IMPLANTACIÓN SGSCS

(SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA CADENA DE SUMINISTRO)

NORMA: UNE ISO 28000

PASOS PARA LA IMPLANTACIÓN DE
UN SISTEMA DE GESTIÓN DE LA
Jordi Delgado Avilés
SEGURIDAD DE LA CADENA DE
Septiembre 2010
SUMINISTRO SEGÚN LA NORMA
UNE ISO 28000
 AGENDA

PASOS PARA LA IMPLANTACIÓN DE

UN SISTEMA DE GESTIÓN DE LA 1. 1. QUIENES SOMOS
SEGURIDAD DE LA CADENA DE 2. 2. INTRODUCCIÓN
SUMINISTRO SEGÚN LA NORMA 3. 3. UNE ISO 28000:2008
UNE ISO 28000 4. 4. FASES: DISEÑO E IMPLANTACIÓN

SCO 28000
 AGENDA

PASOS PARA LA IMPLANTACIÓN DE

UN SISTEMA DE GESTIÓN DE LA 1. 1. QUIENES SOMOS
SEGURIDAD DE LA CADENA DE 2. 2. INTRODUCCIÓN
SUMINISTRO SEGÚN LA NORMA 3. 3. UNE ISO 28000:2008
UNE ISO 28000 4. 4. FASES: DISEÑO E IMPLANTACIÓN

SCO 28000
 QUIENES SOMOS

NUESTRO CAPITAL HUMANO

En SCO 28000 trabajan profesionales que

combinan los perfiles de experiencia de negocio
con los mayores niveles de conocimiento tecnológico.
Competencias en:
• Procesos de negocio
• Tecnología
• Proyectos de Consultoría ESTAMOS PRESENTES EN TODO EL TERRITORIO
• Integración
NACIONAL ASEGURANDO SUS PROYECTOS.

SCO 28000
 QUIENES SOMOS

LÍNEAS DE NEGOCIO SEGURIDAD IMPLANTACIÓN

CONSULTORÍA CERTIFICACIÓN
ISO 28000
Sectores
Público y Privado
REDUCCIÓN LOGÍSTICOS
DE FLUJOS
PERDIDAS

SCO 28000
 SERVICIOS QUE OFRECEMOS

SERVICIOS DE INTEGRACIÓN SERVICIOS ESPECÍFICOS

PLANIFICACIÓN ESTRATÉGICA EVALUACIÓN Y GESTIÓN CALIDAD DE SERVICIOS
 Planes de Modernización  Implantación del Sistema de Gestión de la Seguridad de la Cadena de
 Planes Directores Suministro.
 Planes Organizativos  ISO 28000
 Planes Estratégicos  Auditorías de los sistemas certificados
 Sistemas Decisionales y Cuadros de Mando  Definición, implantación y mejora de modelos de prestación de
CONSULTORÍA DE GESTIÓN servicios
Mejora, simplificación y normalización de procesos  Control de la calidad prestada
 Oficina Técnica  Inspección mediante técnica MISTERY GUEST
CONSULTORÍA INTEGRAL DE NEGOCIO Evaluación de la calidad percibida
 Modelo de calidad  Evaluación obtenida mediante ENTREVISTAS PERSONALES con clientes
 Modelo de servicios Elaboración de Cartas de Servicios
 Modelo de orientación y atención al cliente GESTIÓN DE SEGURIDAD
Plan de Seguridad y Autoprotección
Impacto organizativo
Soporte de procesos
Plan de Capacitación
PROTECCIÓN DE DATOS
Servicios integrales de adecuación a la legislación vigente:
 Adecuación
 Auditorías de cumplimiento

SCO 28000
 AGENDA

PASOS PARA LA IMPLANTACIÓN DE

UN SISTEMA DE GESTIÓN DE LA 1. 1. QUIENES SOMOS
SEGURIDAD DE LA CADENA DE 2. 2. INTRODUCCIÓN
SUMINISTRO SEGÚN LA NORMA 3. 3. UNE ISO 28000:2008
UNE ISO 28000 4. 4. FASES: DISEÑO E IMPLANTACIÓN

SCO 28000
 INTRODUCCIÓN

Las organizaciones deben gestionar la cadena de suministro, integrando los distintos

sistemas de gestión y buscando la seguridad en todo el proceso de forma sostenida.

Sistemas de Gestión
De la Calidad

Sistemas de gestión ambiental.

Requisitos con orientación para Sistemas de gestión de la
su uso seguridad de los SSII

Especificaciones para los Sistemas

de Gestión de la Seguridad para la
Cadena de Suministro

SCO 28000
 AGENDA

PASOS PARA LA IMPLANTACIÓN DE

UN SISTEMA DE GESTIÓN DE LA 1. 1. QUIENES SOMOS
SEGURIDAD DE LA CADENA DE 2. 2. INTRODUCCIÓN
SUMINISTRO SEGÚN LA NORMA 3. 3. UNE ISO 28000:2008
UNE ISO 28000 4. 4. FASES: DISEÑO E IMPLANTACIÓN

SCO 28000
 UNE EN ISO 28000:2008

Poniendo el foco de atención en la seguridad de la cadena de suministro, la

norma UNE ISO 28000:2008 tiene como principal objetivo mejorar la seguridad
en la misma.

Es una norma de gestión de alto nivel que permite a las organizaciones establecer
un sistema de gestión global de la seguridad de la cadena de suministro.

Requiere que la organización analice y evalúe el entorno de seguridad en el que

opera y decida si se implementan unas medidas de seguridad adecuadas.

SCO 28000
 UNE EN ISO 28000:2008

El Sistema de Gestión de la Seguridad de la Cadena de Suministro propuesto por

la norma UNE ISO 28000:2008 se fundamenta en la mejora continua, como
proceso reiterativo de optimización del sistema de gestión de la seguridad para
lograr mejoras en el desempeño global de la seguridad de forma coherente con la
Política de Seguridad de la organización
PLAN

La norma se complementa con la

Norma UNE ISO 28001:2008 “Sistemas
de gestión de la seguridad para la
ACT PDCA DO
cadena de suministro. Buenas prácticas
para la implementación de la seguridad
para la cadena de suministro, evaluación
CHECK y planes. Requisitos y guías”.

SCO 28000
 UNE EN ISO 28000:2008

Este sistema de gestión de la seguridad de la cadena de suministro se basa en la metodología

"Plan-Do-Check-Act (PDCA) con una filosofía muy concreta:

Plan:
PLAN (Planificar)
(Planificar)
(Planificar)
Implica el establecimiento de la
política de seguridad de la
organización, de los objetivos,
procesos, procedimientos necesarios
ACT
ACT
(Actuar)
(Actuar) PDCA DO
DO
(Hacer)
(Hacer) y relevantes para la administración de
riesgos y mejoras para la seguridad de
la cadena de suministro, entregando
resultados acordes a las políticas y
CHECK
CHECK objetivos de toda la organización.
(Verificar)

SCO 28000
 UNE EN ISO 28000:2008

Este sistema de gestión de la seguridad de la cadena de suministro se basa en la metodología

"Plan-Do-Check-Act (PDCA) con una filosofía muy concreta:

PLAN
(Planificar)
(Planificar) Do:
(Implementar)
Representa la forma en que se
debe operar e implementar la
ACT
ACT
(Actuar)
(Actuar) PDCA DO
DO
(Hacer)
(Hacer) política, controles, procesos y
procedimientos.

CHECK
CHECK
(Verificar)

SCO 28000
 UNE EN ISO 28000:2008

Este sistema de gestión de la seguridad de la cadena de suministro se basa en la metodología

"Plan-Do-Check-Act (PDCA) con una filosofía muy concreta:

PLAN
(Planificar)
Check:
(Planificar)
(Revisar el sistema de gestión) Analizar
y medir dónde sea aplicable, los
procesos ejecutados con relación a la
política de seguridad, evaluar objetivos,
ACT
ACT
(Actuar)
(Actuar) PDCA DO
DO
(Hacer)
(Hacer) experiencias e informar de los
resultados a la dirección para su
revisión.
CHECK
CHECK
(Verificar)

SCO 28000
 UNE EN ISO 28000:2008

Este sistema de gestión de la seguridad de la cadena de suministro se basa en la metodología

"Plan-Do-Check-Act (PDCA) con una filosofía muy concreta:

PLAN
(Planificar)
Act:
(Planificar)
(Mantenimiento y mejora del sistema
de gestión de la seguridad )
Realizar las acciones preventivas y
correctivas, basados en las auditorías
ACT
ACT
(Actuar)
(Actuar) PDCA DO
DO
(Hacer)
(Hacer) internas y revisiones del sistema o
cualquier otra información relevante
para permitir la mejora continua.
CHECK
CHECK
(Verificar)

SCO 28000
 UNE EN ISO 28000:2008

El Sistema de Gestión de la Seguridad para la Cadena de Suministro (SGSCS) es la parte del

sistema general de gestión que comprende la estructura organizativa, las responsabilidades,
las prácticas, los procedimientos, los procesos y los recursos para determinar y llevar a cabo
la Política de Gestión de la Seguridad en la Cadena de Suministro.

La Política de Gestión de la Seguridad es la declaración por parte de la organización, de sus

intenciones y dirección global en relación con la seguridad y el marco de trabajo para el
control de los procesos y actividades relacionadas con la seguridad que se derivan de la
política de la organización y los requisitos reglamentarios y que son consecuentes con ellos.
Proporciona el marco de actuación para el establecimiento de los objetivos y metas de la
gestión de la seguridad.

Los Programas de gestión de la seguridad son aquellos a través de los cuales se

conseguirán los objetivos y metas de la organización, incluyendo la planificación en el tiempo
y el personal responsable para la implantación de la política de Gestión de la Seguridad.

SCO 28000
 UNE EN ISO 28000:2008

Cuando se implanta un sistema de gestión que satisfaga los requisitos de la norma

UNE ISO 28000:2008, se requiere documentar cómo cumple la organización con los
requisitos de la norma. Esto da lugar a un sistema documental que, en general, describe
los elementos básicos del sistema de gestión y su interrelación, así como una orientación
sobre la documentación de referencia.

DOCUMENTACIÓN

SCO 28000
 UNE EN ISO 28000:2008

El MANUAL del Sistema de Gestión de la Seguridad en la Cadena de Suministro es un

documento que sirve para gestionar la seguridad de la cadena de suministro de manera
eficaz, al reflejarse en él los compromisos adquiridos por la organización para identificar las
amenazas a la seguridad, evaluar los riesgos y controlar y mitigar sus consecuencias.

En rasgos generales, consta de:

 Alcance del SGSCS.

 Política de Gestión de la Seguridad.
 Orientación sobre los objetivos y las metas.
 Estructura, autoridad, funciones y responsabilidades relacionadas con SGSCS.
 Descripción de los elementos principales del SGSCS y su interacción.
 Orientación sobre la documentación y los registros de referencia.
 Referencia general a los procedimientos del SGSCS.

SCO 28000
 UNE EN ISO 28000:2008

El MANUAL DE PROCEDIMIENTOS
del SGSCS es un documento
integrado por los capítulos
necesarios para asegurar la
capacidad de la organización para
gestionar la seguridad en la cadena
de suministro dentro del alcance
establecido.

SCO 28000
 UNE EN ISO 28000:2008

Los PROCEDIMIENTOS que, en principio, hay que desarrollar son:

De evaluación y planificación de los riesgos de seguridad.
 De identificación, acceso y aplicación a los requisitos legales relacionados con las amenazas y
riesgos a la seguridad.
De competencia, formación y toma de conciencia.
De comunicación.
De control de los documentos, los datos y los registros.
De control operacional, incluyendo los de control de los procesos subcontratados
Ante emergencias, respuesta y restablecimiento de la seguridad.
De medición y seguimiento del desempeño de la seguridad.
De calibración y mantenimiento, en caso de emplear equipos de medida y seguimiento del
desempeño.
De evaluación del sistema.
Acerca de fallos, incidentes, no conformidades y acciones correctivas y preventivas relacionados
con la seguridad.
De auditorías.
De revisión del SGSCS por la dirección y mejora continua.

SCO 28000
 UNE EN ISO 28000:2008

Los OBJETIVOS de la gestión de la seguridad.

Se deben documentar los objetivos de la gestión de la

seguridad en las funciones y niveles pertinentes dentro
de la organización. Los objetivos deben:

Derivarse de la política de seguridad y ser coherentes

con ella.
Ser coherentes con el compromiso de mejora
continua de la organización.
Ser cuantificables.
Ser comunicados a todos los empleados y terceras
partes pertinentes.
Ser revisados periódicamente.

SCO 28000
 UNE EN ISO 28000:2008

Las METAS de la gestión de la seguridad, son los

niveles específicos de desempeño requeridos para
alcanzar un objetivo de la gestión de la seguridad.

Las metas deben:

Derivarse de los objetivos de gestión de la seguridad y
ser coherentes con ellos
Tener un nivel de detalle adecuado.
Ser específicas, medibles, alcanzables, pertinentes y
tener plazos (cuando sea viable).
Comunicarse a todos los empleados y terceras partes
pertinentes.
Revisarse periódicamente.

SCO 28000
 UNE EN ISO 28000:2008

Los PROGRAMAS de la gestión de la seguridad son los

medios a través de los cuales se alcanza
un objetivo de la gestión de la seguridad. Deben
optimizarse y priorizarse y la organización debe
proporcionar los medios para la implementación
eficiente y rentable de los programas.

La documentación de los programas debe incluir:

La responsabilidad y autoridad designada para
alcanzar los objetivos y las metas.
Los medios y la escala de tiempo por medio de los
que se van a alcanzar los objetivos y las metas.

SCO 28000
 UNE EN ISO 28000:2008

Los REGISTROS que, en principio, hay que considerar

son los relativos:

Al compromiso de la alta dirección con el desarrollo e

implementación del SGSCS y de la mejora continua de

su eficacia.
A la evaluación y planificación de los riesgos de
seguridad.
A la competencia y la formación de las personas.
A los datos y los resultados del seguimiento y la
medición para la acciones de análisis correctivo y
preventivo.
A la calibración y mantenimiento de los equipos de
medición y seguimiento del desempeño, en su caso.
A la evaluación del sistema.

SCO 28000
 UNE EN ISO 28000:2008

MEJORA CONTINUA (mejorar la eficacia del SGSCS

de acuerdo con todas los requisitos del capítulo 4 de la PLAN
norma).
Hay que revisar periódicamente:
La política de seguridad.
Los objetivos, las metas y los programas.
La evaluación de los riesgos de la seguridad.
La eficacia de los planes y procedimientos de
preparación, respuesta ante emergencias y de
ACT PDCA DO
restablecimiento de la seguridad.

CHECK

SCO 28000
 AGENDA

PASOS PARA LA IMPLANTACIÓN DE

UN SISTEMA DE GESTIÓN DE LA 1. 1. QUIENES SOMOS
SEGURIDAD DE LA CADENA DE 2. 2. INTRODUCCIÓN
SUMINISTRO SEGÚN LA NORMA 3. 3. UNE ISO 28000:2008
UNE ISO 28000 4. 4. FASES: DISEÑO E IMPLANTACIÓN

SCO 28000
 FASES: DISEÑO E IMPLANTACIÓN

En el siguiente gráfico se muestran las fases para el diseño e implantación de un SGSCS:

FASE FASE FASE FASE

0 1 2 3
Planificación
de la Seguridad

FASE FASE FASE FASE

4 5 5 6
Revisión del SGSCS
por la Dirección
y mejora continua

SCO 28000
 FASES: DISEÑO E IMPLANTACIÓN

ACCIONES
Definir el alcance del Sistema de Gestión de la Seguridad de la Cadena de Suministro.
Identificar los roles implicados.
Planificar en detalle el proyecto.
Recopilar información.

Fase 0
• Organización e
inicio de
Proyecto y
definición del
alcance.

SCO 28000
 FASES: DISEÑO E IMPLANTACIÓN

ACCIONES
Analizar y establecer las responsabilidades en materia de seguridad, formación, competencias
y toma de conciencia del personal.
Definir y diseñar el SGSCS.
Diseñar un plan de comunicación del proyecto.
Elaborar y aprobar la política de seguridad.
Elaborar los procedimientos generales del SGSCS.

Fase 1
• Diseño del
SGSCS y política
de Seguridad

SCO 28000
 FASES: DISEÑO E IMPLANTACIÓN

ACCIONES
Establecer la metodología para la gestión de los riesgos de seguridad en la cadena de
suministro dentro del alcance definido.
HERRAMIENTA: UNE ISO 28001:2008 “Sistemas de gestión de la seguridad para la cadena de
suministro. Buenas prácticas para la implementación de la seguridad para la cadena de
suministro, evaluación y planes. Requisitos y guía”.
Propone el siguiente proceso, que en cualquier caso, debería adaptarse a las necesidades de la
organización.

Fase 2
• Evaluación de
los Riesgos de
Seguridad

SCO 28000
 Fase 2

FASES: DISEÑO E IMPLANTACIÓN • Evaluación de los Riesgos de Seguridad

RELACIONADA CON EL PERSONAL

Identificar
Identificar el
el alcance
alcance de
de la
la Elegir
Elegir un
un escenario
escenario de
de
SEGURIDAD DE LA INFORMACIÓN
Evaluación de
Evaluación de la
la Seguridad
Seguridad amenazas
amenazas
SEGURIDAD DE LOS BIENES
SEGURIDAD EN EL TRANSPORTE
SEGURIDAD EN LAS UNIDADES DE CARGA
Realizar
Realizar la
la Evaluación
Evaluación de
de la
la Evaluar
Evaluar las
las medidas
medidas de
de
Seguridad
Seguridad Seguridad
Seguridad
FACTORES AMBIENTALES
ELEMENTOS EXTERNOS A LA ORGANIZACIÓN
INTRUSIÓN Y/O TOMA DE CONTROL DE UN ACTIVO
INTRUSIÓN Y/O TOMA DE CONTROL EN LOS SS.II Identificar
Identificar las
las medidas
medidas de
de Determinar
Determinar las
las consecuencias
consecuencias
UTILIZACIÓN INDEBIDA DE LA CAD. SUM. Seguridad
Seguridad existentes
existentes
(CONTRABANDO, ARMAS)
INTEGRIDAD DE LAS MERCANCÍAS ANTE SABOTAJE
USO NO AUTORIZADO DE LA CAD. SUM. PARA Listar
Listar los
los escenarios
escenarios de
de Determinar
Determinar la
la Probabilidad
Probabilidad
FACILITAR INCIDENTES DE SEGURIDAD amenazas aa la
amenazas la Seguridad
Seguridad

PERFECTAMENTE DOCUMENTADO NO SI
INCLUIR PROCEDIMIENTOS NECESARIOS Y ¿EVALUADO?
¿EVALUADO? ¿ADECUADO?
¿ADECUADO?
ADECUADOS SI
COMUNICADO A TODOS LOS IMPLICADOS, SEGÚN
NO
SUS NECESIDADES Y TENIENDO EN CUENTA LA
Desarrollar
Desarrollar el
el Plan
Plan de
de
CONFIDENCIALIDAD
Seguridad
Seguridad
Identificar
Identificar el
el alcance
alcance de
de la
la
Evaluación de la Seguridad
Evaluación de la Seguridad
Ejecutar
Ejecutar el
el Plan
Plan de
de Seguridad
Seguridad

MEJORA Documentar
SI
Documentar yy hacer
hacer el
el ¿ADECUADO?
CONTINUA seguimiento
seguimiento del
del Proceso
Proceso de
de
¿ADECUADO?

SCO 28000 Seguridad

Seguridad en
en la
la Cad
Cad de
de Sum.
Sum.
NO
 FASES: DISEÑO E IMPLANTACIÓN

ACCIONES

 Establecer los Objetivos y las Metas de seguridad.

 Elaboración de Programas de gestión de la seguridad.

Fase 3
• Planificación
de la Seguridad

SCO 28000
 FASES: DISEÑO E IMPLANTACIÓN

ACCIONES

Elaborar todos los procedimientos que sean necesarios para asegurar la operación y su control.
Preparar los mecanismos de respuesta ante emergencias y las acciones correctivas y
preventivas del SGSCS.
Implantación del sistema en todas las áreas dentro del alcance

Fase 4
• Implementación
y Operación

SCO 28000
 FASES: DISEÑO E IMPLANTACIÓN

ACCIONES

Poner en marcha la sistemática para realizar la medición y seguimiento del desempeño de la

seguridad.
Analizar las incidencias, los fallos, las acciones correctivas y preventivas del SGSCS.

Fase 5
• Evaluación
del SGSCS

SCO 28000
 FASES: DISEÑO E IMPLANTACIÓN

ACCIONES

Auditoría interna para verificar el grado de implantación.

Acciones correctivas y preventivas.

Fase 6
• Auditoría del
SGSCS

SCO 28000
 FASES: DISEÑO E IMPLANTACIÓN

ACCIONES
Evaluar la eficacia del SGSCS basándose en el análisis de los datos de evaluación, de las
oportunidades de mejora y de los cambios que se consideren necesarios del sistema. También
se procede a evaluar la eficacia de la Política de Seguridad.
Implementar las mejoras o las acciones correctivas que se consideren pertinentes, así como la
dotación de recursos que fuera necesario para mejorar la eficacia del SGSCS.

Fase 7
• Revisión del
SGSCS por la
Dirección y mejora
continua.

SCO 28000
 HACIA LA CERTIFICACIÓN

PROCESO DE CERTIFICACIÓN
PROCESO DE CERTIFICACIÓN

SCO 28000