RIESGO DE SEGURIDAD BASADA EN LA CADENA DE SUMINISTRO Índice: y y y y y y
y
Que
es un riesgo Que no es una evaluación de riegos Que es una evaluación de riegos Como encaja la eval uación de riesgos en el programa C-TPAT Como puede hacer su empresa una evaluación de la cadena de s uministro. Como encajan las normas normas de c-tpat en el programa de seguridad de la cadena de suministro basado en los riesgos. Como puede desarrollar un plan de acción basado en el riegos rieg os de la cadena de suministro.
Q UE UE ES UN RIESGO
La determinación de un resultado adverso que es f unción de un acuerdo sobre la norma para medir y evaluar la probabilidad de ocurrencia (amenazas), las vulnerabilidades y consecuencias asociadas a un incidente, acontecimiento o s uceso. LO Q UE UE UNA EVALUACION DE RIESGOS NO ES: No es sólo una evaluación de amenazas (por ejemplo; cualquier cosa f uera de México es de alto riesgo debido a los carteles) No es sólo una evaluación de la vulnerabilidad (por ejemplo; q ue es un sitio de alto riesgo, cuando en el sitio no tienen las medidas de seguridad por que está en un buen lugar) No es sólo una evaluación de las consec uencias (por ejemplo; q ue es de alto riesgo de carga eléctrica. Pero es seg uro) No sólo con la int uición (por ejemplo; soy profesional de la seg uridad y sé que es alto riesgo cuando lo veo!). y
y
y
y
LO Q UE UE ES UNA EVALUACION DE RIESGOS: Como hemos visto, a veces el término es mal utilizado incluso por los profesionales de la seguridad. El DHS Departamento de Defensa, gubernamental, estatal y local tienen el mismo enfoque ISO 28000 (Seguridad de la Cadena de Suministro) el mismo enfoque Cramm británica, Marion Francesa Francesa - el mismo enfoque Todos comparten un modelo de proceso común, incl uso si los términos exactos varían ligeramente y eso es: y
y
y y y
La determinación del riesgo es un proceso cualitativo / cuantitativo de la combinación de ambas evaluaciones. Amenazas (probabilidad de ocurrencia) Vulnerabilidades (debilidades o brechas en la seg uridad de las normas establecidas; una medida de la eficacia de la seguridad) Consecuencias (impacto de los sucesos adversos) y y
y
EVALUACION DE AMENAZAS: Una evaluación integral de todas las amenazas a la cadena de suministro internacional: Terrorismo Contrabando (drogas) Contrabando de armas Humanos Enfermedades Explosivos Condiciones económicas Desastres naturales Inestabilidad política Problemas laborales Espionaje Industrial Delincuencia organizada Robo Manipulación del producto Divisas ilegales y y y y y y y y y y y y y y y
Preguntas: ¿Es esto una amenaza importante para esta ubicación? ¿Cómo llegamos a tomar esa decisión? ¿En base a qué pruebas cuantitativas? Recuerde la amenaza está en constante evolución y cambio.
COMO PUEDE MI EMPRESA DE LLEVAR A CABO UNA EVALUACION DE AMENZAS? Cuanto más holística, es más precisa la forma de hacer frente a las cuestiones Puede ser complejo y citar a una variedad de temas, incl uyendo datos históricos, capacidades y tácticas Puede involucrar matrices complejas y diagramas de dispersión, etc.. Como un mínimo enfoque en las cuestiones relacionadas con la cadena de suministro Terrorismo Secuestro Contrabando de drogas Seguridad Portuaria Registro de seguridad Utilice los servicios de contrato que tienen los expertos sobre el terreno, uso comercial y los reportes de servicios de seg uridad Utilizar los recursos del gobierno como el Oversea Sec urity Advisory Councils (OSAC) de igual manera la seguridad de la embajada CBP y policía local. Asociación profesional como ASIS Internacional, TAPA etc. Determinar una calificación global de amenazas Asignar un valor de calificación y y
y y
y
y
y y y
CBP TE PUEDE AYUDAR CON DATOS COMO: Áreas más comunes donde fallan los criterios: Transporte de Seguridad (seguimiento y control) (51%) Seguridad en los contenedores (sellos e inspecciones) (49%) Socios de Negocios (selección y s ubcontratación) (46%) Personal de Seguridad (investigaciones de fondo) (31%) y y y y
Ubicación de transacción: En el transito (51%) Dentro de la fabrica (25%) Aduana (17%) Otros (7%) y y y y
EVALUACION DE VULNERABILIDAD Una evaluación de lagunas existentes y debilidades explotables (V ulnerabilidades) de las normas de seguridad establecidas en todos los puntos de flu jo dentro de la cadena de suministro: Requerimientos del socio de negocio (proveedor) Garantizar los instrumentos de medio de transporte (remolq ue de seguridad / contenedor) Controles de acceso y y
y
y y y y y
Personal de seguridad Seguridad en el proceso Seguridad Física Seguridad de la Información Tecnológica Programas de Capacitación y concientización contra amenazas
Pregunta: ¿La instalación cumple con las normas ó no? Evaluar cada subcategoria. ¿Esto le es familiar?.debería. Estas son las categorías de criterios para la norma de seguridad de C-TPAT .
¿COMO PUEDE MI EMPRESA LLEVAR ACABO UNA EVALUACION DE LA VULNERABILIDAD? Documento de auto-evaluación y evaluación de los resultados de las vulnerabilidades Documento de visitas a planta y evaluaciones , evaluar los resultados de vulnerabilidad (a pesar de que son más creíbles que una autoevaluación, es posible que tenga que limitar las evaluaciones en planta y limitarlo a las instalaciones con más altos índices de riesgo) Determinar la eficacia mediante la eval uación: la disuasión, detección, el retraso y la f unción de respuesta Revisar la frecuencia de los cambios en la c ustodia y el tiempo de carga de ser en reposo a pasar en cualquier momento dentro de la cadena de suministro. Revisar la historia de incidentes dentro de la cadena de suministro y determinar si hay punto de eficacia Determinar una calificación global de v ulnerabilidad Asignar un valor a la calificación y y
y
y
y
y y
CONSECUENCIA DE LA EVALUACION: Una evaluación del impacto de un acontecimiento adverso, como la pérdida de un socio de negocio, a una empresa: Impacto en los EUA, sus ciudadanos y en la empresa pesadilla: armas de destrucción masiva f ue encontrada en la carga que se envía por su compañía Estatus de miembro C-TPAT y perdida de beneficios Asignar un valor a la carga (alto valor, marca registrada, restringido, alimentos, farmacéuticos, etc.) Impacto Financiero (algo más que valor monetario) Volumen de carga (grado de dependencia de esta f uente) Reputación Integridad Cuestiones de reglamentación Aseguramiento de la calidad y
y y
y y y y y y
¿COMO PUEDE MI COMPAÑÍA REALIZAR UNA EVALUACION DE CONSECUENCIAS? Usted probablemente cuenta con mucha de esta información en algún lado dentro de la compañía, ejemplo; en la contratación o adquisición. Si se trata de un socio de negocios, pregunte ¿Qué tan importante es este tercero para su negocio? Valor económico Cantidad o volumen Variaciones estacionales ¿Cómo podría verse afectado, en su caso ¿Cómo podría verse afectada nuestra reputación? Determinar una calificación global de las consec uencias (por ejemplo, alto, medio, bajo, etc.) Asignar un valor a la calificación y
y y y y y y
y
¿COMO PUEDE MI EMPRESA LLEVAR ACABO UNA EVALUACION DE RIESGOS? Establecer un procedimiento de: Llevar a cabo una evaluación de amenazas Llevar a cabo una evaluación de vulnerabilidad Llevar a cabo una evaluación de las consecuencias Combinar los tres componentes para determinar una calificación de riego: y y y y y
Amenaza
Consecuencias
=
riesgo
¿COMO PUEDE MI EMPRESA CALCULAR EL RIESGO? Amenaza X Vulnerabilidad X Consecuencias
=
riesgo
y
y y
X
Vulnerabilidad
X
Asigne un valor variante de menor a mayor (mayor probabilidad mayor numero 3), medio 2 y baja 1, amenazas, vulnerabilidades y consecuencias. Multiplicar o añadir al mismo tiempo a combinar las puntuaciones Que se le dará un numero de riesgo que equivale a por lo menos en un nivel alto, medio o bajo.
Ejemplo: Este ejemplo es la determinación del riesgo desde la perspectiva de un importador en los estados unidos. Se centra en una cadena de suministro que se inicia en una fábrica en México y termina con un importador de centro de distribución en los Estados Unidos. EMPRESA MANUFACTURERA
TRANSPORTISTA
TRANSPORTE PARA CRUCE DE FRONTERA
INSTALACIONES DE DISTRIBUCION
EMPRESA MANUFACTURERA Amenazas: El chequeo con la CBP, el Banco Mundial, OSAC dan una puntuación de 4, en una escala de 1 a 5 siendo 5 el más alto. Vulnerabilidad: Una autoevaluación y los resultados en la eval uación en planta dio una puntuación de 2 Consecuencia: los resultados de la evaluación en planta dan un puntaje de 4 TRANSPORTISTA Amenazas: El chequeo con la CBP. OSAC, TAPA y dio una puntuación de 4 Vulnerabilidad: Los resultados de auto evaluación en un puntaje de 4 Consecuencia: Los resultados de la evaluación en la planta dio p untaje de 4 TRANSPORTE PARA CRUCE DE FRONTERA Amenazas: Los chequeo con la CBP, OSAC, TAPA dio lugar a una puntuación de 5 Vulnerabilidad: La eval uación de certificación y a uto evaluación de c-tpat dio una puntuación de 4 Consecuencia: Los resultados de la evaluación en la planta dio un puntaje de 4
INSTALACIONES DE DISTRIBUCION Amenazas: El chequeo con la CBP, TAPA y la Policía de Mc Allen dio un puntaje de 3 Vulnerabilidad: Auto evaluación en las instalaciones dio como resultado una puntuación de 3 Consecuencia: El resultado de una evaluación a planta dio un puntaje de 4
EMPRESA MANUFACTURERA Punta je
de riesgo 32
TRANSPORTISTA Punta je
de riesgo 64
TRANSPORTE PARA CRUCE DE FRONTERA Punta je
de riesgo 80
INSTALACIONES DE DISTRIBUCION Punta je
de riesgo 36
¿COMO PUEDE MI EMPRESA DESARROLLAR UN VALOR DE LA CADENA DE SUMINISTRO BASADO EN EL RIESGO? No se limite a arrojar las medidas de seguridad o mejoras en todos los lugares, a menos que tenga un presupuesto ilimitado de seguridad Determine que instalaciones o participantes de la cadena son los más altos de riesgo y se centran en la reducción del riesgo en estos primeros Es difícil para una empresa cambiar de amenaza, pero la empresa puede tomar medidas para reducir la vulnerabilidad y / o las consecuencias Concéntrese en las vulnerabilidades y las consec uencias que pueden resultar en la reducción más significativa de riesgo Esa es la gestión del riesgo basado en la manera del riesgo y
y
y
y
y
PLAN DE ACCION DE SEGURIDAD BASADO EN EL RIESGO DE LA CADENA DE SUMINISTRO Utilice las calificaciones de riesgo para dar prioridad a las instalaciones, sitios y socios de negocio. Elaborar un plan de acción correctiva para todas las evaluaciones de la vulnerabilidad o los procesos de cambio para reducir las consecuencias Identificar: Las deficiencias y las áreas de mejora Contramedidas y
y
y
Dar prioridad a: Identificar quien es el responsable de corregir el problema Establecer un plazo para la aplicación Lista de correcciones Realizar el seguimiento de verificación Volver a calcular los riesgos
RESUMEN: Su objetivo debe ser contar con un enfoque basado en la cadena de s uministro de programas de seguridad. Mediante el uso de las f uentes, incluso f uentes abiertas para la identificación de amenazas, las herramientas que ya debería haber establecido para el programa C-TPAT (por ejemplo, autoevaluaciones evaluaciones dentro de la planta) y el conocimiento de los procesos críticos, cualquier empresa puede determinar sus riesgos. Cuanto más cualitativos y cuantitativos que se encuentran en la evaluación de las amenazas, vulnerabilidades y consecuencias, mejores serán las evaluaciones de riesgo. Cuando los riesgos son conocidos, usted puede asignar de mejor manera su tiempo y recursos para tener una mejor cadena de suministros y un mejor programa de seguridad para su empresa, asegurando que cumple con los requisitos de C-TPAT.
