GUIA BASC VERSION 6 2022.pdf

Transcript

Guía de Implementación Norma y Estándares Internacionales BASC Versión 6 - 2022 World BASC Organization www.wbasco.org © 2022 BASC Todos los derechos reservados. A menos que se especifique lo contrario, ninguna parte de esta publicación puede ser reproducida, modificada o utilizada en cualquier forma o por cualquier medio, electrónico o mecánico, sin el permiso por escrito de World BASC Organization (WBO), Business Alliance for Secure Commerce, BASC. Miami, Florida. Estados Unidos de América Diseño y Diagramación: World BASC Organization Guía de Implementación Norma y Estándares Internacionales BASC Versión 6 - 2022 Fecha de aprobación: 2 de marzo de 2022 Todos los derechos reservados. A menos que se especifique lo contrario, ninguna parte de esta publicación puede ser reproducida, modificada o utilizada en cualquier forma o por cualquier medio, electrónico o mecánico, sin el permiso por escrito de World BASC Organization (WBO), Business Alliance for Secure Commerce, BASC. Guía de Implementación Norma BASC Sistema de Gestión en Control y Seguridad Versión 6 - 2022 Fecha de aprobación: 2 de marzo de 2022 Todos los derechos reservados. A menos que se especifique lo contrario, ninguna parte de esta publicación puede ser reproducida, modificada o utilizada en cualquier forma o por cualquier medio, electrónico o mecánico, sin el permiso por escrito de World BASC Organization (WBO), Business Alliance for Secure Commerce, BASC. World BASC Organization Guía de Implementación Norma BASC TABLA DE CONTENIDO Introducción 9 Contexto de la empresa Comprensión de la empresa y de su contexto Comprensión de las necesidades y expectativas de las partes interesadas Enfoque de procesos 10 10 11 11 Liderazgo Liderazgo y compromiso Política de gestión en control y seguridad Comunicación de la política Objetivos del sgcs basc Responsabilidad y autoridad de la empresa 12 12 12 12 13 13 Planificación Gestión del riesgo Requisitos legales 13 13 16 Apoyo Previsiones Personal Infraestructura operacional Manual de control y seguridad Control de documentos Control de registros 17 17 17 17 18 18 18 Evaluación de desempeño Generalidades Programa de auditoría interna Selección y evaluación del equipo auditor Revisión por la dirección 18 18 19 19 19 Mejora Generalidades Corrección Acción correctiva Acciones de mejora 20 20 20 20 20 Derechos Reservados - Prohibida su reproducción 7 World BASC Organization Guía de Implementación Norma BASC INTRODUCCIÓN Las Guías de Implementación para la Norma BASC V.6-2022 y los Estándares Internacionales BASC son herramientas cuyo propósito es ayudar a las empresas a poner en funcionamiento el Sistema de Gestión en Control y Seguridad (SGCS) BASC. Generalmente las empresas que buscan asegurar sus procesos cumpliendo requisitos de seguridad, necesitan de una orientación para implementar un sistema de gestión, en particular el SGCS BASC, que se desarrolla dentro del marco de la cadena de suministro y otros procesos del comercio nacional e internacional. Las Guías de Implementación se convierten en documentos prácticos que contribuyen a la adecuada implementación y cumplimiento del SGCS BASC, abordando recomendaciones, enfoques y consideraciones pertinentes. Estas no constituyen requisitos de obligatorio cumplimiento que deban ser evidenciados para la conformidad en la Certificación BASC. Este documento es el resultado de los aportes de toda la organización WBO y la gestión de: Junta Directiva WBO 2021-23: Emilio Aguiar (BASC Ecuador), Presidente; Ricardo Sanabria (BASC Colombia), Vicepresidente; Patricia Siles (BASC Perú), Secretaria; Armando Rivas (BASC República Dominicana), Tesorero; Álvaro Alpízar (BASC Costa Rica), Vocal. Comité Técnico WBO 2021-23: Fermín Cuza, Presidente Internacional WBO; Directores Ejecutivos: Giomar González, BASC Panamá; Luis Bernardo Benjumea, BASC Colombia; Omar Castellanos, BASC República Dominicana; Fabricio Muñoz, BASC Guayaquil; César Venegas, BASC Perú; Jorge Wellmann, BASC Guatemala; María Andrea Caldas, Coordinadora de Certificaciones WBO; y Luis Renella, Director de Operaciones WBO. Derechos Reservados - Prohibida su reproducción 9 World BASC Organization Guía de Implementación Norma BASC CONTEXTO DE LA EMPRESA - Comprensión de la empresa y de su contexto El contexto de la organización es la combinación de factores internos y externos que pueden tener un efecto en el enfoque de la empresa según el desarrollo y la consecución de sus objetivos. El contexto interno son aspectos relacionados con los valores, la cultura, el conocimiento, el desempeño de la empresa, entre otros. El contexto externo incluye entorno legal, tecnológico, competitivo, mercantil, cultural, social, económico, entre otros, ya sea local, nacional, regional, o internacional. Para lo anterior podrá hacer uso de diferentes herramientas como Global BASC, o cualquier otra que considere adecuada para diagramar las cadenas de suministro de mayor impacto, incluyendo asociados de negocio y partes interesadas basado en la gestión del riesgo. Gráfico de contexto Contexto Externo Factores Expectativas Gestion de riesgos Procesos de creacion de valor Procesos de apoyo Mejora continua Requisitos Factores Contexto Interno 10 Derechos Reservados - Prohibida su reproducción Seguimiento, medicion y cumplimiento Partes Interesadas Procesos de liderazgo alta gerencia Gestion de riesgos Determinacion de necesidades y expectativas Mejora continua Partes Interesadas Cumplimiento World BASC Organization Guía de Implementación Norma BASC Gráfico de cadena de suministro 2 2 Agente Aduanal Documentación 1 2 3 Agente de Carga Coordinación Empresa de Seguridad Carga 1 1 Proveedor de materia prima 1 1 Fabricante, productor, exportador Transporte terrestre 1 Almacén fiscal 1 2 3 1 1 Consolidador o desconsolidador de carga Transporte terrestre 1 Transporte terrestre 6.0.1 Relación directa con la carga 6.0.2 Relación indirecta con la carga 6.0.3 Sin relación con la carga 1 Patio de contenedores o centro de acopio de carga 1 Importador 1 1 3 Servicios aéreos, marítimos o terrestres 1 1 Puerto aéreo, marítimo o terrestre de destino Servicios aéreos, marítimos o terrestres 3 Fabricante de uniformes Puerto de embarque aéreo, marítimo o terrestre Transporte terrestre 1 Transporte terrestre 1 3 Instalador CCTV Transporte aéreos, marítimos o terrestres 3 Reclutador de personal Servicios varios - Comprensión de las necesidades y expectativas de las partes interesadas Las partes interesadas identificadas de las empresas pueden ser internas (Accionistas, junta directiva, propietarios, colaboradores, entre otros) o externas (Entidades regulatorias, asociados de negocios - clientes, proveedores y terceros vinculados a la cadena de suministro, competidores, comunidad, entre otros), según el impacto en el alcance del SGCS BASC y la cadena de suministro. La empresa puede identificar las necesidades y expectativas a través de reuniones, encuestas, experiencias, entre otras metodologías. - Enfoque de procesos El enfoque basado en procesos es un principio básico de gestión y fundamental para obtener los resultados previstos por la empresa. Cada proceso identificado debería ser analizado para determinar y documentar, mediante una ficha, procedimiento o caracterización, los requisitos establecidos en la Norma. Derechos Reservados - Prohibida su reproducción 11 World BASC Organization Guía de Implementación Norma BASC LIDERAZGO - Liderazgo y compromiso El liderazgo se entiende como un comportamiento y compromiso personal, cuya finalidad es dirigir e influir positivamente en el comportamiento de los demás para la consecución de determinados objetivos. La alta dirección podría evidenciar su liderazgo y compromiso con el SGCS comunicando a los colaboradores sobre los aspectos más significativos del SGCS BASC y sus resultados, fomentando reuniones periódicas con los líderes de procesos para revisar el desempeño y logros del SGCS, participando en foros y encuentros relativos al SGCS, asignando los recursos de personal y financieros para la implementación, mantenimiento y mejoras del SGCS, entre otros. Las empresas podrían considerar, para la elaboración del código de ética y conducta, su visión, misión, los valores, conductas prohibidas, responsabilidad de los colaboradores, cumplimiento de la ley, y evitar conflictos de intereses, entre otros. - Política de gestión en control y seguridad La Política de Control y Seguridad es la herramienta de la alta dirección para establecer los principales ejes del SGCS BASC. Esta debería incluir los fundamentos estratégicos y las directrices que servirán de referencia para lograr el cumplimiento de los objetivos del SGCS. - Comunicación de la política La empresa debería garantizar una adecuada comunicación interna y externa de la política de gestión en control y seguridad, con el propósito de que el mensaje de la alta dirección sea conocido y entendido por los colaboradores y partes interesadas en todos los niveles de la empresa. La política podría ponerse a disposición de las partes interesadas (internas y externas) relevantes y pertinentes al SGCS de la empresa, a través de la página web, publicación dentro de las instalaciones, envío de correos masivos a clientes y proveedores, entre otros. 12 Derechos Reservados - Prohibida su reproducción World BASC Organization Guía de Implementación Norma BASC - Objetivos del SGCS BASC Los objetivos del SGCS constituyen una de las principales vías para alcanzar las metas y la mejora del SGCS. Los objetivos del SGCS llevarán a cabo las directrices generales marcadas por la política de control y seguridad, por lo tanto deberían ir acordes con la dirección estratégica de la empresa. - Responsabilidad y autoridad de la empresa Las funciones y responsabilidades son definidas por la alta direción. Los colaboradores deberían conocer cuál es su rol en el SGCS y en los procesos que lo conforman. Asimismo, deberían conocer cuál es la autoridad para desempeñar las funciones asignadas. Para mantener la información documentada de la responsabilidad y autoridad del personal que tiene impacto sobre el SGCS, se podrían implementar los siguientes documentos: Manual de organización y funciones, descripción de perfiles de puesto, fichas de procesos, inclusión de la información dentro de los procedimientos ya establecidos, actas de nombramiento, entre otros. PLANIFICACIÓN - Gestión del riesgo El procedimiento podría considerar el uso de matrices de riesgo, Global BASC u otras herramientas que considere pertinentes para la interacción de los riesgos identificados por procesos. a) Criterios e identificación del riesgo Para determinar los criterios del riesgo, la empresa debería: Precisar la cantidad y el tipo del riesgo que puede asumir para alcanzar los objetivos del SGCS BASC. Evaluar la importancia del riesgo para apoyar la toma de decisiones en la gestión del riesgo. Alinearse con el marco de referencia de la gestión del riesgo y adaptarse al propósito y al alcance especificados en el SGCS BASC. Reflejar los valores, objetivos y recursos de la organización y ser Derechos Reservados - Prohibida su reproducción 13 World BASC Organization Guía de Implementación Norma BASC coherente con las políticas y declaraciones acerca del SGCS BASC. Revisar y modificar continuamente en caso de ser necesario. La identificación del riesgo responde a la necesidad de reconocer y describir las amenazas o vulnerabilidades que pueden ayudar o impedir a una empresa lograr sus objetivos. Esta identificación debe ser por procesos, considerando su alcance y contexto y los compromisos establecidos en su política, objetivos y con las partes interesadas. b) Análisis de riesgos El propósito del análisis del riesgo es comprender su naturaleza y sus características, identificando el nivel de impacto que tenga en los procesos del SGCS BASC. El análisis del riesgo implica una consideración detallada de incertidumbre, fuentes de riesgo, consecuencias, probabilidades, eventos, escenarios, controles y su eficacia. Un evento puede tener múltiples causas y consecuencias y puede afectar múltiples procesos. Factor de Riesgo (FR) es el resultado matemático de multiplicar los factores de la probabilidad (P) y el Impacto (I). Siendo la probabilidad (P) la posibilidad de que el riesgo suceda o se materialice en un período específico. El impacto (I) es el resultado esperado ante la materialización del riesgo, ya sea tangible o intangible y relacionado con la seguridad en el SGCS BASC. c) Evaluación de riesgos El propósito de la evaluación del riesgo es apoyar la toma de decisiones e implica comparar los resultados del análisis del riesgo con los criterios establecidos para determinar cuándo se requiere una acción adicional. d) Tratamiento de riesgos El tratamiento del riesgo implica un proceso interactivo de: formular y seleccionar opciones para el tratamiento del riesgo; planificar e implementar el tratamiento del riesgo; evaluar la eficacia de ese tratamiento; decidir si el riesgo residual es aceptable; si no es aceptable, efectuar tratamiento adicional. 14 Derechos Reservados - Prohibida su reproducción World BASC Organization Guía de Implementación Norma BASC Se entiende por abordar el riesgo al conjunto de acciones que la empresa propone para el tratamiento de un riesgo identificado, analizado y valorado. Las opciones para tratar el riesgo pueden implicar una o más de las siguientes alternativas: evitar el riesgo decidiendo no iniciar o continuar con la actividad que genera el riesgo; aceptar o aumentar el riesgo en busca de una oportunidad; eliminar la fuente de riesgo; modificar la probabilidad; modificar las consecuencias; compartir el riesgo (por ejemplo: a través de contratos, compra de seguros); retener el riesgo con base en una decisión informada. Fuente: ISO 31000 e) Respuesta a eventos En la ejecución de los ejercicios y simulacros se debería considerar, en la planificación, que estos no se conviertan en un riesgo o puedan afectar la continuidad del negocio. La continuidad del negocio requiere de procesos y recursos desarrollados para gestionar los riesgos relacionados al negocio y su naturaleza, considerando el Tiempo Objetivo de Recuperación (RTO por sus siglas en inglés) y el tiempo máximo tolerable de la indisponibilidad debido a una interrupción (por lo general desde la perspectiva del negocio o del equipo estratégico) o MTPD (por sus siglas en inglés). Las respuestas a eventos deberían ser consideradas como acciones de mejora, tratando sus causas, determinando acciones y verificando su eficacia. Fuente: ISO 22301 f) Seguimiento El propósito del monitoreo y seguimiento es asegurar la eficacia del método aplicado para la gestión del riesgo en todas las etapas antes mencionadas. Derechos Reservados - Prohibida su reproducción 15 World BASC Organization Guía de Implementación Norma BASC Esta metodología debería realizarse periódicamente o por lo menos una (1) vez al año, incluyendo su planificación, recopilación de datos y fuentes, análisis de la información, registro de resultados, acciones y conclusiones. g) Revisiones Como parte del proceso de revisión en la gestión del riesgo, la empresa podría considerar un informe o acta que incluya los resultados de la metodología, la asignación de recursos, revisión de resultados, riesgo residual, conclusiones y toma de decisiones al respecto. h) Comunicación La comunicación de la gestión del riesgo debería incluir a todas las partes interesadas pertinentes, responsables de la organización, considerando métodos digitales, físicos y los que sean necesarios para asegurar la eficacia y recepción de los destinatarios. La comunicación de la gestión del riesgo debería ser oportuna y asegurar que se recopile, consolide, sintetice y comparta la información pertinente, cuando sea apropiado, y que se proporcione retroalimentación y se lleven a cabo mejoras. - Requisitos legales Los requisitos legales se reconocen como obligaciones de cumplimiento establecidas en leyes, reglamentos, códigos, estatutos, acuerdos u otros documentos vinculantes que le sean aplicables a la empresa y al sector en el cual opera, de acuerdo con la legislación de cada país. Los requisitos legales deberían ser identificados y gestionados. La empresa debe aplicar procedimientos de debida diligencia, incluyendo permisos o requisitos operativos, acuerdos de colaboración entre partes interesadas, de conformidad con los procesos declarados en el alcance del SGCS BASC. La empresa podría hacer uso de una matriz de requisitos legales y reglamentarios u otra herramienta considerada, donde se observen estos requisitos, institución responsable, breve descripción, evidencia de 16 Derechos Reservados - Prohibida su reproducción World BASC Organization Guía de Implementación Norma BASC cumplimiento, vencimiento, consecuencias renovación, entre otros aspectos a considerar. de su incumplimiento y Es importante precisar que aplican los requisitos reglamentarios de WBO y de los Capítulos BASC. APOYO - Previsiones La empresa debería asignar un presupuesto aprobado por la alta dirección, así como disponer de los recursos necesarios para implementar, mantener y mejorar continuamente el SGCS BASC. - Personal Para establecer los requisitos de competencia del personal, la empresa podría implementar un manual de funciones o un perfil de puesto, y debería realizar evaluaciones periódicas de desempeño. La empresa debería revisar y actualizar periódicamente los criterios de gestión del riesgo para determinar cargos críticos, generando evidencia objetiva de dicha revisión. El establecimiento de cargos críticos permite que la empresa defina responsabilidades asociadas a los riesgos de cada proceso. Los cargos críticos son aquellos que, por alguno de los criterios determinados por la empresa, según sus riesgos, requieren controles exhaustivos, tales como acceso a la carga, a información clasificada, a sitios sensibles, entre otros. La empresa determinará, de acuerdo con las actividades que desarrolle, la criticidad de su personal. - Infraestructura operacional Se entiende por infraestructura al conjunto de instalaciones, equipos, servicios de apoyo y tecnología necesarios para el funcionamiento de la empresa. Una vez que se haya establecido cuál es la infraestructura necesaria, deberá llevar a cabo el mantenimiento o renovación requeridos. La empresa debería mantener registros actualizados del equipo o herramientas Derechos Reservados - Prohibida su reproducción 17 World BASC Organization Guía de Implementación Norma BASC de trabajo proporcionados al personal para el desempeño de sus funciones y responsabilidades. - Manual de control y seguridad El Manual de Control y Seguridad establece cómo la empresa comprende su contexto, las necesidades y expectativas de las partes interesadas, el alcance, justificación de las exclusiones a los requisitos del Estándar de Seguridad BASC que no apliquen, así como la forma en que la empresa cumple con cada uno de los requisitos de la Norma y Estándares Internacionales BASC. La empresa debería realizar una revisión periódica del Manual de Control y Seguridad BASC, dejando registros de dicha revisión y de las modificaciones que haya realizado. - Control de documentos La empresa podría establecer procedimientos que contemplen los lineamientos para el control de sus documentos. Este debería contemplar su aprobación y revisión periódica por lo menos una vez al año, asegurando su integridad y la forma en que estará disponible para las partes interesadas. La lista maestra de documentos debería considerar la versión del documento, a qué proceso aplica, fecha de aprobación, responsable de su cumplimiento, entre otros. - Control de registros La empresa podría establecer procedimientos que contemplen los lineamientos para el control de sus registros. Durante el tiempo de retención, los registros deben permitir evidencia objetiva durante el período que abarque la operación o servicio, considerando las disposiciones legales relacionadas y el SGCS BASC. También aplica para registros fílmicos. EVALUACIÓN DE DESEMPEÑO - Generalidades El procedimiento documentado de auditoría interna debería contener, como mínimo, el objetivo, responsable de la supervisión, responsable(s) de la ejecución, términos y definiciones, desarrollo de las actividades, registros 18 Derechos Reservados - Prohibida su reproducción World BASC Organization Guía de Implementación Norma BASC necesarios para evidenciar el cumplimiento y el control de cambios. El ciclo de auditorías internas debería realizarse antes de la fecha de vencimiento de la certificación anual, con el fin de poder presentar en la auditoría BASC las evidencias de haberse completado (entrega del informe, comunicación del resultado, implementación de acciones y verificación de la eficacia). Asimismo, sería recomendable que la empresa planifique la realización de las auditorías internas con tiempo suficiente antes de la auditoría BASC, a fin de poder completar, dentro de lo posible, el ciclo de las acciones correctivas. La tarea del auditor interno es evidenciar la conformidad de los requisitos de la Norma y Estándar Internacional BASC. Para ello, se podrían establecer y consignar en las "Notas del Auditor" las evidencias encontradas. - Programa de auditoría interna La empresa en su programa de auditoría interna debería considerar como mínimo los siguientes aspectos: objetivos, alcance, responsables, registros, gestión y seguimiento de los resultados, revisión y mejora del programa. - Selección y evaluación del equipo auditor Las competencias de los auditores internos (formación, educación, experiencia y habilidades) son declaradas por la empresa. Como parte del proceso de formación debería estar considerado el curso de interpretación de Norma y Estándar Internacional de Seguridad BASC, auditor interno y gestión del riesgo. Para evaluar la vigencia de las competencias de los auditores internos y su actualización periódica, la empresa podría establecer una metodología que contemple las actividades desarrolladas referentes al SGCS BASC y el registro de las mismas. - Revisión por la dirección La revisión del SGCS BASC debería ser convocada y conducida por la alta dirección y debería realizarse antes de la fecha de vencimiento de la certificación anual, con el fin de poder presentar las evidencias en la auditoría BASC. La misma debería ser conservada a través de un acta. Derechos Reservados - Prohibida su reproducción 19 World BASC Organization Guía de Implementación Norma BASC La alta dirección debería contar con evidencia objetiva de los aspectos relacionados con el SGCS BASC, evaluando y analizando los aspectos en los cuales se evidencien desviaciones, dándoles la prioridad de atención. MEJORA - Generalidades El objetivo de la gestión de mejora es que la organización tenga la capacidad de identificar aspectos de importancia que pueden incidir directamente en la eficacia del SGCS BASC, para luego de un análisis detallado, implementar acciones que resulten en un adecuado cumplimiento de las mismas; esto quiere decir, fortalecer la gestión de riesgos mediante las acciones implementadas, lograr el cumplimiento de los objetivos establecidos y por consiguiente de la política de control y seguridad declarada. - Corrección Existen eventos críticos o actividades inusuales de la operación que pueden afectar de manera directa la integridad de los procesos y que podrían ser controlados y/o mitigados de manera inmediata y con recursos disponibles. - Acción correctiva La empresa podría aplicar algún método para el análisis de la causa raíz (5 por qué, espina de pescado, lluvia de ideas, entre otros), tomando en cuenta que este análisis los puede llevar a identificar otras desviaciones en el SGCS que también podrían tratarse. - Acciones de mejora La empresa debería identificar e implementar constantemente mejoras en sus actividades como resultado de ejercicios de verificación o auditorías, así como también durante el cotidiano desempeño de sus operaciones. 20 Derechos Reservados - Prohibida su reproducción Guía de Implementación Estándares Internacionales Sistema de Gestión en Control y Seguridad Versión 6 - 2022 Fecha de aprobación: 2 de marzo de 2022 Todos los derechos reservados. A menos que se especifique lo contrario, ninguna parte de esta publicación puede ser reproducida, modificada o utilizada en cualquier forma o por cualquier medio, electrónico o mecánico, sin el permiso por escrito de World BASC Organization (WBO), Business Alliance for Secure Commerce, BASC. World BASC Organization Guía de Implementación Estándares Internacionales TABLA DE CONTENIDO Introducción 25 Requisitos de asociados de negocio Gestión de asociados de negocio Prevención de lavado de activos y financiamiento del terrorismo 26 26 27 Seguridad de las unidades de carga y las unidades de transporte de carga Generalidades Inspecciones a las unidades de carga Inspecciones a las unidades de transporte de carga Prevención de contaminación cruzada y seguridad agrícola Trazabilidad de las unidades de carga y las unidades de transporte de carga Sellos de seguridad Control de ruta 28 28 28 29 29 29 30 30 Seguridad en los procesos de manejo de carga y otros procesos definidos en el alcance del SGCS Parámetros y criterios Control de materia prima, material de empaque y embalaje Precursores químicos y sustancias controladas Controles en el manejo de la carga Procesamiento de información y documentos de la carga Comunicación de actividades sospechosas o eventos críticos Controles en los procesos operativos no relacionados con la carga 31 Seguridad en los procesos relacionados con el personal Procedimiento para la gestión del personal Selección del personal Contratación del personal Administración del personal Terminación de la vinculación laboral Programa de formación, capacitación y concientización 34 34 34 34 35 35 35 Control de acceso y seguridad física Control de acceso y permanencia en las instalaciones 36 36 Seguridad de la información Ciberseguridad y tecnologías de la información 36 36 Derechos Reservados - Prohibida su reproducción 31 31 32 32 33 33 33 World BASC Organization Guía de Implementación Estándares Internacionales INTRODUCCIÓN Las Guías de Implementación para la Norma BASC V.6-2022 y los Estándares Internacionales BASC son herramientas cuyo propósito es ayudar a las empresas a poner en funcionamiento el Sistema de Gestión en Control y Seguridad (SGCS) BASC. Generalmente las empresas que buscan asegurar sus procesos cumpliendo requisitos de seguridad, necesitan de una orientación para implementar un sistema de gestión, en particular el SGCS BASC, que se desarrolla dentro del marco de la cadena de suministro y otros procesos del comercio nacional e internacional. Las Guías de Implementación se convierten en documentos prácticos que contribuyen a la adecuada implementación y cumplimiento del SGCS BASC, abordando recomendaciones, enfoques y consideraciones pertinentes. Estas no constituyen requisitos de obligatorio cumplimiento que deban ser evidenciados para la conformidad en la Certificación BASC. Este documento es el resultado de los aportes de toda la organización WBO y la gestión de: Junta Directiva WBO 2021-23: Emilio Aguiar (BASC Ecuador), Presidente; Ricardo Sanabria (BASC Colombia), Vicepresidente; Patricia Siles (BASC Perú), Secretaria; Armando Rivas (BASC República Dominicana), Tesorero; Álvaro Alpízar (BASC Costa Rica), Vocal. Comité Técnico WBO 2021-23: Fermín Cuza, Presidente Internacional WBO; Directores Ejecutivos: Giomar González, BASC Panamá; Luis Bernardo Benjumea, BASC Colombia; Omar Castellanos, BASC República Dominicana; Fabricio Muñoz, BASC Guayaquil; César Venegas, BASC Perú; Jorge Wellmann, BASC Guatemala; María Andrea Caldas, Coordinadora de Certificaciones WBO; y Luis Renella, Director de Operaciones WBO. Derechos Reservados - Prohibida su reproducción 25 World BASC Organization Guía de Implementación Estándares Internacionales REQUISITOS DE ASOCIADOS DE NEGOCIO - Gestión de asociados de negocio Diferentes sectores de los asociados de negocio plantean distintos tipos y grados de riesgo, por tanto pueden ser tratados de manera diferente por los procedimientos de elección, evaluación y contratación, así como en la gestión de riesgos de la empresa. Los terceros vinculados en la cadena de suministro son aquellas empresas subcontratadas por un proveedor de productos o servicios contratado por la empresa BASC; esta debería definir cómo el proveedor contratado asegurará la cadena de suministro. Gráfico de cadena de suministro 2 2 Agente Aduanal Documentación 1 2 3 Agente de Carga Coordinación Empresa de Seguridad Carga 1 1 Proveedor de materia prima 1 1 Fabricante, productor, exportador Transporte terrestre 1 Almacén fiscal 1 2 3 1 1 Consolidador o desconsolidador de carga 6.0.1 Relación directa con la carga 6.0.2 Relación indirecta con la carga 6.0.3 Sin relación con la carga Transporte terrestre 1 Transporte terrestre 1 Patio de contenedores o centro de acopio de carga 1 Importador 1 1 3 Servicios aéreos, marítimos o terrestres 1 1 Puerto aéreo, marítimo o terrestre de destino Servicios aéreos, marítimos o terrestres 3 Fabricante de uniformes Puerto de embarque aéreo, marítimo o terrestre Transporte terrestre 1 Transporte terrestre 1 3 Instalador CCTV Transporte aéreos, marítimos o terrestres 3 Reclutador de personal Servicios varios Una vez definidos los asociados de negocio, debería establecer criterios con valoraciones de acuerdo con el riesgo, que permitan determinar el nivel de criticidad. Entre los criterios que podrían adoptarse, se sugieren aspectos relacionados a la responsabilidad, manejo, información con la carga y la gestión de sellos de seguridad, entre otros. 26 Derechos Reservados - Prohibida su reproducción World BASC Organization Guía de Implementación Estándares Internacionales Los acuerdos de seguridad formalizan un compromiso de los asociados de negocio para implementar y mantener controles que permitan minimizar los riesgos a los que está expuesta la empresa, por el producto o servicio que recibe o entrega. Para la elaboración de los acuerdos de seguridad, la empresa debería definir, en primer lugar, los riesgos a los que está expuesta al establecer la relación con el asociado de negocio, de acuerdo con el sector comercial. Para verificar el cumplimiento de los acuerdos de seguridad, las empresas pueden realizar auditorías de segunda parte; proceso que realiza la empresa a los asociados de negocio, cuyos criterios de auditoría son los controles implementados y compromisos para minimizar los riesgos. - Prevención de lavado de activos y financiamiento del terrorismo Entre las listas nacionales e internacionales se pueden considerar la OFAC (Office of Foreign Assets Control), Clinton, Lista de las Naciones Unidas (ONU), Unión Europea, Canadian List, FBI, listas locales de información de procesos judiciales en ejecución, que sean vinculantes a los asociados de negocio, entre otras. Las empresas pueden ampliar la información de referencias de prensa negativa (adverse media) sobre reputación de empresas y sus miembros como elementos de evaluación. La verificación se debería hacer para los accionistas, firmantes, representante legal, apoderados, junta directiva y equipo gerencial de la empresa. Cuando el asociado de negocio sea una persona natural, se deberían verificar sus antecedentes penales, como mínimo. Se debería tener en cuenta la legislación vigente en cada país, de acuerdo con las disposiciones de las Unidades de Análisis Financiero, para prevención de delitos relacionados con lavado de activos y terrorismo. En el procedimiento documentado se debería precisar cómo la empresa determinará, en función del alcance de la certificación, las operaciones sospechosas que se podrían presentar en los procesos declarados para el SGCS BASC. La empresa debería dar seguimiento periódico de acuerdo con los requisitos mencionados en el criterio. Para el reporte de la operación sospechosa no se requiere tener certeza de que se trata de una actividad delictiva, ni identificar el tipo penal o que los recursos involucrados provienen de tales actividades. Este reporte debe hacerse ante las autoridades competentes de cada país. Derechos Reservados - Prohibida su reproducción 27 World BASC Organization Guía de Implementación Estándares Internacionales SEGURIDAD DE LAS UNIDADES DE CARGA Y LAS UNIDADES DE TRANSPORTE DE CARGA - Generalidades La persona que realiza la inspección debería contar con las competencias necesarias para llevar a cabo esta función, las cuales se adquieren por medio de la formación, la experiencia y las habilidades. La inspección va focalizada en detectar compartimentos ocultos, es decir, puntos donde se puedan ocultar elementos eventualmente ilícitos como armas, drogas o dinero en efectivo. Cada empresa es responsable de hacer la verificación de las unidades de carga y vehículos. Las inspecciones en depósitos o patios están dirigidas en la mayoría de los casos a detectar posibles filtraciones, olores o restos de elementos contaminantes. Cada eslabón de la cadena debería implementar sus propios controles y tener la trazabilidad de su operación. La empresa debería establecer los criterios de rechazo de las unidades de carga, tales como abolladuras, estructuras irregulares, olores, reparaciones o soldaduras no declaradas, entre otros, en coordinación con las navieras o depósitos, dependiendo de la naturaleza del producto a transportar y sus requerimientos, entre otros. Teniendo en cuenta las reparaciones o modificaciones sospechosas, intensificando la inspección con controles adicionales tales como uso de tecnología o caninos, antes de un rechazo. - Inspecciones a las unidades de carga Tal como lo menciona el requisito del Estándar, la inspección de la unidad de carga no debe limitarse a los puntos que se listan. Cuando se trate de unidades de carga refrigeradas, es decir, contenedores reefer, la inspección debería incluir, además de los criterios listados en el requisito, lo siguiente: Techos, que tienen dispositivos de aislamiento térmico. Soldaduras, pegantes y los remaches para detectar alteraciones. Orificios de ventilación. 28 Derechos Reservados - Prohibida su reproducción World BASC Organization Guía de Implementación Estándares Internacionales El condensador y su mecanismo de apertura rápida, cajas de control eléctrico, área del compresor y de la batería, entre otros. La empresa debería considerar algunos aspectos relacionados con el manejo de la carga aérea durante los procesos de palletizaje y despalletizaje, así como las operaciones en rampa, cuando aplique. - Inspecciones a las unidades de transporte de carga Cuando se inspeccionen las unidades de carga, también se debería considerar la inspección a las unidades de transporte de carga. Esta inspección igualmente va focalizada a verificar la integridad de la unidad de transporte y detectar compartimentos ocultos, es decir, puntos donde se puedan ocultar elementos eventualmente ilícitos. Tal como lo menciona el requisito del Estándar, la inspección de la unidad de transporte de carga no debe limitarse a los puntos que se listan. - Prevención de contaminación cruzada y seguridad agrícola Se debería evitar la introducción de contaminantes en la cadena de suministro. La empresa debería verificar que su actividad esté libre de plagas, restos de desechos y residuos a través de controles durante el proceso de inspección. Durante la recepción y manejo de los contenedores vacíos, la empresa debería realizar una verificación interna y externa del contenedor para procurar que esté libre de cualquier contaminante por plagas. La empresa debería establecer los medios para aplicar este procedimiento durante las operaciones de carga y descarga de contenedores. - Trazabilidad de las unidades de carga y las unidades de transporte de carga La empresa, con base en la gestión del riesgo, debería incluir en el procedimiento documentado los siguientes puntos: pernoctas autorizadas, el cierre/precintado de la unidad de carga con sellos de alta seguridad (ISO17712), el personal autorizado en el cargue, evidencias fotográficas o fílmicas, el diligenciamiento adecuado de los registros, el informe oportuno de novedades, entre otros. Derechos Reservados - Prohibida su reproducción 29 World BASC Organization Guía de Implementación Estándares Internacionales El conductor debería verificar la integridad de los sellos de seguridad instalados en cada punto de pernocta y paradas autorizadas durante la ruta. - Sellos de seguridad La empresa debería contemplar en el procedimiento documentado la revisión, almacenamiento, inventario, verificación de la instalación, resguardo y reemplazo de sellos de seguridad. Asimismo, es importante que este procedimiento considere: Mantener un registro cuando sea necesario reemplazar un sello durante el tránsito, incluyendo los mecanismos de comunicación y la causa por la cual fue reemplazado. Notificar las incidencias a las navieras, autoridades aduaneras y otras partes interesadas pertinentes, cuando existan anomalías en el manejo de los sellos y los registros correspondientes. Documentar las acciones correctivas cuando se identifican alteraciones, manipulaciones o números incorrectos de sellos en el registro documental. Si la carga es examinada por las autoridades, tener en cuenta las siguientes acciones: Registro de número de sello de reemplazo. Notificar inmediatamente a quien corresponda cuando se rompe un sello y el número de sello de reemplazo, indicando quién lo rompió y el motivo. La empresa debería asegurarse de que los precintos de seguridad cuenten con los certificados que avalen que estos han pasado por las pruebas que exige la ISO 17712. Fuente: ISO 17712 - Control de ruta El control de ruta hace referencia al control riguroso sobre todas las áreas del transporte en tiempo real; lo cual permitirá una visibilidad constante sobre el transporte de mercancías durante los procesos de traslado entre las rutas punto a punto. 30 Derechos Reservados - Prohibida su reproducción World BASC Organization Guía de Implementación Estándares Internacionales Una buena práctica para llevar el control de ruta es establecer un cronograma de tiempos aproximados de traslado, asimismo podría establecer "geocercas", consideradas herramientas de control vehicular que permiten trazar un perímetro fronterizo virtual para definir áreas geográficas de interés, que le permitan a la empresa recibir notificaciones en tiempo real cada vez que uno de sus mecanismos de transporte con GPS entre o salga de dicho territorio. También sería importante que la empresa realice inspecciones periódicas y aleatorias sin previo aviso, considerando principalmente los lugares en donde los medios de transporte son susceptibles, según el riesgo identificado, dejando evidencia de la verificación de la integridad de las unidades. SEGURIDAD EN LOS PROCESOS DE MANEJO DE CARGA Y OTROS PROCESOS DEFINIDOS EN EL ALCANCE DEL SGCS Se entiende como procesos de manejo de la carga, el manejo seguro de la información y las actividades aplicadas por la empresa para mantener la integridad de la carga durante la producción, fabricación, empaque, embalaje, transporte, manejo de la documentación y verificación de la carga. - Parámetros y criterios El procedimiento documentado debería incluir controles operacionales en cada punto establecido para el manejo de la carga. Estos puntos pueden estar ubicados en instalaciones propias de la empresa o pueden pertenecer a un asociado de negocio (productor, patio de consolidación, centro de acopio o plantas de terceros donde se realicen estos procesos de manejo de carga). Es importante tomar en consideración el manejo de la carga en diferentes puntos para completar una misma unidad de carga. La trazabilidad es parte integral del procedimiento, los registros documentales, fotográficos y/o fílmicos (generados por la empresa o por sus asociados de negocio), el respaldo de la información y tiempo de conservación de estos respaldos requeridos para una adecuada respuesta a eventos. - Control de materia prima, material de empaque y embalaje El procedimiento documentado incluye la identificación del responsable directo de la custodia e inventario de la materia prima, el material de empaque y embalaje, así como otros elementos para facilitar su almacenamiento y manejo Derechos Reservados - Prohibida su reproducción 31 World BASC Organization Guía de Implementación Estándares Internacionales (pallets, etc.). Además, considerar los registros esenciales de trazabilidad definidos para su control y manejo, incluyendo procedimientos en caso de robo o pérdida de cualquiera de estos elementos, considerando la respectiva denuncia a las autoridades, indicando la información relevante para su adecuada identificación (codificaciones de seguridad, fechas de producción, número de lote, etc.). Con respecto a los residuos y desechos, considerar los métodos para su adecuada disposición o destrucción y revisiones de seguridad a la salida de estos por los accesos de las instalaciones. Debería cumplir las normativas de seguridad ambiental, riesgo de trabajo u otras aplicables según la legislación de cada país. - Precursores químicos y sustancias controladas Los precursores químicos y sustancias controladas son sustancias de uso comercial e industrial susceptibles de ser desviadas del uso legalmente permitido, para ser utilizadas con fines ilícitos. Debería considerar la gestión del riesgo, acorde con la legislación aplicable (permisos y autorizaciones), identificando responsables de su custodia e inventario, los registros de trazabilidad que evidencien los controles operacionales aplicados a su adecuado manejo, así como los procedimientos en caso de robo, pérdida o incidencias, considerando la oportuna denuncia a las autoridades. Debería cumplir las normativas de seguridad ambiental, riesgo de trabajo u otras aplicables según la legislación de cada país. - Controles en el manejo de la carga Los procesos de manejo de carga involucran personal propio de la empresa y también de sus asociados de negocio críticos relacionados. Todos ejecutan diferentes actividades que generan registros esenciales de trazabilidad que de manera conjunta procuran la integridad en el manejo de la carga y las unidades de carga durante el tiempo de permanencia en diferentes locaciones o en puntos distintos de una misma instalación donde existe contacto directo con la unidad de carga que, en ciertas ocasiones, se utiliza como unidad de almacenamiento hasta el momento del cargue para la exportación. Es necesario identificar a los participantes en las diferentes actividades, los mismos que deberían ejecutar sus actividades en sitios delimitados y bajo el control de elementos que permitan trazabilidad, para el aseguramiento del proceso, la carga y las unidades de carga. El cumplimiento de los acuerdos de seguridad constituye una herramienta eficaz para el control adecuado de estas actividades desarrolladas por los asociados de 32 Derechos Reservados - Prohibida su reproducción World BASC Organization Guía de Implementación Estándares Internacionales negocio no certificados BASC, para procurar la integridad de los procesos. - Procesamiento de información y documentos de la carga En caso de que la actividad de coordinación operativa para el manejo de documentos e información de la carga sea ejecutada por un asociado de negocio, la empresa debería mantener un control directo para procurar la integridad de los procesos. Si el asociado no cuenta con certificación BASC, el acuerdo de seguridad debería considerar estos requisitos y los procedimientos sugeridos para asegurar la información sensible. - Comunicación de actividades sospechosas o eventos críticos Cuando se presente una actividad sospechosa o inusual que pudiese afectar la integridad de las operaciones, la empresa debería informar a las autoridades y al Capítulo BASC para fines estadísiticos, limitando el detalle de la información de acuerdo con la legislación vigente. Si el evento crítico se materializa en cualquiera de los procesos, la empresa debería informar a las autoridades pertinentes y hacer un análisis profundo para identificar los factores que pudieron dar origen al evento. En ambos casos, el Capítulo BASC cooperará con la empresa en la evaluación de los procesos afectados. Cabe anotar que la determinación de actos ilícitos o la participación, comisión o facilitación de presuntos delitos es un tema que compete únicamente a la autoridad de control de acuerdo con la legislación de cada país. La comunicación al Capítulo BASC, o su cooperación, no exime a la empresa de las responsabilidades frente a las autoridades competentes. Las empresas deberían capacitar y concientizar al personal responsable de comunicar estas actividades. - Controles en los procesos operativos no relacionados con la carga Todas las empresas de productos o servicios manejan procesos de carácter operativo; estos procesos son parte del alcance declarado en el SGCS BASC. Asegurar la integridad de los procesos y minimizar los riesgos a través de procedimientos que involucren controles operacionales, incluyen la trazabilidad y el respaldo de la información, considerando los tiempos de almacenamiento de estos respaldos para una adecuada respuesta a eventos. Este criterio excluye Derechos Reservados - Prohibida su reproducción 33 World BASC Organization Guía de Implementación Estándares Internacionales procesos de producción industrial, fórmulas de productos y cualquier otra información reservada que no haga referencia al alcance del SGCS BASC. SEGURIDAD EN LOS PROCESOS RELACIONADOS CON EL PERSONAL - Procedimiento para la gestión del personal Se entiende como personal a los colaboradores directos, el personal subcontratado y el personal temporal. Las empresas certificadas BASC deberían contar con un código de ética o conducta que establezca los principios y valores éticos de la organización y darlo a conocer a través de programas de sensibilización y capacitación para concientizar a los colaboradores y partes interesadas. La empresa debería considerar el cumplimiento de la legislación local. - Selección del personal Las verificaciones podrán incluir el estatus de los antecedentes de acuerdo con la legislación vigente y el consentimiento de los candidatos. Los documentos oficiales deberían ser emitidos por el órgano correspondiente. Con base en la gestión del riesgo, debería aplicar para los colaboradores subcontratados o considerados asociados de negocio (ver E.1) que formarán parte de los procesos identificados de acuerdo con el alcance del SGCS BASC, ya sea de manera directa o indirecta. - Contratación del personal La contratación del personal se conoce como la fase de cierre del reclutamiento y selección, formalizando la entrada del colaborador a la empresa. Una buena práctica en este sentido es crear un expediente por colaborador con la evidencia del proceso de reclutamiento y selección. Igualmente este expediente debería contener datos actualizados del candidato. El proceso de inducción del candidato debería incluir su responsabilidad y compromiso con el SGCS BASC, de acuerdo con sus funciones y nivel de criticidad. 34 Derechos Reservados - Prohibida su reproducción World BASC Organization Guía de Implementación Estándares Internacionales La empresa debería verificar que los datos de los colaboradores se encuentren debidamente protegidos, y con acceso únicamente al personal autorizado. - Administración del personal El mantenimiento de la información del personal y el seguimiento de esta es un aspecto importante para la mejora continua del SGCS BASC. La periodicidad en el seguimiento debería responder al nivel de criticidad de los cargos que ocupen los colaboradores. La empresa debería mantener información documentada de las revisiones y actualizaciones, brindando capacitación permanente para mantener la integridad del SGCS. En caso de existir novedades significativas producto de las visitas domiciliarias o las pruebas realizadas, debería aplicar el procedimiento correspondiente y comunicar a la alta dirección. - Terminación de la vinculación laboral Cuando haya un cese de funciones del colaborador, es importante dar seguimiento a los recursos asignados al colaborador, así como desvincular accesos tanto físicos como tecnológicos en todos los niveles de la organización. La empresa debería guardar información documentada de este proceso como evidencia para las validaciones de BASC y de acuerdo con lo determinado en la legislación local para fines de trazabilidad y posibles investigaciones. - Programa de formación, capacitación y concientización De manera periódica la empresa debería proporcionar formación sobre la seguridad a los empleados, según lo requieran sus funciones y cargos, de conformidad con los compromisos adquiridos en cuanto al SGCS BASC. Los empleados recién contratados deberían recibir esta formación como parte de su orientación o inducción al trabajo. Este programa debería contemplar capacitaciones, formaciones y charlas de concientización con objetivos definidos y alineados a los requisitos de la Norma y Estándar BASC, con el fin de evidenciar la eficacia de su aplicación. Derechos Reservados - Prohibida su reproducción 35 World BASC Organization Guía de Implementación Estándares Internacionales La empresa debería conservar registros que evidencien la ejecución de estos programas. CONTROL DE ACCESO Y SEGURIDAD FÍSICA - Control de acceso y permanencia en las instalaciones Es recomendable definir un perímetro de seguridad para proteger áreas críticas mediante controles de acceso apropiados para asegurar que solo se permite el acceso a personal autorizado. SEGURIDAD DE LA INFORMACIÓN - Ciberseguridad y tecnologías de la información Las acciones de ciberseguridad de la empresa deberían ser proporcionales al tamaño, la naturaleza, la criticidad de las operaciones y modelo de negocio. Las empresas que empleen accesos a través de autenticación multifactor, deberían tener en cuenta los factores requeridos para verificar la identidad de los usuarios. Periódicamente se le podría requerir al súper usuario la entrega de las credenciales de acceso a los sistemas y herramientas informáticas que formen parte de la infraestructura tecnológica de la empresa. 36 Derechos Reservados - Prohibida su reproducción © 2022 BASC Todos los derechos reservados. A menos que se especifique lo contrario, ninguna parte de esta publicación puede ser reproducida, modificada o utilizada en cualquier forma o por cualquier medio, electrónico o mecánico, sin el permiso por escrito de World BASC Organization (WBO), Business Alliance for Secure Commerce, BASC. Miami, Florida. Estados Unidos de América Diseño y Diagramación: World BASC Organization World BASC Organization www.wbasco.org