo, el término puede tomar diversos sentidos según el área o campo a la que haga referencia.
La identificación de los riesgos:
Es el proceso de encontrar, reconocer y describir los riesgos. Este proceso incluye la identificación de las fuentes de riesgo, los sucesos, las causas o series de circunstancias, y sus potenciales consecuencias. Esta identificación puede apoyarse en datos históricos, análisis teóricos, opiniones autorizadas y en las necesidades de las partes interesadas.
El análisis del riesgo:
El proceso sistemático para comprender la naturaleza del riesgo y para deducir el nivel de riesgo. Este análisis proporciona las bases para la evaluación del riesgo y para las decisiones consecuentes.
La valoración del riesgo:
El proceso de comparar los resultados del análisis del riesgo frente a los criterios de riesgo para determinar si el nivel de riesgo es tolerable o no.
Por ejemplo, los poderes públicos de ámbito estatal o autonómico respecto a la población general, el cuadro técnico de una empresa respecto a sus empleados, etc.
Valor de referencia frente al cual se evalúa la importancia de un riesgo. Puede proceder de normas, textos legales o políticas y debe revisarse con regularidad para asegurar su relevancia continuada.
Esta valoración ayuda en las decisiones sobre el desarrollo y la implementación de las medidas necesarias para modificar el riesgo.
El tratamiento del riesgo es función del grado de tolerabilidad del mismo; en general caben las siguientes opciones:
– Retención del riesgo:
Es la aceptación de las pérdidas que provocaría un riesgo en particular. En el mejor de los casos, supone que se aceptan aquellos riesgos que no se han identificado, así como los riesgos residuales
En cualquier colectivo hay un cierto grado de riesgo retenido puesto que la eliminación absoluta de todos los riesgos es impracticable.
– Reducción del riesgo.
Es la aplicación de alguna –o de varias- de las estrategias siguientes:
~ Prevención del riesgo: Medidas que se toman para reducir la probabilidad de que se produzca un suceso no deseado.
~ Represión del riesgo: Medidas implantadas para reducir la probabilidad de que un suceso no deseado dé lugar a consecuencias.
~ Mitigación del riesgo: Medidas que se toman para reducir el efecto de unas consecuencias no deseadas.
– Eliminación del riesgo.
Es la reducción a cero de la frecuencia de un suceso desfavorable y/o de su severidad. Puede involucrar la eliminación de las fuentes de riesgo (peligros).
Los beneficios que una organización obtiene al implantar un sistema de gestión de riesgos son:
Ø Incremento de la posibilidad de cumplir los objetivos,
Ø Fomento una gestión proactiva,
Ø Ser consciente de la necesidad de la identificación y tratamiento de riesgos a través de la organización,
Ø Mejora la identificación de oportunidades y amenazas,
Ø Cumplir los requisitos legales y normas internas,
Ø Mejora la confianza y credibilidad de las partes interesadas,
Ø Asignación eficaz de los recursos,
Ø Aumenta el desempeño de la protección de la salud, seguridad y medioambiente,
Ø Minimiza las perdidas,
Ø Mejora la capacidad de recuperación de la organización.
Frank Carlos Pauw
Gerente de Automoción de AENOR
Gestión de riesgos en la cadena de suministro
La familia de normas internacionales ISO 28000 juega un papel clave
