La necesidad de garantizar la seguridad de la cadena de suministro, es cada vez más evidente. En la situación actual, con una economía global y con un flujo de transporte de mercancías en continuo crecimiento, poder garantizar la seguridad de la cadena de suministro es imprescindible para la continuidad de las actividades económicas, y, por tanto, para el adecuado funcionamiento y desarrollo de la sociedad.

Las amenazas a las que está expuesta la cadena de suministro tienen diferentes orígenes, pero las que han provocado la reacción de los gobiernos y empresas son las que tienen su origen en el terrorismo y el crimen organizado. Estas amenazas han generado una serie de iniciativas que están dando respuestas a la necesidad de garantizar la seguridad de la cadena de suministros.

Una de estas iniciativas es C‐TPAT, (Customs‐Trade Partnership Against Terrorisme), Aduanas y Socios de Negocios contra el Terrorismo, se trata de una iniciativa conjunta del Gobierno de los EE.UU. y de las empresas del sector, cuyo objetivo es construir relaciones de cooperación comercial que refuercen y mejoren la seguridad de la cadenas de suministro transfronterizas.

Por su parte, la Unión Europea ha creado la figura del Operador Económico Autorizado para hacer frente a los riesgos de esta índole a los que se enfrentan los países miembros, ya que para ello es necesario que, además de efectuar los controles aduaneros tradicionales, se incremente el papel de las aduanas en materia de seguridad de la cadena logística internacional. No sólo con el objetivo de luchar contra la amenaza terrorista, sino también para colaborar en la lucha contra el crimen organizado, y en la defensa de los ciudadanos frente a otros peligros, como por ejemplo, los existentes en el ámbito de la protección a los consumidores o del medio ambiente.

Hay otras iniciativas, tanto de organismos públicos como la Organización Mundial de Aduanas, como de asociaciones privadas como TAPA, Asociación para la Protección de Activos Transportados. TAPA es un foro en el que los principales fabricantes, los proveedores logísticos, las empresas de transportes, agencias gubernamentales y cuerpos de policía, junto con otras partes interesadas, colaboran con el objetivo, de reducir las pérdidas que se producen por falta de seguridad en la cadena logística y de distribución.

Estas iniciativas cubren parte de las necesidades de seguridad de la Cadena de Suministro, pero no son suficientes ya que en su implantación no incluyen la necesidad de gestionar las medidas de seguridad que proponen. La madurez de estas propuestas pasa por dar un paso más y gestionar los diferentes sistemas y opciones de seguridad que formulan. Por este motivo, ha surgido con fuerza la opción de implantar un Sistema de Gestión de la Seguridad de la Cadena de Suministro, que cumpla los requisitos que establece la norma ISO‐28000:2007.

La ISO‐28000 es una norma de gestión de alto nivel que permite a una organización establecer un sistema de gestión global de la seguridad de la cadena de suministro, definida como el conjunto relacionado de recursos y procesos que comienza con la provisión de materias primas y se extiende hasta la entrega de productos o servicios al usuario final a través de los medios de transporte.

Desde el punto de vista metodológico, la norma sigue el círculo de Deming, el ciclo PDCA (Plan, Check, Do, Act). Sin embargo cabe destacar que el enfoque utilizado ya no es él basado en procesos del sistema de gestión (al estilo de la ISO 9001:2000), sino que se trata de un enfoque basado en la evaluación del riesgo.

El análisis y la definición de los escenarios de riesgo, es una de las tareas críticas en la definición e implantación del Sistema de Gestión de la Seguridad de la Cadena de Suministro, de este análisis, tal como establece la norma, se debe obtener la información necesaria para:

• Establecer los objetivos y las metas para la gestión de la seguridad.

• Establecer los programas de gestión de la seguridad.

• La determinación de los requisitos para el diseño, la especificación y la implantación.

• La identificación de los recursos necesarios.

• La identificación de las necesidades de formación y las habilidades.

• El desarrollo de los controles operacionales.

• El marco de trabajo para la gestión de los riesgos globales de la organización.

Para ello es necesario que el análisis de riesgos contenga los siguientes elementos:

• Objetivos de Seguridad de la organización.

• Características físicas de las instalaciones.

• Características de los sistemas, funciones, procesos, protocolos y dependencias internas y externas.

• Identificación de activos críticos y no críticos.

• Definición de los escenarios de amenazas y sus consecuencias.

• Análisis de las vulnerabilidades de los sistemas, funciones, procesos, protocolos y dependencias internas y externas.

• Evaluación de las medidas implantadas y de sus dependencias internas y externas.

• Evaluación de la efectividad de las estrategias de seguridad, la organización y la operación de seguridad.

• Evaluación de las medidas propuestas y su relación coste beneficio.

• Identificación de las vulnerabilidades residuales, los riesgos aceptables y las medidas compensatorias.

• Informe de resultados, plan de acción priorizado y estimaciones de tiempo y presupuesto.

Por otra parte, hay que tener en cuenta que uno de los factores clave en la implantación, control y gestión de un sistema de seguridad de la cadena de suministro es la comunicación a las partes que lo integran, personas u organizaciones, de los objetivos y responsabilidades que se derivan de las actividades que realizan.

La correcta gestión de la seguridad en una organización, sea cual sea el marco o estándar en el que esté basada, depende en un porcentaje muy alto de la concienciación y los conocimientos que posea el personal en cuanto a sus responsabilidades en seguridad, y a las políticas, los procedimientos y las prácticas de la organización relativas a la seguridad. Y no sólo de estas normas de actuación, sino que también es necesario que el personal involucrado en la operativa diaria conozca adecuadamente las contramedidas utilizadas para proteger todos los activos patrimoniales utilizados durante el desarrollo de sus actividades.

El factor humano, y no el tecnológico, suele ser el eslabón más débil en la cadena de la seguridad corporativa. Por más políticas, procedimientos y controles tecnológicos que se implanten, sin la adecuada implicación del personal en la seguridad, se estará perdiendo la mayor parte de la eficacia de las medidas implantadas.

Esta consideración queda patente en la ISO 28000 cuando indica que la organización debe asegurarse de que todos los miembros del personal con responsabilidades específicas en el sistema de gestión de la seguridad de la cadena de suministro estén debidamente cualificados y capacitados para realizar sus funciones. De acuerdo con esto, la organización debe:

• Identificar la experiencia requerida por el personal que interviene en la gestión de la seguridad de la cadena de sumnisitro.
• Proporcionar una formación apropiada y, si es necesario, contratar personal experto para esa tarea.
• Evaluar la eficiencia de la formación proporcionada y de las acciones tomadas.
• Llevar un registro de la formación y de los programas de formación seguidos por cada empleado así como de sus habilidades, experiencia y calificaciones.

Los empleados tienen que entender y respetar las buenas prácticas de seguridad de la cadena de suministro, ya que ellos constituyen la contramedida más barata contra las violaciones de seguridad.

Normalmente, son los primeros en verse afectados por los incidentes de seguridad, de ahí que la concienciación de los empleados en las implicaciones de los problemas de seguridad pueda ayudar a prevenir y disminuir el impacto de los incidentes cuando ocurren.

Es necesario destacar, que la ISO 28000 se ha desarrollado como respuesta a la necesidad de las industrias del transporte y de la logística de disponer de un estándar común de gestión de la seguridad, con el objetivo principal de mejorar la seguridad global de las cadenas de suministro. De ahí, que sea el único sistema de gestión que contempla la seguridad de la cadena de suministro de forma global: Se trata de un verdadero Sistema de Gestión de Seguridad, plenamente compatible e integrable con otros estándares, como ISO 9001, ISO‐27001 y ISO‐14001, y otros programas de seguridad, tanto obligatorios como discrecionales, como C‐TPAT, OEA y TAPA.

Un Sistema de Gestión de Seguridad, implantado según la norma ISO 28000, permite evaluar y gestionar los riesgos, aplicando los controles necesarios para minimizar la probabilidad de materialización de las amenazas, y disminuir el impacto en la cadena de suministro, en el caso de que se materialicen las amenazas.

La adopción de la norma ISO‐28000:2007, por parte de la industria del transporte y de logística, para mejorar la seguridad de la cadena de suministro está proporcionando beneficios significativos a estas organizaciones, ayudándoles a evaluar los riesgos y a aplicar los controles de seguridad necesarios con el objetivo de lograr una eficaz gestión de la seguridad ante las amenazas a las que esta expuesta la cadena de suministro.
Permitiendo a las organizaciones que se han certificado:

• Mejorar la productividad del sistema logístico, así como reducir el número de inspecciones en los controles y aduanas.
• Mejorar los tiempos de entrega de las mercancías, logrando acrecentar los niveles de satisfacción de los clientes y agentes.
• Posibilitar el uso de un sistema de gestión de la seguridad como una herramienta competitiva y diferenciadora, desde el momento que se comunica su implantación a clientes, autoridades e inversores.
• Garantizar que se llevan a cabo operaciones para el control de los riesgos y la implantación de medidas que los mitiguen.
• Certificar por una tercera parte, que el sistema de gestión de la seguridad para la cadena de suministro de la organización se realiza bajo los estándares internacionales establecidos en la norma ISO 28000. El cumplimiento de estos estándares internacionales está permitiendo incrementar el nivel de servicio a los clientes, ya que permite disminuir los tiempos en el tránsito de mercancías y en la identificación de incidencias, tales como los robos o desperfectos.
• Aportar un valor añadido para la organización en sus operaciones comerciales, derivado de la mejora de la administración de estas operaciones y del incremento de los automatismos en los procesos de importación.

Es necesario que las organizaciones dejen de ver la seguridad como un gasto o como un requisito del cliente, y pasen a tener conciencia de que la seguridad es una ventaja competitiva y un factor de diferenciación de mercado, de forma creciente, la norma ISO‐28000 está ayudando a realizar este cambio de mentalidad.