Garantizar una cadena de suministro segura y confiable, que se mantenga en buen estado ante disrupciones y se recupere rápidamente de ellas, siempre ha sido un reto por las variables que influyen en ello y la dificultad que trae consigo el controlarlas.
Afortunadamente, aun bajo estas circunstancias, es mucho lo que se puede hacer para construir una cadena de suministro sólida y existen guías como la norma ISO 28000 a las que es posible apegarse para lograrlo.
Este estándar internacional ofrece orientación muy útil para entender lo que una cadena de abastecimiento segura es y lo que se debe hacer para construirla, y en este artículo te ayudamos a iniciar su adopción con información completa de lo que la norma ISO 28000 es y contiene.
¿Qué es la ISO 2800 y qué establece?
La norma ISO 28000 es un estándar con reconocimiento internacional para la creación, gestión y mejora adecuada de un sistema de gestión de seguridad que incluye muchos aspectos relevantes para la cadena de suministro. Fue publicado por la Organización Internacional de la Normalización en 2007, pero revisado en 2019 y actualizado en 2022.
Originalmente, fue creado pensando exclusivamente en el manejo de sistemas de gestión de seguridad de la cadena de suministro y diseñado por el comité técnico ISO/TC 8 especializado en buques y tecnología marítima. Pero pasó a ser responsabilidad del comité técnico ISO/TC 292 en 2015, el cual eventualmente lo modificó para tratar el manejo de sistemas de gestión de seguridad en un sentido más general.
A pesar de poseer un enfoque mucho más amplio en la actualidad, al contener un gran número de controles y recomendaciones relevantes para la gestión segura de una cadena de abastecimiento, continúa siendo el estándar más reconocido en esta área.
¿Qué es un sistema de gestión de seguridad?
El concepto de sistema de gestión de seguridad (SMS por sus siglas en inglés) es central al contenido de la ISO 28000, así que es crucial entenderlo para implementar su seguimiento.
¿En qué consiste? Se trata de un marco de políticas, procesos y controles para gestionar riesgos de seguridad en una organización y su cadena de suministro, lo cual implica la detección, medición y posible mitigación, aceptación, transferencia o evasión de ciertos riesgos como robo, ciberataques, desastres naturales que afectan las operaciones empresariales.
Es la creación de este sistema lo que la ISO 28000 ayuda a lograr con distintos lineamientos y algunas sugerencias de controles.
Aplicabilidad y relevancia de la ISO 28000
Con un enfoque en la seguridad completa de organizaciones, la ISO 28000 es aplicable para empresas y entidades de todo tipo que consideren que las guías del estándar son relevantes o útiles para ellas, lo cual abarca organizaciones con o sin fines de lucro, de cualquier tamaño y que operan en cualquier sector comercial.
Además, se trata de una norma con alta relevancia en el contexto actual, definido por cadenas de suministro complejas muy vulnerables a diversas amenazas y un alza en la incidencia de fraudes y otros ataques de seguridad con un gran impacto. Todo esto es revelado por datos como estos:
- Los ciberataques a software esencial en la cadena de suministro son comunes, pues se estima que el 71% de las empresas han experimentado uno en el último año y el 37% ha sufrido al menos 3.
- Las disrupciones en la cadena de suministro son una garantía para la gran mayoría de las empresas, pues casi el 80% de ellas han experimentado al menos una en el último año y las disrupciones con una duración mayor a un mes se presentan, en promedio, cada 3.7 años.
- Los problemas de seguridad son altamente costosos, mientras que las disrupciones generan una pérdida de ganancias potenciales de hasta $1.6 trillones de dólares a nivel global, se proyecta que los ciberataques en la cadena de suministro causarán daños de hasta $138 billones de dólares para 2031.
Te podría interesar: ¿Cómo superar los cuellos de botella en la cadena de suministro?
¿Es certificable la ISO 28000?
Sí, la ISO 28000 es certificable, pues brinda requisitos de creación y gestión de sistemas que se pueden auditar objetivamente por entidades independientes, en lugar de meras recomendaciones de seguimiento voluntario, como es el caso de normas como la ISO 26000 para la responsabilidad social.
Cabe recordar que la Organización Internacional de la Normalización solo brinda estándares como guía, pero la certificación es otorgada por organismos independientes autorizados por entidades oficiales de acreditación.
¿Por qué adoptar la ISO 28000?
¿Vale la pena invertir en seguir las pautas marcadas por la ISO 28000? La mejor decisión depende de lo que tu empresa necesite y pueda lograr en este momento, pues aunque el estándar es útil para todo tipo de organizaciones, la realidad es que no siempre es viable adoptarlo sin suficientes recursos, preparación y/o financiamiento.
Sin embargo, hay muchas razones por las que seguir la ISO 28000 es buena idea, como, por ejemplo:
- Ayuda a mejorar la resiliencia de la cadena de suministro y la resiliencia operativa general con los controles y planes adecuados para minimizar disrupciones y recuperarse de ellas ante su inevitabilidad.
- Permite mejorar la eficiencia general de cadenas comerciales y operaciones internas con menos interrupciones productivas.
- Fomenta una cultura de seguridad que guía cada decisión en una organización bajo principios claros de protección.
- Impulsa la reputación comercial con un distintivo de seguridad operativa que resulta atractivo para clientes, socios y proveedores.
- Ayuda a disminuir el impacto económico de fallas y disrupciones al minimizar tiempos de recuperación y efectos negativos.
- Contribuye a una mayor seguridad de productos, abastecimiento, empleados, activos y demás elementos.
Relacionado: Diferencias entre procurement, purchasing y otros procesos en la gestión de la cadena de suministro
Estructura y requerimientos de la ISO 28000
Si decides comenzar a implementar la ISO 28000 en tu empresa, tener una idea sólida de lo que esto implica es el siguiente paso hacia un proyecto exitoso. A continuación te mostramos la estructura general del estándar, la cual expresa también los requerimientos necesarios para cumplirlo a grandes rasgos:
Alcance, referencias normativas y términos y definiciones
Son las 3 secciones introductorias a la norma, las cuales expresan su aplicabilidad y alcance, los estándares ISO que toma como referencia en su contenido (en este caso, ISO 22300 e ISO 31000) y las definiciones a partir de las cuales está construida, extraídas de la norma ISO 22300.
Después de estas secciones, la norma se centra en destacar los lineamientos y requisitos para su adopción práctica exitosa, de acuerdo con lo que tu organización necesita y desea lograr con este estándar.
Contexto de la organización
Involucra describir a fondo lo que la gestión de seguridad es en tu empresa, las razones por las que es importante para partes interesadas y lo que se necesita para lograrla, identificando riesgos externos e internos, definiendo la dimensión de implementación (un área o varias) y encontrando los factores que influyen en este campo.
Es vital para definir alcance y permitir la toma de decisiones coherentes a lo largo de la implementación de la ISO 28000, alineadas con este contexto.
Liderazgo
Marca como requisito el involucramiento del liderazgo de tu empresa en la adopción del estándar. ¿Cómo? Con políticas, asignando recursos suficientes para este proyecto, definiendo roles claros dentro de este y, en general, tomando decisiones que demuestren compromiso.
Planificación
Se trata de la creación de las bases del proyecto en una forma más estructurada, con un contexto claro y el apoyo de posiciones de liderazgo. Consiste en definir con mayor detalle los riesgos a manejar con el sistema, establecer metas claras sobre su desempeño y fijar los procesos y recursos (de tecnología, personal, dinero, etc.) que permitirán cumplirlas.
En esencia, la sección de planificación conlleva crear el plan que cerrará la brecha entre el contexto de tu empresa y una gestión de seguridad ideal.
Soporte
Lleva la etapa de planificación a la práctica con acciones como la asignación de los recursos requeridos, la inversión en el entrenamiento necesario, el establecimiento de protocolos de comunicación en torno al proyecto y la gestión de la documentación que comprobará el seguimiento de la ISO 28000.
En pocas palabras: consiste en pasar de “¿Qué se debe hacer?” a “¿Cómo se hará?” y demostrarlo.
Operación
Va de la ejecución de un plan a su mantenimiento y realización constante con la definición e implementación de controles que aseguren la operación óptima del sistema de gestión de seguridad y procesos para afrontar y revertir desviaciones no deseadas.
Básicamente, la sección de operación involucra describir cómo funcionará el sistema día a día, manejarlo y comprobar su gestión estructurada.
Evaluación del desempeño
Partiendo de la realidad de que el sistema jamás será perfecto y requerirá de mejoras continuas, esta sección marca la importancia de un proceso de evaluación claro para medir el éxito del sistema con datos y permitir la toma de decisiones de optimización a partir de ellos en la siguiente fase.
Mejora
Finalmente, la sección de mejora pasa del análisis de datos a la optimización del sistema con base en estos, exigiendo procesos para el manejo de situaciones de no seguimiento de la norma con su detección y corrección oportuna, así como documentación que explique cómo fueron afrontados estos casos.
Al momento de la certificación, los auditores buscarán evidencia del seguimiento de estas secciones en el día a día de tu empresa. ¿Qué clase de evidencia? Documentación que describa la implementación de la ISO 28000 en cada fase, así como información y perspectivas obtenidas a través de la observación y métodos como entrevistas.
Con toda la información anterior, ahora puedes entender a fondo lo que la ISO 28000 representa y lo que adoptarla (o certificarse en su implementación) conlleva en la práctica. También puedes tomar una decisión informada sobre si seguirla es algo que le conviene a tu empresa en este momento y comenzar a hacerlo en caso de que lo consideres importante.
Por supuesto, esta guía muestra una imagen general de la estructura, definición y propósito de la norma, por lo que, para lograr una implementación exitosa más práctica, es recomendable recurrir a asistencia especializada.
Finalmente, la realidad es que implementar un sistema de seguridad puede ser un proyecto demandante en materia financiera, ya que puede drenar recursos de otras áreas o generar costos imprevistos.
Por ello, recuerda que Xepelin está aquí para ayudarte con soluciones de financiamiento de factoring y confirming, las cuales te permitirán mantener la liquidez de tu empresa de forma constante mediante el adelanto de cuentas por cobrar y el pago a proveedores con financiamiento, respectivamente.
Con el apoyo de Xepelin, puedes asegurar un flujo de efectivo más sólido que te permita operar sin complicaciones y sin importar los imprevistos o nuevos costos que tu empresa pueda tener que afrontar.
¿Cómo comenzar a financiar tus facturas con Xepelin? Registrarte es el primer paso.
Xepelin ofrece financiamiento empresarial para tu negocio. Cobra por adelantado las facturas de tu negocio, sin deuda bancaria y en pocos minutos.
