Sistemas de control interno e informáticos. Gestión documental y registros.

Transcripción

1 Sistemas de control interno e informáticos Gestión documental y registros.

2 Índice Documentos y registros de la figura OEA. Información general de la empresa. Anexos al cuestionario vía web. Procedimientos actividades aduaneras. Procedimientos mantenimiento requisitos de la figura OEA. Procedimientos relativos a la seguridad (informática, recintos, mercancía, socios comerciales, personal...) Otros. Paralelismos con otras normas de gestión (ISO 9001, ISO 27000).

3 Cuestionario OEA: Listado procedimientos Hay un total de 39 requisitos/preguntas que exigen elaborar procedimientos documentados: Información general de la empresa: 1 procedimiento. Simplificaciones aduaneras: 17 procedimientos. Seguridad: 21 procedimientos.

4 Simplificaciones aduaneras: Cuestionario OEA: Procedimientos Simplificaciones Aduaneras 17 requisitos/preguntas que exigen elaborar procedimientos documentados: Actividades aduaneras: 7+1 procedimientos. (1 = procesos de compra mercancía extracomunitaria, gestión stock y salida mercancía a clientes extracomunitarios). Seguridad informática: 5 procedimientos. Gestión documentación en papel: 1 procedimiento. Gestión de la información Mantenimiento OEA: 2 procedimientos. Producción/fabricación: 1 procedimiento.

5 Seguridad y Protección: 21 requisitos/preguntas que exigen elaborar procedimientos documentados: Edificios: 3 procedimientos. Control de accesos: 6 procedimientos. Seguridad de las mercancías: 7 procedimiento. Gestión de licencias: 2 procedimientos. Control socios comerciales: 1 procedimiento. RR.HH.: 2 procedimientos. Cuestionario OEA: Procedimientos Seguridad

6 Información general de la empresa

7 Información general de la empresa. Anexos al cuestionario vía Web Pregunta 4 cuestionario: Descripción de la estructura interna de la empresa. Es conveniente adjuntar documentación sobre las funciones y competencias de cada departamento y cargo. (punto 6.2 norma ISO 9001) 6.2 Recursos humanos Generalidades El personal que realice trabajos que afecten a la conformidad con los requisitos del producto debe ser competente con base en la educación, formación, habilidades y experiencias apropiadas competencia, formación y toma de conciencia La organización debe: a) Determinar la competencia necesaria para el personal que realiza trabajos que afectan a la conformidad con los requisitos del producto, b) Cuando sea aplicable, proporcionar formación o tomar otras acciones para lograr la competencia necesaria, c) Evaluar la eficacia de las acciones tomadas, d) Asegurarse de que su personal es consciente de la pertinencia e importancia de sus actividades y de cómo contribuyen al logro de los objetivos de la calidad, y e) Mantener los registros apropiados de la educación, formación, habilidades y experiencia.

8 Información general de la empresa. Anexos al cuestionario vía Web Pregunta 6 cuestionario: Describa el procedimiento seguido en caso de ausencias, provisionales o permanentes, de los directivos principales de la empresa. Si es extenso, se puede anexar un archivo al formulario de solicitud. No se debería contestar limitándose a reseñar, por ejemplo, que cualquier empleado/ cargo esta capacitado para sustituir a otro en caso de ausencias, ni tampoco basta con que se diga que en caso de ausencias se mantienen contactos vía telefónica o e mail con el ausente. Es aconsejable detallar quién -cargo y/o nombre- en caso de ausencia de un cargo responsable asumirá las responsabilidades derivadas de las gestiones del área del ausente, cómo se planifican las vacaciones para que quede claro entre los empleados quién asume las responsabilidades de quien y se asegure la empresa de que el servicio se mantiene en el mismo nivel de calidad que cuando no hay personal de vacaciones etc.

9 Información general de la empresa. Anexos al cuestionario vía Web Pregunta 7 del cuestionario: Indicar el nombre y apellidos de la(s) persona(s) con conocimientos técnicos en aduanas dentro de la compañía, incluyendo una evaluación de su nivel de conocimiento informático. Deberá incluirse una evaluación del nivel de conocimientos de estas personas sobre el uso de la informática para la realización de trámites aduaneros y comerciales y para el régimen aduanero pertinente y asuntos comerciales en general.

10 Procedimientos aduaneros

11 Procedimientos aduaneros Objetivo Determinar que la empresa dispone de procedimientos que garanticen el cumplimiento de la normativa aduanera sobre los siguientes aspectos: Clasificación arancelaria. Aplicación derechos preferenciales a la importación. Expedición de documentos de origen y declaraciones en factura a la exportación. Determinación del valor en aduana y base imponible IVA. Control sobre las declaraciones aduaneras. Certificados, licencias y controles en frontera. Selección representantes aduaneros. Compra y recepción de mercancías de origen extracomunitario, gestión de stock de almacén, salida de mercancías para entrega a clientes extracomunitarios

12 Procedimientos aduaneros Nivel de detalle Proceso: conjunto de actividades mutuamente relacionadas o que interactúan, las cuales transforman elementos de entrada en resultados. Procedimiento: modo de ejecutar determinadas acciones que suelen realizarse de la misma forma, con una serie común de pasos claramente definidos, que permiten realizar un trabajo correctamente.

13 Procedimientos aduaneros Ver procedimiento Import (Gobierno Guatemala) Ver ejemplos procedimientos compras/proveedores

14 Documentos relativos al archivo de la documentación

15 Documentos relativos al archivo de la documentación Dispone de procedimientos documentados para la modificación de los maestros o datos permanentes (clientes, proveedores, códigos arancelarios y tipos impositivos)? Dispone la compañía de procedimientos documentados de gestión y ejecución de copias de seguridad? Dispone la compañía de un procedimiento documentado de registro y almacenamiento de documentación en formato papel (clasificación y archivo de documentos)? Dispone la compañía de procedimientos documentados relativos a la protección de sus sistemas informáticos que garanticen la seguridad de la información? Dispone la compañía de un procedimiento escrito de solicitud y concesión de permisos de acceso al CPD? Dispone la compañía de medidas de control documentadas para la actuación ante el caso de potencial pérdida de suministro eléctrico, que garantice la integridad de la información?

16 Documentos relativos al archivo de la documentación INFORMACIÓN: activo esencial para el negocio de cualquier organización y que por tanto debe ser convenientemente protegido. La información puede existir de diversas formas: impresa o escrita en papel, almacenada electrónicamente, transmitida por correo ordinario o electrónico, en formato audiovisual, formando parte de una conversación La seguridad de la información es la protección de la misma de diversas formas de amenaza, de tal manera que se asegure la continuidad del negocio, se minimicen los riesgos y se maximicen las inversiones. La seguridad de la información se consigue al implementar un conjunto de controles, políticas, procesos, software y hardware adecuados. Éstos deben ser revisados y mejorados para asegurar que los requisitos de seguridad se siguen cumpliendo.

17 Documentos relativos al archivo de la documentación Seguridad informática: Consiste en asegurar que los recursos del sistema de información sean utilizados de la manera que se decidió y que el acceso a la información allí contenida sólo sea posible a las personas que se encuentren acreditadas. La seguridad puede entenderse como aquellas reglas destinadas a prevenir, proteger y resguardar lo que es considerado como susceptible de robo, pérdida o daño. Norma aplicable: A pesar de no ser certificable, la norma ISO es la que especifica en mayor grado de detalle cuales son los requisitos exigibles a un SGSI. Cumplimiento de requisitos ISO => Cumplimiento de requisitos OEA Cumplimiento de requisitos OEA => Cumplimiento de requisitos ISO 27002

18 Documentos relativos al archivo de la documentación Para que un sistema se pueda definir como seguro debe tener cuatro características: Integridad: La información sólo puede ser modificada por quien está autorizado y de manera controlada. Confidencialidad: La información sólo debe ser legible para los autorizados. Disponibilidad: Debe estar disponible cuando se necesita. Irrefutabilidad (No repudio): El uso y/o modificación de la información por parte de un usuario debe ser irrefutable, es decir, que el usuario no puede negar dicha acción.

19 Documentos relativos al archivo de la documentación Ciclo de mejora continua / Deming Acciones correctivas Acciones preventivas Modificación Plan Política y Alcance del sistema Análisis de riesgos Selección de controles Auditoría interna No conformidades Grado de cumplimiento Implantación del SGSI Implantación controles Implantación indicadores

20 Documentos relativos al archivo de la documentación Tipos de seguridad informática Seguridad Física: consiste en la aplicación de barreras físicas y procedimientos de control, como medidas de prevención. La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema informático. Seguridad Lógica: Nuestro sistema no sólo puede verse afectado de manera física, sino también contra la información almacenada. El activo más importante que se posee es la información, y por lo tanto deben existir técnicas, más allá de la seguridad física, que la aseguren. Algunas técnicas de seguridad lógica: Control de acceso, autenticación, encriptación, firewalls, antivirus.

21 Documentos relativos al archivo de la documentación Seguridad física Protección del hardware Acceso físico Prevención Detección Desastres naturales Tormentas eléctricas. Inundaciones y humedad... Desastres del entorno Fallos eléctricos (55% calor, 20% vibraciones, 19% humedad ) Incendios Temperaturas extremas Destrucción de datos Backups -> almacenado incorrecto

22 Documentos relativos al archivo de la documentación Dentro de la seguridad informática, la seguridad física hace referencia a las barreras físicas y mecanismos de control en el entorno de un sistema informático, para proteger el hardware de amenazas físicas. Los mecanismos de seguridad física deben resguardar de amenazas producidas tanto por el hombre como por la naturaleza. Son ejemplos de mecanismos o acciones de seguridad física: - Cerrar con llave el CPD. - Tener extintores por eventuales incendios. - Instalación de cámaras de seguridad. - Vigilancia privada. - Control permanente del sistema eléctrico, de ventilación, etc.

23 Documentos relativos al archivo de la documentación Dentro de la seguridad informática, la seguridad lógica hace referencia a la aplicación de mecanismos y barreras para mantener el resguardo y la integridad de la información dentro de un sistema informático. La seguridad lógica de un sistema informático incluye: Restringir al acceso a programas y archivos mediante claves y/o encriptación. Asignar las limitaciones correspondientes a cada usuario del sistema informático: no darle más privilegios extras a un usuario, sino sólo los que necesita para realizar su trabajo. Asegurarse que los archivos y programas que se emplean son los correctos y se usan correctamente. Control de los flujos de entrada/salida de la información. Esto incluye que una determinada información llegue solamente al destino que se espera que llegue, y que la información llegue tal cual se envió. Los controles anteriormente mencionados se pueden hacer a nivel sistema operativo, a nivel aplicación, a nivel base de datos o archivo

24 Documentos relativos al archivo de la documentación Seguridad lógica Control de accesos Identificación, autentificación y control de accesos-> Política de contraseñas Roles -> Funciones del usuario Transacciones -> Control de procesamiento Limitaciones a los Servicios -> Concurrencia Modalidad de Acceso -> Lectura, escritura,.. Control de Acceso Externo -> Cortafuegos,... Administración -> Definición de puestos y organización de personal

25 Documentos relativos al archivo de la documentación Qué es un SGSI? Es aquella parte del sistema general de gestión que comprende la política, la estructura organizativa, los procedimientos, los procesos, y los recursos necesarios para implantar la gestión de la seguridad de la información. Es la herramienta para implantar las políticas y objetivos de Seguridad de la Información.

26 Análisis de riesgos Documentos relativos al archivo de la documentación Inventario: Para definir cómo se han de proteger los sistemas de información, lo primero que se ha de hacer es realizar un listado de los componentes a proteger. El activo esencial es la información que maneja el sistema; o sea los datos. Ejemplos de activos relevantes: Los servicios que se pueden prestar gracias a aquellos datos, y los servicios que se necesitan para poder gestionar dichos datos. Las aplicaciones informáticas (software) que permiten manejar los datos. Los equipos informáticos (hardware) y que permiten hospedar datos, aplicaciones y servicios. Los soportes de información que son dispositivos de almacenamiento de datos. El equipamiento auxiliar que complementa el material informático. Las redes de comunicaciones que permiten intercambiar datos. Las instalaciones que acogen equipos informáticos y de comunicaciones. Las personas que explotan u operan todos los elementos anteriormente citados. El inventario debe recoger todos los elementos que intervienen en el sistema informático(ver hoja Excel inventario)

27 Norma ISO (I) Documentos relativos al archivo de la documentación Introducción: conceptos generales de seguridad de la información y SGSI. Campo de aplicación Términos y definiciones Estructura del estándar Evaluación y tratamiento del riesgo: indicaciones sobre cómo evaluar y tratar los riesgos de seguridad de la información. Política de seguridad Aspectos organizativos de la seguridad de la información. Gestión de activos: responsabilidad sobre los activos; clasificación de la información. Seguridad ligada a los recursos humanos: antes y durante el empleo; cese del empleo o cambio de puesto de trabajo. Seguridad física y ambiental: áreas seguras; seguridad de los equipos.

28 Norma ISO (y II) Documentos relativos al archivo de la documentación Gestión de comunicaciones y operaciones; responsabilidades y procedimientos de operación; gestión de la provisión de servicios por terceros; planificación y aceptación del sistema; protección contra código malicioso y descargable; copias de seguridad; gestión de la seguridad de las redes; intercambio de información; servidos de comercio electrónico. Control de acceso: requisitos para el control de acceso; gestión de acceso de usuario; responsabilidades de usuario; control de acceso a la red; control de acceso al sistema operativo; control de acceso a las aplicaciones y a la información; ordenadores portátiles y teletrabajo. Adquisición, desarrollo y mantenimiento de los sistemas de información: requisitos de seguridad de los sistemas de información; tratamiento correcto de las aplicaciones; controles criptográficos; seguridad de los archivos de sistema; seguridad en los procesos de desarrollo y soporte; gestión de la vulnerabilidad técnica. Gestión de incidentes de seguridad de la información Gestión de la continuidad del negocio Cumplimiento: consideraciones sobre las auditorías de los sistemas de información, Bibliografía: normas y publicaciones de referencia.

29 Documentos relativos al archivo de la documentación MAGERIT Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información

30 Documentos relativos al archivo de la documentación Qué exige la figura del OEA? La figura del OEA nace con el objetivo de establecer relaciones de confianza entre la Aduana y las distintas compañías interesadas en adquirir este status. La Aduana exige "buenas prácticas" en materia aduanera para adquirir este reconocimiento. La Aduana entiende que esto no es posible si los sistemas de información de las empresas solicitantes no son "confiables". Las empresas solicitantes deben tener implantado un Sistema de Gestión de la Seguridad de la Información (SGSI).

31 Documentos relativos al archivo de la documentación Seguridad física: Requisitos OEA: 14 decies h) Seguridad de los sistemas informáticos y de la documentación (pregunta 3) Los accesos al CPD deben estar controlados. Debe existir un procedimiento escrito. El acceso debe estar, en todo caso, restringido al personal de la empresa que lo requiera para el desarrollo de sus funciones. Requisitos OEA: 14 decies h) Seguridad de los sistemas informáticos y de la documentación (pregunta 4) Dispone la compañía de un registro de personas que acceden al CPD y, en su caso, el motivo por el que han accedido? Debe existir un registro de accesos al CPD dónde se especifique usuario y motivo del acceso.

32 Documentos relativos al archivo de la documentación Seguridad lógica (I): Requisito OEA: 14 decies h) Seguridad de los sistemas informáticos y de la documentación (pregunta 1) Dispone la compañía de procedimientos documentados relativos a la protección de sus sistemas informáticos que garanticen la seguridad de la información? Debe existir un procedimiento dónde se especifiquen los distintos roles dentro de la organización, la política de accesos y contraseñas y los grados de autorización y revocación, definiendo las personas autorizadas tanto a solicitarlos como a ejecutar/os. Requisito OEA: 14 decies f) Archivo y seguridad de la información Dispone la compañía de procedimientos documentados de gestión y ejecución de copias de seguridad? Debe existir un procedimiento documentado de gestión de backups, que incluya medio, frecuencia y extensión así como detalle de /a recuperación y comprobación y personas autorizadas.

33 Documentos relativos al archivo de la documentación Seguridad lógica (II): Requisito OEA: 14 decies f) Archivo y seguridad de la información Registro de incidencias: Todas las incidencias relativas a la seguridad de la información deben quedar registradas, así como el estado de resolución de las mismas y las medidas correctoras aplicadas

34 Documentos relativos al archivo de la documentación Dispone la compañía de un procedimiento documentado de registro y almacenamiento de documentación en formato papel (clasificación y archivo de documentos)? Acceso limitados a los archivos. Medidas en vigor relativas a la protección de los documentos contra un acceso no autorizado así como contra la destrucción deliberada o la pérdida de los mismos. Procedimientos de clasificación y archivo de documentos, incluyendo responsabilidades en su manipulación. Medidas previstas para tratar incidentes que comprometan la seguridad de la documentación. Incidencias registradas y el tipo de medidas adoptadas en relación con las mismas a fin de mejorar la seguridad de la información/documentación Qué personal tiene acceso a los documentos del solicitante. Quién está autorizado a modificar los documentos. Requisitos de seguridad impuestos a sus socios comerciales y a otros interlocutores que manejan información sensible facilitada por el solicitante.

35 Documentos relativos al archivo de la documentación ( Punto Control de los documentos norma ISO 9001) Control de los documentos Los documentos requeridos por el sistema de gestión de la calidad deben controlarse. Los registros son un tipo especial de documento y deben controlarse de acuerdo con los requisitos citados en el apartado Debe establecerse un procedimiento documentado que defina los controles necesarios para: 1. Aprobar los documentos en cuanto a su adecuación antes de su emisión, 2. Revisar y actualizar los documentos cuando sea necesario y aprobarlos nuevamente, 3. Asegurarse de que se identifican los cambios y el estado de la versión vigente de los documentos, 4. Asegurarse de que las versiones pertinentes de los documentos aplicables se encuentran disponibles en los puntos de uso, 5. Asegurarse de que los documentos permanecen legibles y fácilmente identificables, 6. Asegurarse de que los documentos de origen externo, que la organización determina que son necesarios para la planificación y la operación del sistema de gestión de la calidad, se identifican y que se controla su distribución, y 7. Prevenir el uso no intencionado de documentos obsoletos, y aplicarles una identificación adecuada en el caso de que se mantengan por cualquier razón.

36 Documentos relativos al archivo de la documentación ( Punto Control de los registros norma ISO 9001) Control de los registros Los registros establecidos para proporcionar evidencia de la conformidad con los requisitos así como de la operación eficaz del sistema de gestión de la calidad deben controlarse. La organización debe establecer un procedimiento documentado para definir los controles necesarios para la identificación, el almacenamiento, la protección, la recuperación, la retención y la disposición de los registros. Los registros deben permanecer legibles, fácilmente identificables y recuperables.

37 Procedimientos Mantenimiento OEA

38 Procedimientos Mantenimiento OEA 14 decies g) Formación de los empleados en materia de incumplimientos Dispone la compañía de procedimientos documentados relativos a la detección por parte de los empleados de dificultades de cumplimiento de las condiciones exigidas para obtener y mantener el certificado OEA solicitado? 14 decies d) Organización administrativa adecuada (pregunta 7) Existe un procedimiento documentado que establezca las actividades de control que se aplican para identificar irregularidades o sospechas de infracciones penales detectadas en sus operaciones de comercio internacional y ponerlas de manifiesto a la autoridad aduanera? 14 decies d) Organización administrativa adecuada (pregunta 8) Dispone la compañía de un registro de todas las irregularidades (impositivas, incorrección de cantidades, ) identificadas y/o comunicadas por la Aduana u otros Departamentos de la AEAT? *Leer siempre notas explicativas del cuestionario.

39 Procedimientos Mantenimiento OEA 14 decies g) Formación de los empleados en materia de incumplimientos Los procedimientos documentados del solicitante deben incluir: Acciones formativas periódicas sobre las condiciones exigidas para obtener y mantener el certificado OEA y la importancia de informar sobre los incumplimientos de las mismas detectados. el nombramiento de una persona a quien los empleados deban comunicar irregularidades detectadas y que sea responsable de poner de manifiesto dichas irregularidades o errores a la autoridad aduanera. registro de dichas irregularidades. requisitos, incluyendo la frecuencia, de las comprobaciones a llevar a cabo sobre la exactitud, plenitud y actualidad de los registros de información y mantenimiento de los mismos. uso de recursos internos para probar o asegurar sus procedimientos. cómo se informa/notifica a la plantilla. frecuencia de revisiones futuras previstas. medidas para comprobar que los procedimientos se siguen.

40 Procedimientos Mantenimiento OEA Procedimiento incumplimientos OEA ( Punto 8.3 Control del producto no conforme norma ISO 9001) Se debe establecer un procedimiento documentado para definir los controles y las responsabilidades y autoridades relacionadas para tratar el producto no conforme. Cuando sea aplicable, la organización debe tratar los productos no conformes mediante una o más de las siguientes maneras: a) tomando acciones para eliminar la no conformidad detectada; b) autorizando su uso, liberación o aceptación bajo concesión por una autoridad pertinente y, cuando sea aplicable, por el cliente; c) tomando acciones para impedir su uso o aplicación prevista originalmente; d) tomando acciones apropiadas a los efectos reales o potenciales, de la no conformidad cuando se detecta un producto no conforme después de su entrega o cuando ya ha comenzado su uso. Se deben mantener registros (véase 4.2.4) de la naturaleza de las no conformidades y de cualquier acción tomada posteriormente, incluyendo las concesiones que se hayan obtenido.

41 Procedimientos Mantenimiento OEA Procedimiento irregularidades OEA ( Punto Acción correctiva norma ISO 9001) La organización debe tomar acciones para eliminar las causas de las no conformidades con objeto de prevenir que vuelvan a ocurrir. Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades encontradas. Debe establecerse un procedimiento documentado para definir los requisitos para: a) revisar las no conformidades (incluyendo las quejas de los clientes), b) determinar las causas de las no conformidades, c) evaluar la necesidad de adoptar acciones para asegurarse de que las no conformidades no vuelvan a ocurrir, d) determinar e implementar las acciones necesarias, e) registrar los resultados de las acciones tomadas (véase 4.2.4), y f) revisar la eficacia de las acciones correctivas tomadas.

42 Procedimientos Mantenimiento OEA Procedimiento auditoría interna ( Punto Auditoría interna norma ISO 9001) La organización debe llevar a cabo auditorías internas a intervalos planificados para determinar si el sistema: a) es conforme con las disposiciones planificadas (véase 7.1), con los requisitos de esta norma internacional y con los requisitos del sistema de gestión de la calidad establecidos por la organización, y b) se ha implementado y se mantiene de manera eficaz. Se debe planificar un programa de auditorías tomando en consideración el estado y la importancia de los procesos y las áreas a auditar, así como los resultados de auditorías previas. Se deben definir los criterios de auditoría, el alcance de la misma, su frecuencia y la metodología. Se debe establecer un procedimiento documentado para definir las responsabilidades y los requisitos para planificar y realizar las auditorías, establecer los registros e informar de los resultados.

43 Procedimientos Mantenimiento OEA Procedimiento revisión del sistema ( Punto 5.6 Revisión por la dirección norma ISO 9001) Generalidades La alta dirección debe revisar el sistema de gestión de la calidad de la organización, a intervalos planificados, para asegurarse de su conveniencia, adecuación y eficacia continuas. La revisión debe incluir la evaluación de las oportunidades de mejora y la necesidad de efectuar cambios en el sistema de gestión de la calidad, incluyendo la política de la calidad y los objetivos de la calidad.

44 Procedimientos Seguridad OEA

45 Procedimientos Seguridad OEA Objetivo Demostrar el nivel de seguridad, tanto internamente (edificios, recintos, mercancías, personal,.) como con clientes, proveedores y prestadores de servicios Edificios Instalaciones. Mercancías. Socios comerciales. Personal y contratación.

46 Procedimientos Seguridad OEA Requisito OEA: 4 duodecies a) Seguridad de los edificios Procedimiento de actuación ante perdida del suministro eléctrico. Gestión de acceso a llaves y registro de entrega: Lugar de almacenamiento. Responsable. Registro. Actuación ante perdidas o no devoluciones. Control límites externos de los edificios: Frecuencia de los controles. Registro de las actuaciones. Auditoria de seguridad. Notificación.

47 Procedimientos Seguridad OEA Requisito OEA: 14 duodecies b) Control de accesos Normas generales de acceso y permanencia en el recinto: Comunicación al personal y visitantes normas de seguridad y situaciones de emergencia. Control de puntos de acceso y zonas sensibles. Solicitud y concesión permisos de acceso. Identificación y autentificación del personal y visitantes. Restricción de áreas (qué sectores, quién, cómo). Control acceso vehículos del personal y visitantes. Respuesta ante acceso no autorizado o intrusión: Responsable. Cómo informar/alertar.

48 Procedimientos Seguridad OEA Requisito OEA: 14 duodecies c) Seguridad de las mercancías Protección de las unidades de carga: Personal responsable supervisión. Área de almacenamiento y control de accesos. Precintos tipo, acceso, cuándo y quién los coloca, registro numeración, actuación ante rotura, robo, pérdida,... Inspecciones periódicas (propias o de terceros) Mantenimiento y reparación: comprobación integridad, tipo controles (qué, cuándo y por quién), comunicación, control del procedimiento.

49 Procedimientos Seguridad OEA Requisito OEA: 14 duodecies c) Seguridad de las mercancías Contratación del transporte: Homologación de proveedores o medidas para verificar que se cumplen las condiciones de seguridad. Conductores. Aseguramiento de la carga (precintos o cerraduras) Controles tras paradas. En caso de subcontratación estándares equivalentes. Frecuencia de renovación del contrato.

50 Procedimientos Seguridad OEA Requisito OEA: 14 duodecies c) Seguridad de las mercancías Mercancías entrantes: Responsable, horario, llegadas inesperadas. Precintos Tipo, verificación precintos, incidencias. Comparación de la mercancía con documentos de transporte y aduaneros. Pesaje/recuento o medición y contraste con lista de carga. Control de calidad. Verificación marcado cumplen las condiciones de seguridad. Registro documentación. Informar a compras, almacén,... Actuación ante irregularidades.

51 Procedimientos Seguridad OEA Requisito OEA: 14 duodecies c) Seguridad de las mercancías Mercancías almacenadas: Áreas delimitadas y seguras. Acceso al almacén. Control de existencias. Actuación ante irregularidades. Separación según tipo de mercancía.

52 Procedimientos Seguridad OEA Requisito OEA: 14 duodecies c) Seguridad de las mercancías Mercancías durante el proceso productivo: Delimitación del área. En procesos externalizados, medidas de seguridad y revisión a la vuelta. Acceso al área de producción. Responsable de la supervisión del proceso de producción. Segregación funciones entre responsable control métodos de producción y el responsable de definirlos. Inspección del producto final. Actuaciones ante irregularidades.

53 Procedimientos Seguridad OEA Requisito OEA: 14 duodecies c) Seguridad de las mercancías Salida de mercancías: Supervisión de la carga. Personal responsable de recibir al chofer. Pesaje, recuento, medición y marcaje de las mercancías. Uso y registro de los precintos. Registro de los documentos de transporte y aduaneros. Informe a ventas de la salida de la mercancía. Comprobación de las mercancías con listas de carga y ordenes de venta. Registro de salida de la mercancía. Actuaciones ante irregularidades.

54 Procedimientos Seguridad OEA Requisito OEA: 14 duodecies d) Gestión de licencias vinculadas a restricciones y prohibiciones Dispone de procedimientos documentados para distinguir físicamente mercancías ordinarias de las sujetas a medidas especiales? Dispone la compañía de un procedimiento documentado de gestión de mercancías sujetas a requisitos de carácter no fiscal?

55 Procedimientos Seguridad OEA Requisito OEA: 14 duodecies e) Identificación de socios comerciales Procedimientos sobre: Requisitos de seguridad acordados. Registro de incidencias / incumplimientos.

56 Procedimientos Seguridad OEA Requisito OEA: 14 duodecies f) Política de contratación Requisito OEA: 14 duodecies g) Programas de sensibilización Procedimientos sobre: Política de contratación: Validación de referencias Manual de acogida Cláusulas de responsabilidad y confidencialidad Formación y sensibilización en materia de seguridad

57 Procedimientos Seguridad OEA ISO 28000:2007 ASEGURAMIENTO CADENA SUMINISTRO Standard internacional de calidad aparecida en 2007 y que ha sido traducido al español en 2008, con el que se puede: reconocer, evaluar y gestionar cualquier riesgo que exista o pueda presentarse en cualquier eslabón de la cadena de suministro. Especifica los requisitos para un sistema de gestión de la seguridad, incluidos los aspectos críticos a la garantía de la seguridad de la cadena de suministro.

58 Procedimientos Seguridad OEA ISO 28000:2007 ASEGURAMIENTO CADENA SUMINISTRO

59 Procedimientos Seguridad OEA Seguridad Física Seguridad del recinto y de edificios. Perímetro de seguridad. Procedimientos de control de acceso. Tecnologías de seguridad. Almacenamientos Seguros. Gestión de Activos. Actividades del Personal de Seguridad.

60 Procedimientos Seguridad OEA Seguridad del Personal Seguridad de los empleados. Integridad de los empleados. Formación de los empleados. Motivación por la seguridad. Procedimientos de control de acceso.

61 Procedimientos Seguridad OEA Seguridad de la Información Procedimientos de Seguridad de la Información. Procedimientos de acceso a la información. Seguridad de los datos. Procedimiento de traslado de datos. Procedimientos de gestión. Intercambio de datos con clientes. Cumplimiento de la legislación y de las normas de la industria.

62 Procedimientos Seguridad OEA Seguridad de carga y del transporte Procedimientos de seguridad para el acceso, gestión y control. Supervisión de operaciones de la carga. Procedimientos de integridad de la carga. Procedimientos de emergencia e información. Utilización de Procedimientos de Inteligencia.

63 Procedimientos Seguridad OEA Unidades de transporte de la carga cerradas y seguras Procedimientos de integridad del cierre. Relleno de la carga. Detección de interferencias. Registro. Procedimientos de inspección. Entrega de custodia. Procedimientos de discrepancias. Procedimientos de integridad de las unidades de transporte de carga.

64 Procedimientos Seguridad OEA Análisis de los riesgos y amenazas: Sistemas de gestión de riesgos de la cadena de suministro, o SCRM (acrónimo de la frase Supply Chain Risk Management). El riesgo se puede definir como la combinación de la probabilidad de un suceso y sus consecuencias. Paso 1: considerar amenazas a la seguridad (control de acceso, medios de tte., manipulación, tte. de bienes, empleados, socios, comunicación...) Paso 2: clasificación de las consecuencias (alto, medio, bajo) Alto: fallecimiento o lesiones a cierta escala, impacto económico que impida operaciones posteriores, impacto ambiental que destruya múltiples aspectos del ecosistema de una gran área. Medio: fallecimiento o lesiones con pérdidas de vida, impacto económico con daños a un activo y/o infraestructura que necesite reparación, impacto ambiental con daños a largo plazo de una parte del ecosistema. Bajo: daños pero sin pérdida de vidas, impacto económico mínimo, algún daño ambiental.

65 Procedimientos Seguridad OEA Paso 3: Evaluar la probabilidad. Paso 4: Evaluar el riesgo. Paso 5: Tomar e implementar contramedidas. Paso 6: Evaluación de las contramedidas.