Pautas para la Implementación de un SGCS - Portal … · 2014-03-10 · 4.5.2. Auditoría 4.5.3...

Pautas para la

Implementación de un

SGCS

OBJETIVOS DEL CURSO

Objetivo 1: Generar competencias en los participantes, para

que puedan conozcan como se implementa el SGCS BASC

Objetivo 2: Conocer como se establece una metodología de

implementación eficaz que permita a la organización reducir los

riesgos de actividades ilícitas

Objetivo 3: Promover el trabajo de equipo, para liderar el

proyecto de implementación del SGCS BASC.

CONTENIDO MODULAR

Modulo 1: INTRODUCCIÓN.

Modulo 2: ALCANCE, POLÍTICA Y OBJETIVOS DEL SGCS BASC.

Modulo 3: ESTRUCTURA DOCUMENTARIA DEL SGCS BASC.

Modulo 4: PLANEAMIENTO: ENFOQUE DE PROCESOS BASC.

Modulo 5: PLANEAMIENTO: GESTIÓN DE RIESGOS DEL SGCS BASC.

Modulo 6: VERIFICACIÓN Y MEJORA CONTINUA.

MODULO 1: INTRODUCCIÓN

IMPLEMENTACIÓN

¿Cómo Implementar

un SGCS BASC?

¿Qué necesito para

implementar un

SGCS BASC?

A) COMPROMISO DE LA DIRECCIÓN

CONCIENTIZACIÓN

DE LA ALTA

DIRECCIÓN

B) FORMACIÓN DEL EQUIPO DE

TRABAJO

EQUIPO / COMITÉ SGCS BASC

EQUIPO DE IMPLEMENTACIÓN BASC

B) FORMACIÓN DEL EQUIPO DE

TRABAJO

REPRESENTANTE DE LA

DIRECCIÓN

LÍDERES DE LOS PROCESOS

INVOLUCRADOS

PERSONAL IMPLICADO EN LA

IMPLEMENTACIÓN

C) CONOCIMIENTO DE LA NORMA Y DEL

ESTÁNDAR BASC V4

NORMA BASC

Requisitos de gestión

ESTÁNDAR BASC

Requisitos Operacionales

ESTRUCTURA DE LA NORMA BASC

4.1 Generalidades

44.2 Política de

Control y Seguridad

4.5 Verificación

4.5.1 Seguimiento y

medición

4.5.2. Auditoría

4.5.3 Control de

Registros

4.3 Planeación

4.3.1 Generalidades

4.3.2 Objetivos del SGCS

4.3.3 Gestión del Riesgo

4.3.4 Requisitos legales

4.3.5 Previsiones

4.6 Mejoramiento

continuo

4.6.1 Mejora continua

4.6.2 Acción correctiva

y preventiva

4.6.3 Compromiso de

la Dirección

4.4 Implementación y

Operación

4.4.1 Estructura,

responsabilidad y autoridad

4.4.2 Entrenamiento,

capacitación y toma de

conciencia

4.4.3 Comunicación

4.4.4 Documentación Sistema

4.4.5 Control de Documentos

4.4.6 Control operacional

4.4.7 Preparación y respuesta

a eventos críticos

ESTRUCTURA DE ESTÁNDARES BASC (C-TPAT)

7. Seguridad en las

tecnologías de información

6. Seguridad Física

5.Seguridad en los procesos

4. Seguridad del personal propio, subcontratado y

suministrado

3. Control de

acceso físico

8. Entrenamiento de seguridad y concienciación sobre amenaza

MODULO 2: ALCANCE,

POLÍTICA Y OBJETIVOS DEL

SGCS BASC

ALCANCE DEL SGCS BASC

¿Cuál es el alcance

de mi SGCS BASC?

¿Dónde debo

documentar mi

alcance?

¿Puedo dejar fuera

de mi alcance algún

proceso que

tercerizo?

POLÍTICA DEL SGCS BASC

¿Cómo crear mi Política de

Seguridad SGCS BASC?

¿Qué debe incluir mi

Política como mínimo?

¿Puedo integrar mi

Política de Seguridad

del SGCS BASC con

otras?

OBJETIVOS DEL SGCS BASC

¿Cuántos Objetivos debo

tener para el SGCS BASC?

¿Necesito establecer

indicadores para mis

Objetivos?

¿Mis objetivos deben

estar alineados con la

Política de Seguridad

del SGCS BASC?

MÓDULO 3: ESTRUCTURA

DOCUMENTARIA DEL SGCS

BASC

REGLA DE ORO

1.- Escribe lo que haces (Proceso)

2.- Haz lo que escribiste (Operación)

3.- Verifícalo (Auditoría)

4.- Mejóralo (Mejora Continua)

DOCUMENTACIÓN DEL SGCS BASC

Estructura de la Documentación

CICLO DE MEJORA (DEMING)

Objetivos ¿Para Qué?

Procesos ¿Cómo?

Recursos -¿Con qué? ¿Quién?

Indicadores de medición

Propósito ¿Qué haces?

PLANEAR

Escribe lo que haces

Capacitación

Monitorear

Producción

Implementación

Recopilación de datos

HACER

Haz lo que escribiste

Verificar

Evaluar cumplimiento de objetivos

Análisis Indicadores

Auditorías

VERIFICAR

Verifícalo

Estandarización

Acciones Preventivas

Acciones Correctivas

Plan de Mejora Continua

ACTUAR

Mejóralo

MANUAL DE SEGURIDAD DEL SGCS

BASC

¿Cómo estructurar el

Manual del SGCS BASC?

¿Qué no puede dejar de

contener el Manual?

¿Cuántas paginas

debe tener el

Manual?

LISTA MAESTRA DE DOCUMENTOS

DEL SGCS BASC

LISTA MAESTRA DE DOCUMENTOS

DEL SGCS BASC

¿Cómo saber la extensión de documentos

del SGCS BASC?

¿Cuál es la diferencia entre Formato y

Registro?

¿Por qué debo controlar los documentos

mediante una Lista?

¿Solo debo controlar los documentos

internos?

MÓDULO 4: PLANEAMIENTO

ENFOQUE DE PROCESOS

BASC

Conjunto de actividades mutuamente relacionadas o que

interactúan, las cuales transforman elementos de entradaen resultados

¿Qué es un PROCESO?

PROCESO

ENTRADA

MECANISMO, (recursos)

CONTROL

SALIDA

Indicadores o

mediciones

Secuencia repetitiva de actividades o acciones

desarrolladas por una o varias personas que convierteninsumos de entrada en un producto o servicio de salida.

¿Qué es un PROCESO?

• Define de manera sistemática las actividades que

componen el proceso.

• Identifica las interrelaciones con otros procesos.

• Define las responsabilidades respecto al proceso.

• Analiza y mide los resultados de la capacidad y

eficacia del proceso.

• Permite la mejora continua del proceso.

ENFOQUE BASADO EN PROCESOS

FUNCIONAL POR PROCESOS

Es aquella en la cual el

“que hacer” lo define

una estructura

jerárquica y se

distribuye por áreas

especializadas e

independientes

subdividen el trabajo por personas y se

controla mediante un flujo de órdenes,

decisiones, acciones e informaciones

permanentes en sentido vertical.

Es aquella a través de la cual se orienta el trabajo básicamente hacia la satisfacción de las necesidades y expectativas del cliente, mediante el enfoque a procesos, donde se busca dar valor agregado al producto.

La Gestión por Procesos implica uncambio de paradigmas y un cambiode actitud de las personas en laforma de hacer el trabajo.

COMPARACIÓN

Organización Por departamentos o áreas Por procesos

Autoridad Jefe de departamento Responsable del proceso

Principio Jerarquía y control Coordinación y autocontrol

Orientación Interna / hacia el Jefe Externa / hacia el cliente

Finalidad Ser más productivo Ser más competitivo

Centrado en Tarea Producto / servicio

Coordinación Vertical Horizontal

Evaluación Al empleado Al proceso

Satisfacción Jefe Cliente

En un organigrama no se ve reflejado el funcionamiento de la empresa,

aspectos estratégicos, responsabilidades ni relación con clientes.

FUNCIONAL POR PROCESOS

COMPARACIÓN

ENFOQUE BASADO EN PROCESOS

PROCESO

Llenado del ContenedorENTRADAS SALIDAS

PROVEEDOR CLIENTE

Recepción del Contenedor

Inspección del Contenedor

Carga del contenedor

Instalación del precinto seguridad

Entrega contendor

Actividades

Contenedor vacío

Carga

Precinto de seguridad

Elementos de Seguridad

Elementos de registro

Recursos

Sección Despacho

Intervinientes

Sección Seguridad

Contenedor

lleno, precintado

e inspeccionado

Transportista

Transportista

Exportador

Operaciones

Seguridad

ENTREGA RECIBE

ENFOQUE BASADO EN PROCESOS

Macro Procesos

Procesos

Subproce-sos

Actividades

Tareas

DOCUMENTAR

(Procedimientos)

CARACTERIZAR

(Actividades)

IDENTIFICAR

(Mapa de procesos)

METODOLOGIA PARA INSTAURAR Y DESARROLLAR EL ENFOQUE Y GESTION DE PROCESO

¿CÓMO IDENTIFICAR PROCESOS?

PROCESOS

MACROPROCESOS

Cadena de Valor

de 1º Nivel

Cadena de Valor

de 2º Nivel

SubprocesosCadena de Valor

de 3º NivelActividadesProcesos

de Piso

MAPA DE PROCESOS

DEFINICIÓN

El mapa de procesos ofrece una visión general del

sistema de gestión. En él se representan los procesos

que componen el sistema así como sus interrelaciones

principales. Dichas relaciones se indican mediante

flechas y registros que representan los flujos de

información

CLASIFICACIÓN DE PROCESOS

Procesos Estratégicos

Establecidos por la Alta Dirección y

definen cómo opera el negocio y cómo se

crea valor para la organización.

Soportan la toma de decisiones sobre

planificación, estrategias y mejoras en la

organización. Proporcionan directrices,

límites de actuación al resto de los

procesos.

Procesos de Soporte

Sirven de soporte a los procesos claves.

Estos procesos son, en muchos casos,

determinantes para que puedan

conseguirse los objetivos de los procesos

dirigidos a cubrir las necesidades y

expectativas de la organización en cuanto a

seguridad.

Procesos Operativos o Claves

Impactan directamente sobre la

satisfacción del cliente y cualquier otro

aspecto de la misión de la organización.

Son procesos operativos típicos como los

de venta, producción y servicio post-

venta. Sustentan la razón de ser del

negocio.

MAPA DE PROCESOS

A - 3

INSUMOS

A - 2

A - 1

A - 4ACTIVIDADESENTRADA SALIDA

PRODUCTO

SERVICIO

NOMBRE DEL PROCESO

OBJETIVO

REGISTROS/DOCUMENTOS INDICADORESRECURSOSINICIO FIN

4

10

1

2 3

5

6

9

87

CARACTERÍSTICAS DE UN PROCESO

RESPONABLE

MAPA DE PROCESOS DEL SGCS

BASC

MAPA DE PROCESOS DEL SGCS

BASC

¿Cómo elaborar un Mapa

de Procesos BASC?

¿Para qué sirve el Mapa

de Procesos?

¿Cómo se pueden

dividir los Procesos?

CARACTERIZACIÓN DE PROCESOS

DEL SGCS BASC

CARACTERIZACIÓN DE PROCESOS

DEL SGCS BASC

¿Quién es el

Responsable del

Proceso?

¿Qué busca conseguir

el proceso (objetivos,

metas e indicador)?

¿Cómo se realiza la

actividad?

VIDEO

MÓDULO 5: PLANEAMIENTO

GESTIÓN DE RIESGOS BASC

GESTIÓN DE RIESGOS ISO 31000

GESTIÓN DE RIESGOS: ISO 31000:2009

1) Establecer Contexto

Establecer el contexto

Establecer el contexto estratégico, organizacional, y de gestión del riesgo en elcual ocurrirá el resto del proceso. Es conveniente que se establezcan criterioscontra los cuales va a evaluar el riesgo, y se debe definir la estructura delanálisis.

Indicar que se gestionara riesgos de seguridad (Prevención de Ilícitos), y apartir de procesos. Se busca que la empresa defina primero su políticas yprocedimiento de Gestión de Riesgo, y sobre esa base trabajar.

2) Identificación del Riesgo

Identificación del Riesgo

Analizar:

¿Que puede suceder?

¿Como puede suceder?

•Definir herramientas y técnicas apropiadas para la identificación.

NOTA: Se debe incluir todos los riesgos potenciales (Estén o no bajo control)para no excluirlos del análisis posterior.

Incluye la definición de la fuente del riesgo

(AMENAZA)

2) Identificación del Riesgo

Identificación del Riesgo

Durante la identificación del Riesgo se debe identificar el escenario negativo(efecto) y el peligro (causa).

Ejemplo:

CAUSA EFECTO

Falta de inspección al Camuflaje

unidad de transporte de Drogas

PELIGRO ESCENARIO NEGATIVO

(Fuente, acto o situación) (daño o perdida)

2) Identificación del Riesgo

Identificación del Riesgo

Entre las herramientas que se utiliza para la identificación podemos señalar:

•Listas de Chequeo

•Juicios basados en experiencias y estadísticas

•Diagrama de Flujos

•Lluvia de Ideas

•Análisis de Escenarios.

•Otros.

2) Identificación del Riesgo

# DESCRIPCIÓN DE RIESGOS BASC (EFECTOS)

1 Robos menores (herramientas, útiles de oficina, celulares, etc.).

2 Robo de carga

3 Camuflaje de sustancias ilícitas.

4 Traslado de sustancias ilícitas.

5 Hurto sistemático

6 Sabotaje.

7 Hurto / Venta de información.

8 Terrorismo.

9 Lavado de activos.

10 Falsificación de documentos.

3) Análisis del Riesgo

Análisis del Riesgo

•Definir técnicas y herramientas para el análisis.

•Analizar los riesgos en términos de consecuencias y probabilidades.

•Definir el tipo de Análisis (Cualitativo o Cuantitativo)

NOTA: El objeto del análisis es discriminar los riesgos menores aceptables delos riesgos mayores.

3) Análisis del Riesgo

Criterios de Probabilidad

Nivel Descripción Descripción detallada

5 Casi certezaSe espera a que ocurra casi en todas las

circunstancias.

4 ProbableProbablemente ocurrirá en la mayoría de las

circunstancias.

3 Posible Podría ocurrir en algún momento.

2 Improbable Pudo ocurrir en algún momento.

1 Raro Puede ocurrir solo en ocasiones excepcionales.

3) Análisis del Riesgo

Criterios de Consecuencia

Nivel Descripción Descripción detallada

1 InsignificanteSin perjuicios a la imagen de la empresa, baja

pérdida financieras.

2 MenorPerjuicios mínimos a la imagen interna de la

empresa, pérdida financiera media.

3 Moderado

Perjuicios mínimos a la imagen externa de la

empresa al verse relacionada a actividades ilícitas,

pérdida financiera alta.

4 Mayor

Perjuicio moderados a la imagen externa de la

empresa al verse relacionada a actividades ilícitas,

pérdida financiera mayor.

5 Catastrófico

Perjuicios altos a la imagen externa de la empresa,

al verse involucrada en actividades ilícitas, enorme

pérdida financiera.

3) Análisis del Riesgo

Calculo del Nivel del Riesgo

Consecuencia

Probabilidad 1 (Insignificante) 2 (Menores) 3 (Moderadas) 4 (Mayores) 5 (Catastróficas)

5 (Casi certeza) 5 10 15 20 25

4 (Probable) 4 8 12 16 20

3 (Posible) 3 6 9 12 15

2 (Improbable) 2 4 6 8 10

1 (Raro) 1 2 3 4 5

3) Análisis del Riesgo

Análisis del Riesgo

Para evitar sesgos subjetivos, al analizar las consecuencia y las probabilidad,se recomienda utilizar los mejores técnicas y fuentes de información.

Fuentes de información:

•Registros pasados

•Experiencia pertinente

Técnicas:

•Entrevistas estructuradas

•Evaluaciones individuales usando formatos.

4) Evaluación del Riesgo

Evaluación del Riesgo

Comparar niveles estimados de riesgos contra los criterios preestablecidos.

Establecer prioridades de los riesgos para su tratamiento

NOTA: el resultado de una evaluación de riesgos es una lista priorizada deriesgos para tomar acciones.

4) Evaluación del Riesgo

La evaluación del riesgo sirve para interpretar que es lo que la organizaciónconsiderara crítico y tolerable, determina el nivel aceptable tomando comoparámetros los niveles de riesgo obtenidos.

Nivel del Riesgo

9-25 Crítico

1-8 Tolerable

Consecuencia

Probabilidad 1 (Insignificante) 2 (Menores) 3 (Moderadas) 4 (Mayores) 5 (Catastróficas)

5 (Casi certeza) 5 10 15 20 25

4 (Probable) 4 8 12 16 20

3 (Posible) 3 6 9 12 15

2 (Improbable) 2 4 6 8 10

1 (Raro) 1 2 3 4 5

4) Evaluación del Riesgo

Nivel del Riesgo Evaluado

5) Tratamiento del Riesgo

Tratamiento del Riesgo

Identificar opciones de tratamiento de riesgo.

•Evitar el riesgo

•Reducir la probabilidad

•Reducir la consecuencia

•Transferir el riesgo

Evaluar opciones de tratamiento (Costo/Beneficio)

Preparar e implementar planes de tratamiento.

5) Tratamiento del Riesgo

Tratamiento del Riesgo

Para definir la mejor alternativa para gestionar el riesgo se debe tener encuenta lo siguiente:

•Beneficios al implementar el tratamiento del riesgo

•Costo de la implementación de la alternativa.

•Esfuerzo requerido en la implementación.

•Tiempo para obtener los objetivos planteados.

6) Monitoreo y Revisión

Monitoreo y Revisión del Riesgo

Monitorear los riesgos, la efectividad del plan de tratamiento de los riesgos,las estrategias y el sistema de administración que se establece para controlarla implementación.

Revisar sobre la marcha para asegurar que el plan de administración semantiene relevante.

Repetir y revisar regularmente el ciclo de administración de riesgos.

No solo se monitorea y revisa los tratamientos, que buscan la reducción delriesgo identificado, sino los controles operativos que hacen que los riesgosbajos se mantengan bajos.

7) Comunicación y Consulta

Comunicación y Consulta del Riesgo

Resulta primordial desarrollar un plan de comunicación tanto para las partesinteresadas internas como para las externas. Este plan debe tratar aspectosrelacionados tanto con el riesgo y el proceso de gestionarlo.

La comunicación interna y externa efectiva es importante para garantizar quequienes son responsables de implementar la gestión de riesgos y quienestienen interés creado comprendan la base sobre la cual se toman decisiones ypor que se requieren acciones particulares.

GESTIÓN DE RIESGOS DEL SGCS

BASC

¿Es necesario tener un

procedimiento

documentado?

¿Qué riesgos se deben

gestionar?

¿Cuántas etapas debo

incluir en el

procedimiento?

GESTIÓN DE RIESGOS DEL SGCS

BASC

MATRIZ DE RIESGOS

GESTIÓN DE RIESGOS DEL SGCS

BASC

MATRIZ DE TRATAMIENTOS

MODULO 6: VERIFICACIÓN Y

MEJORA CONTINUA

ENFOQUE DE MEJORA CONTINUA

PPLANEAR

Definir losObjetivos

Definirlos métodos

que permitiránalcanzar las metas

propuestas

VVERIFICAR

Verificar losresultadosde la tareaejecutada

HHACER

Educar yEntrenar

Ejecutar la tarea y

recogerlos datos

ActuarCorrectivamente

AACTUAR

Es la concepción gerencial básica que dinamiza la relación entre el

Hombre y los Procesos y entre los

Procesos y los Resultados.

Ciclo P-H-V-A

LA MEJORA CONTINUA COMO UN

PROCESO

ENTRADAS

PROCESO

VALOR

AGREGADO

EFICIENCIA EFICACIA

EFECTIVIDAD

SALIDAS

ACTIVIDADES DE SOPORTE

ACTIVIDADES DE

CORE BUSINESS

ACTIVIDADES

ESTRATEGICAS

DETERMINACIÓN DE LOS

CONTROLES OPERATIVOS

DETERMINACIÓN DE LOS

RIESGOS

REVISIÓN POR LA

ALTA DIRECCIÓN

PLANIFICACIÓN DE PROCESOS

SEGUIMIENTO Y MEDICIÓN

ACCIONES CORRECTIVAS

Y PREVENTIVAS

AUDITORÍAS

EL ESPIRAL DEL MEJORAMIENTO

CONTINUO

MEJORA

CONTINUA

SEGUIMIENTO Y MEDICIÓN DEL SGCS

BASC

¿Es necesario tener un

procedimiento

documentado?

¿Cómo decidir que

características clave

medir?

¿Qué frecuencia debo

establecer para el

seguimiento?

SEGUIMIENTO Y MEDICIÓN DEL SGCS

BASC

MATRIZ DE INDICADORES

GRACIAS POR SU PARTICIPACIÓN