Diseño Metodológico para la Implementación de un Sistema de Gestión en Seguridad en la Cadena de Suministro Basado en la Norma ISO-28000-2007 en la Empresa Vigilancia y Seguridad VISE Ltda.

SISTEMA DE GESTIÓN EN SEGURIDAD EN LA CADENA DE

SUMINISTRO BASADO EN LA NORMA ISO-28000-2007 EN LA

EMPRESA VIGILANCIA Y SEGURIDAD VISE LTDA.

MICHAEL ALEXANDER PARRA CHAPARRO

CÓDIGO 20081015002

Dirigida por:

MSc. Cesar Asdraldo Vargas

DEDICATORIA

El presente proyecto de grado se lo quiero dedicar a mis padres Jasmín y Orlando que toda

su vida me apoyaron y con amor me sacaron adelante, a mis hermanos David y Daniel que

día a día me motivaron para continuar en los momentos más difíciles, a mi sobrino Santiago

T

ABLA DE CONTENIDO

DEDICATORIA

... 2

INTRODUCCIÓN

... 9

1.

OBJETIVOS

... 10

1.1.

Objetivo General

... 10

1.2.

Objetivos Específicos

... 10

2.

JUSTIFICACIÓN

... 11

3.

PLANTEAMIENTO DEL PROBLEMA

... 12

4.

ALCANCE

... 13

5.

ANTECEDENTES DEL PROBLEMA

... 14

5.1.

Fallas de seguridad en la cadena de suministro

... 15

5.2.

Pérdidas económicas derivados del 11 de Septiembre de 2001

... 15

6.

MARCO TEÓRICO

... 17

6.1.

ISO 28000

... 17

6.2.

Definiciones:

... 17

6.3.

Caracterización empresas de Vigilancia

... 18

6.4.

Cobertura nacional

... 19

6.5.

Fuente de empleo

... 19

7.

METODOLOGÍA - CRONOGRAMA

... 20

8.

PRESUPUESTO DEL PROYECTO

... 22

CAPITULO 0

... 23

9.

GESTIÓN DEL RIESGO

... 23

9.1.

Riesgos relacionados con las personas.

... 23

10.

ESTRUCTURA GENERAL ISO 28000:2007

... 25

10.1.

Requisitos generales ISO 28000

[12]... 25

10.1.1.

Planificación de

la seguridad organizacional ... 25

10.1.2.

Proceso de implementación y ejecución ... 25

10.1.3.

Medición y seguimiento ... 25

10.1.4.

Acciones correctivas, preventivas y de mejora ... 26

10.1.5.

Auditorías internas/externas ... 26

10.1.6.

Revisión por la dirección y mejora continua. ... 27

CAPITULO 1

... 28

11.

DIAGNÓSTICO

... 28

11.1.

Definición del alcance (4.1)

... 28

11.1.1.

Cumplimiento... 28

11.1.2.

Caracterización y mapa de procesos ... 28

11.1.3.

Cumplimiento. ... 29

11.2.

Política integral (4.2)

... 29

11.2.1.

Cumplimiento del numeral 4.2 ... 30

11.3.

Evaluación del riesgo de seguridad y planificación (4.3)

... 30

11.3.1.

Evaluación del riesgo de seguridad (4.3.1) ... 30

11.3.2.

Requisitos de seguridad legales (4.3.2) ... 30

11.3.3.

Objetivos de gestión de la seguridad (4.3.3) ... 31

11.3.4.

Metas de gestión de la seguridad (4.3.4) ... 32

11.4.5.

Procedimiento de comunicaciones (4.4.3) ... 35

11.4.6.

Requisitos de la documentación (4.4.4) ... 35

11.4.7.

Mecanismos de protección de documentos. (4.4.5) ... 35

11.4.8.

Control operacional (4.4.6) ... 35

11.5.

Control de ingreso de personas a las instalaciones

... 36

11.5.1.

Ingreso de trabajadores administrativos ... 36

11.5.2.

Áreas restringidas ... 36

11.5.3.

Acceso a visitantes ... 36

11.6.

Selección de proveedores y compras

... 37

11.6.1.

Cumplimiento: ... 37

11.7.

Contratos de prestación de servicios

... 37

11.7.1.

Cumplimiento: ... 37

11.8.

Gestión de los riesgos en los procesos

... 37

11.8.1.

Cumplimiento: ... 38

11.9.

Verificación y acción correctiva (4.5)

... 38

11.10.

Revisión por la dirección (4.6)

... 38

CAPITULO 2

... 40

12.

CARACTERIZACIÓN DE PROCESOS

... 40

12.1.

Política de Gestión

... 41

12.2.

Objetivos de Gestión

... 41

13.

ELABORACIÓN DE PROGRAMAS

... 41

13.1.

Programa de capacitación

... 41

13.2.

Programa de detección de sustancias psicoactivas

... 41

13.3.

Programa de inspecciones perimetrales

... 41

13.4.

Programa de mantenimiento preventivo

... 42

13.5.

Programa para la prevención del lavado de activos

... 42

13.6.

Programa de orden y aseo

... 42

13.7.

Programa de visita a proveedores

... 42

13.8.

Programa para la atención de denuncias anónimas

... 43

14.

ELABORACIÓN DE PROCEDIMIENTOS

... 44

14.1.

Eficacia selección de trabajadores

... 44

14.2.

Eficacia de selección de proveedores

... 45

14.3.

Eficacia en el filtro de Clientes

... 45

15.

ALIANZAS EN MATERIA DE SEGURIDAD

... 46

15.1.

Efectividad de la alianza en seguridad

... 46

15.2.

Siniestros Operativos en Seguridad

... 46

16.

IDONEIDAD DE LOS GRUPOS DE INTERÉS

... 47

16.1.

Aspirantes y trabajadores de Vise

... 47

16.2.

Clientes del sector privado

... 48

16.3.

Sector público

... 48

17.

CONTROL DE INGRESO A LAS INSTALACIONES

... 49

18.

CONTROL DE CERRADURAS

... 50

19.

CONTROL DE FIRMAS Y SELLOS

... 51

20.

GESTIÓN DE RIESGOS EN LOS PROCESOS

... 52

20.1.

Política de Riesgos.

... 52

CAPITULO 3

... 54

21.

AUDITORÍA INTERNA

... 54

21.2.

21.3.

V. Verificar los resultados de la auditoría

... 54

21.4.

A. Actuar de acuerdo a los hallazgos (Acciones preventivas y correctivas)

... 55

21.5.

Evaluación del auditor

... 55

21.6.

No Conformidades detectadas

... 55

21.7.

Planes de acción

... 55

21.8.

Cierre a los planes de acción.

... 56

CAPITULO 4

... 57

22.

ACCIONES

... 57

22.1.

Acciones Preventivas

... 57

22.1.1.

Acciones preventivas tomadas ... 57

22.1.2.

Planes de acción... 57

22.1.3.

Cierre a los planes de acción ... 57

22.2.

Acciones correctivas

... 58

22.2.1.

Acciones correctivas tomadas ... 58

22.2.2.

Plan de acción ... 59

22.2.3.

Cierre a los planes de acción ... 59

CAPÍTULO 5

... 60

23.

ANÁLISIS DE LA COMPETITIVIDAD EN EL SECTOR

... 60

CAPITULO 6

... 63

24.

CONCLUSIONES

... 63

25.

BIBLIOGRAFÍA

... 65

LISTA DE ILUSTRACIONES

ILUSTRACIÓN 1. Riesgos relacionados con las personas. Fuente: Autor.

_______________________ 23

ILUSTRACIÓN 2.

Riesgos relacionados con los procesos. Fuente: Autor

________________________ 24

ILUSTRACIÓN 3.

Gráfico resumen de diagnóstico. Fuente: Autor

______________________________ 39

ILUSTRACIÓN 4.

Mapa de Procesos. Extraído Manual de Gestión VISE LTDA. Elaborado: Carlos

Maldonado

_______________________________________________________________________________ 40

LISTA DE TABLAS

TABLA 1. Pérdidas económicas derivados del 11 de septiembre de 2001. Fuente: Autor. Información

extraída bibliografía relacionada

____________________________________________________________ 15

TABLA 2. Despliegue de actividades para cumplimiento de objetivos. Fuente: Autor.

_____________ 21

TABLA 3. Presupuesto del proyecto. Fuente: Autor

___________________________________________ 22

TABLA 4.

Medición de objetivos en seguridad. Fuente: Autor.

_________________________________ 32

TABLA 5. Resumen diagnóstico inicial. Fuente: Autor.

________________________________________ 39

LISTA DE ANEXOS

ANEXO 1. Lista de Chequeo de diagnostico

_______________________________________________ 66

ANEXO 2. Política de gestión.

______________________________________________________________ 77

ANEXO 3. Objetivos de gestión.

____________________________________________________________ 78

ANEXO 4. Matriz de requisitos legales.

______________________________________________________ 79

ANEXO 5. Programa de capacitaciones.

____________________________________________________ 103

ANEXO 6. Programa de detección de sustancias psicoactivas y alcohol.

_______________________ 104

ANEXO 7. Programa de mantenimiento.

____________________________________________________ 105

ANEXO 8. Programa de inspecciones perimetrales.

__________________________________________ 106

ANEXO 9. programa de prevención de lavado de activos.

____________________________________ 107

ANEXO 10. Programa de visita a proveedores.

______________________________________________ 108

ANEXO 11. Programa para la atención de denuncias de trabajadores.

_________________________ 109

ANEXO 12. Tablero de indicadores.

________________________________________________________ 110

ANEXO 13. Procedimiento de reclutamiento y clasificación de hojas de vida.

___________________ 111

ANEXO 14. Procedimiento de selección, contratación y desvinculación de personal.

_____________ 117

ANEXO 15. Procedimiento de elaboración de contratos.

______________________________________ 134

ANEXO 16. Procedimiento de control de ingreso a personas a las instalaciones.

________________ 138

ANEXO 17. Procedimiento de manejo y control de llaves, candados y cerraduras.

_______________ 144

ANEXO 18. Procedimiento de control de firmas y sellos.

_____________________________________ 146

ANEXO 19. Caracterización del proceso de gestión del riesgo.

________________________________ 149

ANEXO 20. Política de riesgos.

____________________________________________________________ 152

ANEXO 21. Manual de administración de riesgos.

___________________________________________ 153

ANEXO 22. Estructura organizacional administración de riesgos.

______________________________ 170

ANEXO 23. Documento maestro de gestión de riesgos.

______________________________________ 173

ANEXO 24. Matriz riesgos de proyecto.

____________________________________________________ 182

ANEXO 25. Programa anual de auditorías.

_________________________________________________ 184

ANEXO 26. Agenda de auditoria.

__________________________________________________________ 186

ANEXO 27. informe de auditoria. _____________________________________________________________ 186

INTRODUCCIÓN

El presente proyecto está enfocado en la implementación de un sistema de gestión en

control y seguridad en la cadena de suministro para la empresa VIGILANCIA Y

SEGURIDAD VISE LTDA., tomando como punto de partida la norma ISO 28000-2007 y el

diagnóstico del estado actual de la compañía, con lo cual se realizará la implementación y

se formularán planes de mejora, acciones correctivas y preventivas que se entregarán a la

Dirección de gestión integral de la empresa.

El control sobre las prácticas empresariales en contra de la incursión de grupos armados al

margen de la ley, cobra importancia a partir del momento en que la sociedad las percibe

como una amenaza contra el crecimiento económico, ya que afectan el desarrollo normal de

las actividades económicas y por lo tanto el crecimiento económico del país se ve afectado.

La protección de las empresas frente a las acciones de grupos, armados o no, al margen de

la ley, debe ser multidimensional de manera que se protejan y se mantenga el control sobre

las personas, los bienes, las infraestructuras, los equipos y los medios de transporte. Con la

protección de estos cinco aspectos las empresas fortalecen sus controles y por lo tanto se

aumentan las estrategias para frustrar los intentos de infiltración de los grupos, armados o

no, al margen de la ley.

1. OBJETIVOS

1.1. Objetivo General

Documentar e implementar un sistema de gestión en Control y Seguridad en la

cadena de suministro bajo la norma ISO 28000-2007 en la empresa VIGILANCIA Y

SEGURIDAD VISE LTDA en la sucursal Bogotá

1.2. Objetivos Específicos

 Realizar un diagnóstico para evaluar el cumplimiento frente a los requisitos

de la Norma ISO 28000-2007 en la empresa VIGILANCIA Y SEGURIDAD VISE

LTDA.

 Diseñar los procedimientos e instructivos necesarios para la implementación

de un sistema de gestión en Control y Seguridad en la cadena de suministro para

la sucursal Bogotá

 Establecer un plan de auditoría donde se verifique el cumplimiento de los

requisitos de la norma ISO 28000-2007 basándose en los criterios establecidos en

la norma ISO 19011 - 2012 para la realización de auditorías

 Ejecutar las acciones preventivas y correctivas derivadas de los hallazgos

encontrados en la auditoría interna.

2. JUSTIFICACIÓN

Este trabajo surge con la necesidad de la empresa VIGILANCIA Y SEGURIDAD VISE LTDA

por implementar un sistema de gestión en seguridad en la cadena de suministro que no solo

le permita poder demostrar a sus clientes que la empresa está certificada y que lleva a cabo

acciones recurrentes para tener un comercio seguro lo que la haría más competitiva en el

mercado nacional, sino que también prevenir ser permeada por problemáticas sociales tales

como el narcotráfico y el lavado de activos. Debido a que la empresa Vigilancia y Seguridad

VISE LTDA., presta servicios de Outsourcing en seguridad a diferentes empresas a nivel

nacional, tiene relación con una gran cantidad de proveedores y actualmente cuenta con

aproximadamente 8300 empleados directos, debe establecer medidas de control con el fin

de evitar ser permeada por acciones delictivas y violar su seguridad interna.

Por otra parte, cada día el crimen organizado está más presto a adentrarse en

organizaciones lícitas, utilizando distintas técnicas de engaño e inventivas para falsificar

documentación, es por ello que se establece la necesidad de que las empresas establezcan

sus propias medidas para prevenir incidentes que puedan perjudicar la integridad de las

organizaciones.

Para evitar que la empresa pueda llegar a ser vulnerada por acciones delictivas de terceros,

incluso de sus mismos empleados, se implementará la norma ISO 28000 – 2007 evaluando

cada uno de sus requisitos y adaptándolos a las necesidades actuales de la compañía

evaluando las condiciones actuales de las ubicaciones, controles de acceso e interrelación

de la empresa con sus clientes y proveedores.

Dando cumplimiento a los requisitos establecidos en la norma se espera que se pueda

ejercer un mayor control frente a las acciones que pueden vulnerar la integridad de la

empresa y de esta manera se aseguraría que la empresa fortalezca la gestión del riesgo y

tener una diferencia competitiva en un sector como es la vigilancia y seguridad privada.

3. PLANTEAMIENTO

DEL

PROBLEMA

Colombia es un país que históricamente ha sido afectado por problemas de orden público.

Lleva más de 50 años en conflicto armado, donde los principales actores son la guerrilla de

extrema izquierda y los grupos paramilitares de extrema derecha[1], con lo cual desde la

década de los 80 ha tomado fuerza el paramilitarismo y debido a problemas de desigualdad

social surgieron otras bandas criminales más pequeñas y con ello el crecimiento de uno de

los males que más ha afectado a la sociedad colombiana y por la cual es reconocida en

ámbitos internacionales, el narcotráfico.

Muchas empresas reconocidas y grandes marcas se han visto involucradas en problemas

debido a que se ha encontrado que de manera voluntaria o no, su seguridad ha sido

vulnerada, bien sea porque algún miembro de la compañía o algún tercero, han logrado

afectar su reputación, su integridad física, uso ilegal de armamento, robos, virus

informáticos, ataques terroristas o ha sido permeada con dineros provenientes del

narcotráfico o delincuencia en cualquiera de sus modalidades. El impacto generado a las

empresas por las problemáticas sociales es una realidad que día a día viven, estas no

pueden estar exentas de su entorno y es por ello que cada una debe tomar medidas

pertinentes con el fin de evitar que sufran incidentes que puedan perjudicar su integridad.

4. ALCANCE

5. ANTECEDENTES

DEL

PROBLEMA

En la ciudad de Coslada (España) el ayuntamiento local como medida para aumentar la

competitividad de su ciudad en el área de la logística ha apoyado a los empresarios locales

especializados en logística y actividades complementarias al transporte para que

implementen un sistema de gestión en seguridad en la cadena de suministro ISO

28000-2007 dado que esta región tiene una ventaja comparativa al estar ubicada cerca a Madrid,

particularmente el Aeropuerto Internacional de Barajas y vías ferroviarias que facilitan la

conexión con puertos y otras ciudades.

Esto no solo les ha permitido a las empresas tener un mayor margen de seguridad en la

operación, sino que adicional a ello les ha dado una mayor capacidad de afrontar cualquier

riesgo que pueda presentarse en las cadenas de suministro lo que también a su vez les ha

dado una mayor credibilidad frente a sus clientes[2]

Actualmente en Colombia existen 24 empresas que se han certificado de las cuales seis

pertenecen al sector de la Vigilancia y Seguridad Privada, una tiene la certificación

suspendida y dos tienen la certificación cancelada.La mayoría de las empresas de vigilancia

certificadas prestan servicios a empresas cuya actividad económica está relacionada con el

transporte de mercancías, importación de productos, operadores logísticos y

almacenamiento de productos. Todos estas empresas tienen un valor agregado y es que la

tarifa por servicio de vigilancia es más alto que en otros sectores dado que son pocas las

empresas que cumplen con los requisitos exigidos lo que haría que la utilidad por servicio

prestado sea mayor para las empresas de vigilancia.

Como consecuencia de la incertidumbre generada y la amenaza de riesgo latente surgido

después de los atentados del 11 de Septiembre de 2001 las empresas tanto públicas como

privadas comenzaron a tener una mayor conciencia de la necesidad de salvaguardar

adecuadamente sus bienes y activos[3]

Es por ello que aquello que comenzó con una mejora continua en la seguridad de la

industria aérea rápidamente se trasladó a otras áreas de la economía relacionadas como lo

son el transporte de carga, encomiendas y las zonas francas.

Los puertos marítimos son un sector clave de la economía, sin embargo estos son bastante

vulnerables a ser utilizados como medios para el ingreso y salida de contrabando,

mercancías ilegales, narcotráfico y dinero procedente de la delincuencia organizada. Es por

ello que las medidas de seguridad en estos puntos es clave para evitar un aumento de la

delincuencia organizada, pero para ello las medidas adoptadas no pueden ser tomadas

únicamente por el personal asignada al puerto, sino también esto debe ser una política de

sus proveedores, clientes y en general toda persona que haga parte de la cadena de

suministro.

combatir otras modalidades de delincuencia organizada.

5.1. Fallas de seguridad en la cadena de suministro

Sin embargo la seguridad en la cadena de suministro no era algo que se había considerado

dentro de las organizaciones, para muchas bastaba con cumplir con estándares de calidad

y cumplir con los requisitos legales establecidos por los gobiernos locales.

En Colombia por ejemplo se estima que, a raíz de los atentados ocurridos el 11 de

Septiembre de 2001 se ha visto la necesidad de incrementar las medidas de seguridad en

las operaciones comerciales. Es tal la necesidad que después de ocurridos estos hechos y

de las pérdidas económicas de algunos sectores se decidieron adoptar medidas más

estrictas principalmente en el sector de la aviación.

5.2. Pérdidas económicas derivados del 11 de Septiembre de 2001

Sector

Pérdidas

Aéreo

US$12.000 millones

400.000 puestos de trabajo

Desaparición de Swissair y Sabena

US Airways se declara en bancarrota

United Airlines presentó serias dificultades económicas

Reducción del 30% del tráfico transatlántico

Turismo

3 millones de puestos a nivel mundial por reducción de viajes

internacionales.

Disminución del turismo al Medio Oriente y Asia

Empresas

aseguradoras

US$50.000 millones

Pagos por seguros de vida US$1.900 millones

Pagos por compensación por aviones y ocupantes US$2.600 millones

Ninguna empresa aseguradora quebró, pero sus acciones se situaron en el

nivel más bajo[4]

crudo.[5]

Este fenómeno ha ido en disminución desde el año 2002, incluso según datos reportados

por Ecopetrol entre el año 2013 y 2014 el número de atentados contra los oleoductos se

redujo en un 46% pasando de 259 casos a 141.

El sector de la vigilancia es uno de los más vulnerables ya que presentan grandes riesgos

por grupos acciones delictivas de personal externo y de por sí su misiòn principal es evitar

que estos hechos se presenten, sin embargo hay casos tales como lo ocurrido a Control

Total Ltda que en el año 2008 la Superintendencia de Vigilancia y Seguridad Privada le

retiró la licencia de funcionamiento debido a que se demostró esta pertenecía a un

empresario vinculado con alias “Don Mario”. De igual manera se canceló la licencia de

funcionamiento a la empresa Caninos Profesionales Ltda perteneciente al mismo

empresario dejando en total más de 1000 personas sin empleo.[6]

En el año 2008 la Superintendencia de Vigilancia y Seguridad Privada Suspende la licencia

de funcionamiento de las empresas Transval debido a que esta prestaba servicios de

transporte de valores de la captadora DMG y no tenía medidas contra el lavado de activos y

Provitec Ltda porque el 57% de las firmas sociales pertenecían a William Suárez Suárez,

cuñado de David Murcia Guzmán por quien se dictó también orden de captura por tener

vínculos con la captadora de dinero.

A inicios del año 2014 un vigilante perteneciente a la empresa G4S Cash Solution tomó la

decisión de disparar a otro vigilante que lo acompañaba en un vehículo blindado usado para

el transporte de valores con el fin de robar el dinero que este contenía[7]

En el año 2014 ingresaron a extinción de dominio varias empresas dentro de las que se

destacaba la empresa de vigilancia SEGURIDAD 911 por ser usada por Salvatore Mancuso

para realizar lavado de activos[8]

Históricamente se ha encontrado que las empresas de vigilancia son uno de los nichos más

grandes en los cuales grupos ilegales pueden lavar activos, pero de igual manera estas

empresas pueden ser víctimas de de otros problemas como lo es el sabotaje y el robo de

información.

6. MARCO

TEÓRICO

6.1. ISO 28000

La ISO 28000 2007 es una norma creada por la International Standar Organization con el fin

de establecer unos criterios bajo los cuales las empresas podrían eventualmente guiarse

para implementar in Sistema de gestión de seguridad en la cadena de suministro.

Surge con la necesidad de las empresas de establecer y exigir a sus clientes que

implementen una serie de criterios que ayuden a combatir desde el interior las diferentes

modalidades de delincuencia organizada y no organizada, formar vínculos entre el sector

público y privado para identificar agentes y organizaciones delictivas.

Uno de los detonantes que incentivó la creación de esta norma fueron los hechos ocurridos

el 11 de Septiembre de 2001 en Nueva York donde cuatro aviones de la aerolínea United

Airlines fueron secuestrados por una organización terrorista para posteriormente ser

utilizado como arma contra las dos torres del World Trade Center y El Pentágono.

Esto no solo se tradujo en mejoras en las medidas de seguridad en aeropuertos y líneas

aéreas a nivel mundial, sino que además esto se trasladó a otros sectores como el

transporte de carga y las zonas aduaneras.

6.2. Definiciones:

Instalación:

Planta, maquinaria, propiedad, edificios, vehículos, embarcaciones,

instalaciones portuarias y otros elementos de infraestructura o plantas y sistemas

relacionados que cumplen una función o servicio empresarial distintivo y cuantificable.

Seguridad.

Resistencia a actos intencionales, sin autorización, destinados a causar

perjuicio o daño a, o mediante, la cadena de suministro.

Gestión de la seguridad.

Actividades y prácticas sistemáticas y coordinadas por medio de

las cuales una organización maneja óptimamente sus riesgos y las amenazas e impactos

potenciales asociados derivados de ellos.

Objetivo de gestión de la seguridad.

Resultado o logro específico de seguridad requerido

a fin de cumplir la política de gestión de la seguridad.

Política de gestión de la seguridad.

Intenciones y direcciones generales de una

organización, relacionadas con la seguridad y la estructura para el control de los procesos y

actividades que tienen que ver con la seguridad, que se derivan de la política y los

requisitos de reglamentación de la organización y son coherentes con ellos.

organización, su éxito o el impacto de sus actividades.

Cadena de suministro.

Conjunto relacionado de recursos y procesos que comienza con el

suministro de materias primas y se extiende hasta la entrega de productos o servicios al

usuario final, incluidos los medios de transporte.

Aguas abajo.

Se refiere a las acciones, procesos y movimientos de la carga en la cadena

de suministro, que ocurren después de que la carga sale del control operacional directo de

lao organización, incluidas la gestión de los seguros, las finanzas y los datos, y el empaque,

almacenamiento y transferencia de la carga, entre otros.

Aguas arriba.

Se refiere a las acciones, procesos y movimientos de la carga en la cadena

de suministro, que ocurren antes de que la carga se encuentre bajo el control operacional

de la organización, incluida la gestión de datos, las finanzas y los seguros y el empaque,

almacenamiento y transferencia de la carga, entre otros.

Alta dirección.

Persona o grupo de personas que dirige y controla una organización en el

nivel superior.

Mejora continua.

Proceso recurrente de fortalecer el sistema de gestión de la seguridad a

fin de lograr mejoras en el desempeño de la seguridad en general de manera coherente con

la política de seguridad de la organización.[9]

Acción correctiva.

Acción tomada para eliminar la causa de una no conformidad detectada

u otra situación no deseable

Acción preventiva.

Acción tomada para eliminar la causa de una no conformidad potencial

u otra situación potencial no deseable.

6.3. Caracterización empresas de Vigilancia

El sector de la vigilancia es uno de los que ha crecido más rápidamente el en país, para

finales del año 2007 las operaciones comerciales alcanzaron los 3,1 billones de pesos, en el

año 2008 llegó a los 3,8 billones y en 2009 superó los 4,4 billones. A finales del año 2013

los ingresos para las empresas de vigilancia lograron alcanzar los 6,6 billones[10]

Según la revista Dinero las empresas de vigilancia alcanzaron ingresos por 7.5 billones de

pesos demostrando un aumento del 11,5% comparado con el año inmediatamente

anterior[11]

El crecimiento del sector se puede explicar debido a la dinámica de los últimos años en el

país, el aumento de la inversión extranjera y consolidando al sector de la construcción como

uno de los más dinámicos. La construcción de oficinas, centros comerciales, conjuntos

residenciales, entre otros ha ayudado a jalonar este sector económico y diversificando las

modalidades del servicio.

6.4. Cobertura nacional

El 86% de las empresas de Vigilancia están concentradas en cinco departamentos

principalmente, sin embargo en los departamentos de Bogotá y Cundinamarca se tiene el

58% de las empresas del sector, seguidas por Valle del Cauca 10%, Antioquia 8%,

Atlántico 4% y Santander con 2

6.5. Fuente de empleo

A marzo de 2015 un total de 216.151 personas hacían parte del personal operativo de las

empresas de vigilancia, sin tener en cuenta los cargos administrativos, terceros y

subcontratados. Cifra muy cercana a las fuerzas armadas, ya que según el ministerio de

Defensa para el año 2014 la policía contaba con un total de 176.577 uniformados y el

ejército con un total de 246.525

Sin embargo a pesar de los altos ingresos que obtienen las empresas de vigilancia estas,

están expuestos a riesgos muy altos en su qué hacer diario de acuerdo al tipo de clientes

con los que establezcan relaciones comerciales, entre ellos los que más se destacan son el

sector petrolero, energético, minero y aeroportuario. La mayoría de las empresas de estos

sectores están en manos de inversionistas extranjeros y debido al actual conflicto armado

en Colombia muchos vigilantes pueden estar expuestos a ataques terroristas por parte de

grupos al margen de la ley.

En el caso de una eventual firma de un proceso de paz con las FARC se tendría una

disminución significativa del riesgo de atentados terroristas, sin embargo existen otros

grupos armados menos numeroso que podrían eventualmente ser foco de atención por su

capacidad de realizar inminentes ataques a instalaciones de empresas en Colombia, es el

caso de las Bacrim, grupos paramilitares, el ELN, etc.

Sin embargo no se requieren grupos altamente organizados que puedan afectar

significativamente las operaciones de una empresa de vigilancia, es el caso de la protesta

realizada por parte de trabajadores de Sepecol Ltda quienes protestaron por diez días luego

que de la empresa Carbones del Cerrejon Limited cuando adjudicaron a la empresa Vise

Ltda el 50% de sus servicios de Vigilancia, después de intensas negociaciones se llegó a un

acuerdo con los habitantes de la Guajira.

7. METODOLOGÍA

-

CRONOGRAMA

DESPLIEGUE DE ACTIVIDADES PARA CUMPLIMIENTO DE OBJETIVOS

Objetivo

Actividad

Herramienta de ingeniería

Realizar un diagnóstico para evaluar el

porcentaje de cumplimiento frente a los

requisitos de la Norma ISO 28000-2007 en la

empresa VIGILANCIA Y SEGURIDAD VISE

LTDA.

Identificar el nivel de cumplimiento de la empresa

frente a los requisitos de la norma ISO 28000-2007

Matriz de diagnóstico

basado en la norma ISO

28000-2007

Diseñar los procedimientos e instructivos

necesarios para la implementación de un

sistema de gestión en Control y Seguridad en la

cadena de suministro para la sucursal Bogotá

Planear las actividades necesarias para alcanzar el

cumplimiento de los requisitos de la norma

Ciclo PHVA de Deming

Enfoque basado en el

riesgo

Indicadores de gestión

Metodología de los 5 por

que

Diagrama de pareto

Ejecutar las actividades necesarias para alcanzar el

100% de cumplimiento de los requisitos de la norma

Establecer indicadores de gestión con el fin de

medir el desempeño del sistema de gestión

Tomar las acciones preventivas y correctivas

pertinentes de acuerdo al desempeño y hallazgos

detectados

Establecer un plan de auditoría donde se

verifique el cumplimiento de los requisitos de la

norma ISO 28000-2007 basándose en los

criterios establecidos en la norma ISO 19011 -

2012 para la realización de auditorías

Programar las auditorías internas y externas

pertinentes

Ejecutar las acciones preventivas y correctivas

derivadas de los hallazgos encontrados en la

auditoría interna.

Realizar acciones preventivas de acuerdo a los

riesgos detectados

Metodología de los 5 por

que

Diagrama de Pareto.

Realizar acciones correctivas de acuerdo a los

hallazgos detectados en la medición de indicadores,

y no conformidades

8. PRESUPUESTO

DEL

PROYECTO

Actividad

Tiempo de

realización

Recursos

utilizados

Costo

Relación

Diagnóstico con base a la ISO 28000-2007

2 semanas

Computador

$1.000.000

Tiempo de los empleados

Planear las actividades necesarias para alcanzar

el cumplimiento de los requisitos de la norma

2 semanas

Computador

$500.000

Tiempo del empleado

Ejecutar las actividades necesarias para alcanzar

el 100% de cumplimiento de los requisitos de la

norma

7 semanas

Computador,

papelería

$6.000.000

Capacitación y formación de

auditores internos

Tiempo del empleado

Establecer indicadores de gestión con el fin de

medir el desempeño del sistema de gestión

4 semanas

Computador,

papelería

$1.000.000

Tiempo del empleado

Tomar las acciones preventivas y correctivas

pertinentes de acuerdo al desempeño y hallazgos

detectados

6 semanas

Computador

papelería

$2.000.000

Tiempo del empleado,

transporte, capacitaciones

Programar las auditorías internas y externas

pertinentes

2 semanas

Computador,

papelería

$6.000.000

Costo de auditoría interna y

externa, transporte

Realizar acciones preventivas de acuerdo a los

riesgos detectados

4 semanas

Computador,

papelería

$1.000.000

Tiempo del empleado,

capacitaciones

Realizar acciones correctivas de acuerdo a los

hallazgos detectados en la medición de

indicadores, y no conformidades

4 semanas

Computador,

papelería

$1.000.000

Tiempo del empleado,

capacitaciones

Total

35 semanas

18.000.000

CAPITULO

0

9. GESTIÓN

DEL

RIESGO

Con la finalidad de poder realizar un trabajo que permita un rápido avance en la

implementación de la NTC ISO 28000 se hace un análisis preliminar con la finalidad de

detectar sus riesgos asociados

9.1. Riesgos relacionados con las personas.

ILUSTRACIÓN 1.

Riesgos relacionados con las personas. Fuente: Autor.

Es por ello que se recomienda optar por realizar una adecuada capacitación a las

partes involucradas con la finalidad de sensibilizarlos dándoles a conocer las ventajas

tanto individuales como colectivas de la implementación de la norma técnica.

a. Riesgos relacionados con los procesos

ILUSTRACIÓN 2.

Riesgos relacionados con los procesos. Fuente: Autor

Durante la implementación puede ocurrir, especialmente si toma más tiempo del

presupuestado que ocurran cambios al interior o exterior de la VISE LTDA que requiera

realizar ajustes a procesos y procedimientos.

10. ESTRUCTURA

GENERAL

ISO

28000:2007

10.1.

Requisitos generales ISO 28000

[12]

La norma NTC ISO 28000 2007 tiene una serie de requisitos distribuidos de acuerdo al

ciclo PHVA de Demming (P=Planear-H=Hacer-V=Verificar-A=Actuar)

Como parte del proceso de implementación de la norma, se debe en primera instancia

crear y establecer una política de seguridad que debe estar alineada con el que hacer

de la empresa, esta se tomará a partir de la política de calidad y se ajustará de manera

que sea integral.

10.1.1. Planificación de

la seguridad organizacional

El proceso a seguir es realizar las evaluaciones de riesgo asociadas a la operación y

procesos al interior de la empresa, cumplimiento de los requisitos internos y externos

de la empresa, objetivos de seguridad establecidos desde la alta dirección con sus

respectivas metas e indicadores de gestión y la adaptación de los programas de

seguridad.

10.1.2. Proceso de implementación y ejecución

En este proceso se definen las responsabilidades y competencias de cada uno de los

líderes de proceso y demás miembros de VISE LTDA sensibilizándolos a todos de la

importancia y compromiso que deben tener con la organización para que el sistema

funcione. De igual manera se establecen vías de comunicación entre los procesos,

documentación, control operacional y preparación ante emergencias.

10.1.3. Medición y seguimiento

10.1.4. Acciones correctivas, preventivas y de mejora

Las

acciones correctivas

se deben llevar a cabo en los siguientes casos (VISE LTDA

cuenta con un sistema de Gestión integral, sin embargo solo se mencionan los casos

relacionados con la norma)



Observaciones y/o quejas del cliente y de las partes interesadas durante la

prestación del servicio o la operación de la organización;



Resultados de las auditorías externas, e internas de la Organización, realizadas

con el fin de evaluar el desempeño del Sistema de Gestión; debilidades

identificadas en el desempeño de los procesos, o durante la prestación del

servicio.



Resultados de la Revisión por la Gerencia al Sistema de Gestión; frente al

cumplimiento de objetivos y metas, y de las acciones generadas de dicha revisión.



Análisis de riesgos físicos.



Los resultados del análisis y evaluación de riesgos



Revisión del cumplimiento de los requisitos legales.



Emergencias que vulneren la seguridad (Hurto, intrusión, contaminación, pérdida

de información, filtración, narcotráfico, lavado de activos, etc.)

Las

acciones preventivas

se deben llevar a cabo con la finalidad de evitar que se

presenten No Conformidades que puedan afectar la seguridad de la empresa. Las

fuentes de acciones preventivas son las siguientes:



Recomendaciones de auditores internos o externos



Resultados de la revisión por la dirección



Análisis de riesgos físicos



Análisis de tendencias de indicadores



Simulacros.

10.1.5. Auditorías internas/externas

10.1.6. Revisión por la dirección y mejora continua.

CAPITULO

1

11. DIAGNÓSTICO

Para la realización del diagnóstico se diseña la lista de chequeo del diagnóstico (Ver

ANEXO 1) basado en los requisitos exigidos por la norma ISO 28000:2007 los cuales

están a partir del numeral 4.

11.1.

Definición del alcance (4.1)

“El Sistema de gestión de VISE LTDA., cuenta con un alcance que involucra a todos

los procesos y colaboradores que están comprometidos en el desarrollo de las

actividades que la empresa efectúa para la Prestación de servicios de vigilancia y

seguridad privada, en las modalidades fija, móvil, escolta a personas, vehículos y

mercancías, con y sin armas de fuego y medio canino a nivel nacional. Diseño y

prestación de servicios de vigilancia y seguridad privada con medios tecnológicos y

monitoreo de alarmas a nivel nacional”

11.1.1. Cumplimiento

El alcance está sesgado a los Sistemas de Gestión de Calidad, Seguridad y Salud en

el Trabajo, Ambiental y BASC. Dentro del Manual de Gestión es necesario incluir el

Sistema de Gestión en seguridad en la cadena de suministro basado en la norma NTC

ISO 28000.

11.1.2. Caracterización y mapa de procesos

Se tienen definidos un total de 16 procesos divididos entre



Procesos estratégicos: Todos aquellos que determinan la dirección y rumbo de la

compañía.



Procesos operativos: Son todos aquellos encargados de cumplir con la misión y

qué hacer de la empresa.

11.1.3. Cumplimiento.

La caracterización es confusa y no corresponden con la actual realidad de la compañía

dado que hay un conjunto de subprocesos que se recomienda unir con otros para que

sea de fácil entendimiento para los empleados de la compañía.

11.2.

Política integral (4.2)

“Somos una empresa que presta servicios de vigilancia y seguridad privada, estamos

comprometidos con la Satisfacción de nuestros Clientes y demás grupos de interés,

orientamos nuestra labor hacia la prevención y control de pérdidas implementando

mecanismos apropiados para la gestión del riesgo.

Entendemos y practicamos el mejoramiento continuo como parte integral de cada una

de nuestras acciones. Fundamentamos nuestra gestión en la utilización de

herramientas tecnológicas, talento humano altamente calificado al que brindamos

espacios para su crecimiento personal y profesional, orientamos nuestra gestión hacia

el mejoramiento de la calidad de vida de nuestros colaboradores, promovemos el

trabajo en equipo y la construcción de una sociedad incluyente y equitativa.

Nuestro compromiso se fundamenta en:



El estricto cumplimiento de los requisitos legales, los que la organización suscriba

y los estándares aplicables a nuestra actividad económica;



La identificación, valoración y control de los riesgos ocupacionales e impactos

socio ambientales derivados del ejercicio de nuestra actividad, a través de la

implementación de programas encaminados hacia la prevención de incidentes

(con o sin lesión), enfermedades profesionales y la contaminación del ambiente.



El desarrollo de estrategias en seguridad que nos permitan la prevención del

contrabando de drogas, el terrorismo, el lavado de activos y en general cualquier

actividad ilegal en nuestras operaciones a fin de fomentar un comercio interior y

exterior lícito.



La adopción de prácticas socialmente responsables en todos los ámbitos de

influencia de la organización.

11.2.1. Cumplimiento del numeral 4.2

La política actualmente es coherente con las demás políticas organizacionales, sirven

como base para el despliegue de los objetivos y metas de la organización, es

coherente con la estructura y peligros de la organización, tiene un compromiso de

mejora continua, tiene el compromiso de cumplir con la normatividad legal vigente,

tiene un respaldo visible de la alta dirección, es comunicada a las partes interesadas,

empleados y contratistas; y se evidencia que es revisada periódicamente de acuerdo a

la conveniencia y necesidades de la organización.

11.3.

Evaluación del riesgo de seguridad y planificación (4.3)

11.3.1. Evaluación del riesgo de seguridad (4.3.1)

No se ha diseñado un procedimiento para la gestión del riesgo. A pesar de contar con

matrices donde eventualmente se mide el riesgo, esto no se hace bajo una

metodología industrial o académicamente reconocida.

11.3.1.1. Cumplimiento

del numeral 4.3.1

No existe un procedimiento que permita a la empresa recuperar el control en los casos

donde hay fallas en los equipos o servicios prestados por terceros que garanticen la

seguridad interna de la compañía.

No se cuenta aún con un procedimiento o medio de control cuando se hace el

reemplazo o mantenimiento de equipos de seguridad.

Por este hecho se debe diseñar un procedimiento que permita medir el riesgo y

administrarlo basado en la metodología de la NTC ISO 31000.

11.3.2. Requisitos de seguridad legales (4.3.2)

Existe un procedimiento denominado Identificación y seguimiento de requisitos legales

donde están establecidos todos los requisitos aplicables a la operación de la empresa,

requisitos aplicables a la Seguridad y Salud en el trabajo y a la Gestión

Medioambiental.

11.3.2.1. Cumplimiento del numeral 4.3.2

fuentes de consulta que permitan a la organización estar al día en la matriz de

requisitos legales.

11.3.3. Objetivos de gestión de la seguridad (4.3.3)



Obtener la satisfacción de nuestros clientes a través de la prestación de servicios

que cumplan con sus expectativas.



Obtener el mejoramiento continuo de los procesos.



Mantener los recursos necesarios para el logro de las disposiciones planificadas.



Incrementar las competencias de los colaboradores estableciendo

programas de desarrollo profesional, capacitación y entrenamiento,

generando identidad y compromiso frente a las políticas de la Empresa.



Mantener el crecimiento sostenible de la organización.



Lograr la rentabilidad y el cumplimiento de las razones financieras.



Gestionar los riesgos ocupacionales derivados de nuestra actividad a través de su

identificación, evaluación y control. Gestionar e implementar estrategias en salud,

seguridad en el trabajo y ambiente con el fin de prevenir incidentes y

enfermedades laborales.



Fortalecer las alianzas en materia de seguridad con autoridades locales y

extranjeras.



Asegurar la idoneidad y confiabilidad de todos los participantes en nuestra

operación (grupos de interés)



Disminuir el consumo de recursos naturales garantizando su uso racional a través

del mejoramiento continuo de nuestro sistema de gestión.



Controlar y mitigar la contaminación generada por la generación de residuos y

emisiones atmosféricas resultantes de la prestación del servicio de vigilancia

privada.

11.3.3.1. Cumplimiento del numeral 4.3.3

De acuerdo al diagnóstico, se encuentra dentro de los objetivos de la organización no

se encuentra el cumplimiento de todos los requisitos legales aplicables al Sistema de

Gestión de Seguridad en la Cadena de Suministro. SGSCS

No se tienen en cuenta la gestión de riesgos y amenazas en materia de seguridad

asociados a la operación de la empresa.

11.3.4. Metas de gestión de la seguridad (4.3.4)

MEDICIÓN DE OBJETIVOS EN SEGURIDAD

Objetivo

Indicador

Fórmula

Meta

Incrementar las

competencias de los

colaboradores

estableciendo programas

de desarrollo profesional,

capacitación y

entrenamiento, generando

identidad y compromiso

frente a las políticas de la

Empresa.

Indicador de

cumplimiento de

capacitación

𝐻𝑜𝑟𝑎𝑠 𝑐𝑎𝑝𝑎𝑐𝑖𝑡𝑎𝑐𝑖ó𝑛 𝑒𝑗𝑒𝑐𝑢𝑡𝑎𝑑𝑎𝑠

𝐻𝑜𝑟𝑎𝑠 𝑑𝑒 𝑐𝑎𝑝𝑎𝑐𝑖𝑡𝑎𝑐𝑖ó𝑛 𝑝𝑟𝑜𝑔𝑟𝑎𝑚𝑑𝑎𝑠

𝑥100

>70%

Indicador de

Entendimiento

de la

Capacitación

𝑁𝑜 𝑑𝑒 𝑒𝑣𝑎𝑙𝑢𝑎𝑐𝑖𝑜𝑛𝑒𝑠 𝑎𝑝𝑟𝑜𝑏𝑎𝑑𝑎𝑠

𝑁𝑜 𝑑𝑒 𝑒𝑣𝑎𝑙𝑢𝑎𝑐𝑖𝑜𝑛𝑒𝑠 𝑝𝑟𝑒𝑠𝑒𝑛𝑡𝑎𝑑𝑎𝑠

>90%

Fortalecer las alianzas en

materia de seguridad con

autoridades locales y

extranjeras.

No se cuenta

con indicador

hasta la fecha

Sin indicador

Sin

meta

Asegurar la idoneidad y

confiabilidad de todos los

participantes en nuestra

operación (grupos de

interés)

Efectividad en la

selección de

personal

𝑃𝑒𝑟𝑠𝑜𝑛𝑎𝑠 𝑠𝑢𝑝𝑒𝑟𝑎𝑛 𝑝𝑒𝑟𝑖𝑜𝑑𝑜 𝑑𝑒 𝑝𝑟𝑢𝑒𝑏𝑎

𝑃𝑒𝑟𝑠𝑜𝑛𝑎𝑠 𝑐𝑜𝑛𝑡𝑟𝑎𝑡𝑎𝑑𝑎𝑠 𝑝𝑜𝑟 𝑝𝑒𝑟𝑖𝑜𝑑𝑜

𝑥100

>95%

Número de

candidatos

rechazadas por

filtro de

seguridad

Número de candidatos rechazados por filtro de

seguridad

Sin

meta

Efectividad en la

selección de

proveedores

Número de proveedores rechazados por filtro

de seguridad

Sin

meta

Efectividad en la

selección de

clientes

Número de clientes rechazados por filtro de

seguridad

Sin

meta

Número de

acciones que

atenten la

cadena de

comercio seguro

Número de acciones que atenten la cadena de

comercio seguro

Sin

meta

11.3.4.1. Cumplimiento del numeral 4.3.4

Se evidencia como mecanismo de divulgación de los objetivos organizacionales la

Inducción y Re-inducción General a VISE LTDA, sin embargo en el tema de metas no

se han comunicado al 100% de la organización.

Se puede evidenciar que algunos indicadores no tienen una meta propuesta, esto a

que la organización a pesar de que toma las medidas pertinentes tanto con los

candidatos, proveedores y clientes no espera en ningún momento que estos se

encuentren involucrados con organizaciones delictivas y mucho menos que sean

reportados dentro de la lista Clinton u otras fuentes como la base de datos de la Policía

Nacional y la Procuraduría General de la Nación, que es el mecanismo por el cual

VISE LTDA asegura la idoneidad de las partes involucradas.

11.3.4.2. Alianzas en materia de seguridad

Con relación a las Alianzas en materia de seguridad, se realizan reuniones periódicas

con la policía, sin embargo no existe un indicador que mida el cumplimiento de este

objetivo, por lo que se hace necesario diseñar, estructurar y establecer un indicador

que mida su cumplimiento. Así mismo establecer una meta alcanzable, pero ambiciosa.

11.3.5. Programas de gestión de la seguridad (4.3.5)

Dentro de la compañía no se tiene establecido un conjunto de programas que realicen

una adecuada gestión de la seguridad en la cadena de suministro, por lo que se hace

necesario diseñarlos junto con los líderes de proceso para lo cual se deben establecer

un conjunto de capacitaciones. Se recomienda establecer un conjunto de cronogramas

anuales para las actividades pertinentes para el cumplimiento de los programas.

11.4.

Implementación y operación (4.4)

11.4.1. Provisión de recursos

11.4.1.1. Cumplimiento:

El procedimiento para la provisión de recursos cumple con los requisitos establecidos

en la NTC ISO 28000.

11.4.2. Nombramiento del representante de la dirección

Como representante de los sistemas de Gestión se tiene definido que es parte de las

funciones del Director de Gestión Integral para lo cual se evidencia nombramiento y

divulgación por parte de la Gerencia General.

11.4.3. Competencias de los trabajadores (4.4.2)

Vise cuenta con un programa anual de inducción y re-inducción de personal y un

programa de formación y entrenamiento, en el que se incluyen aspectos relacionados

con Seguridad, Salud ocupacional y gestión ambiental. Procedimiento de detección de

necesidades de formación. Procedimiento de evaluación para el desarrollo.

11.4.3.1. Cumplimiento:

No se tienen establecidas necesidades de formación en Seguridad en la Cadena de

suministro.

11.4.4. Selección de personal

Se tiene un procedimiento para la búsqueda de hojas de vida de aspirantes por medio

de bolsas de trabajo, páginas web y recomendaciones de otros trabajadores de la

compañía.

11.4.4.1. Cumplimiento:

Actualmente el procedimiento no está estructurado para que la empresa reciba hojas

de vida de fuentes confiables como lo pueden ser Escuelas de vigilancia acreditadas

por la Superintendencia de Vigilancia y Seguridad Privada y alianzas con el grupo

empresarial.

administrativos de mayor responsabilidad se recomienda establecer contacto con

cazadores de talentos u optar por realizar ascensos

No se ha estipulado un procedimiento donde se realice un estudio de seguridad al

personal que ingresa nuevo a la empresa, en particular a los cargos críticos que

podrían afectar la seguridad en la cadena de suministro y hacer a VISE LTDA algún

tipo de vulneración

No se ha identificado un procedimiento donde se aclaren los cargos en los que se hace

necesario realizar pruebas de alcohol y drogas evitando así vulneración de la

seguridad interna por parte de trabajadores que no están en condiciones de

desempeñar su cargo.

11.4.5. Procedimiento de comunicaciones (4.4.3)

Se evidencia la existencia del programa de capacitaciones de la compañía, en él las

comunicaciones se realizan de acuerdo a la matriz de comunicaciones por medio de

los medios internamente establecidos (Correo electrónico corporativo, teléfonos

celulares, radios y avanteles).

11.4.6. Requisitos de la documentación (4.4.4)

El procedimiento de control de documentos tiene la fortaleza de poder administrar los

documentos por medio de la intranet, allí se divulgan los procedimientos, planes,

programas, formatos y en general cualquier documento controlado del Sistema de

Gestión Integral de la compañía.

Los documentos que se encuentran vigentes dentro de la intranet están controlados

por medio del listado maestro de documentos, de igual manera se evidencia control de

los documentos de uso externo de la compañía.

11.4.7. Mecanismos de protección de documentos. (4.4.5)

trabajadores) y medición de los riesgos operacionales, sin embargo no ha definido

programas anuales que ayuden a la empresa al cumplimiento de los objetivos en

materia de Seguridad en la Cadena de suministro.

11.5.

Control de ingreso de personas a las instalaciones

Se tiene establecido un mecanismo para el control de acceso a las instalaciones y/o

áreas restringidas de VISE LTDA por parte de visitantes y contratistas para lo cual se

definen las siguientes disposiciones:



No se encuentra autorizado el ingreso de personas que vayan a tratar asuntos

diferentes al que hacer de la compañía.



Se prohíbe el ingreso de vendedores.



No se permite el ingreso de personas fuera del horario establecido.

11.5.1. Ingreso de trabajadores administrativos

Los trabajadores administrativos cuentan con una tarjeta de proximidad electrónica que

permite el acceso a la compañía, esta puede ser habilitada para que ingrese a ciertas

áreas restringidas dependiendo de la labor que realicen

11.5.2. Áreas restringidas

Se consideran áreas restringidas aquellos lugares a los cuales no pueden acceder la

mayoría de trabajadores dado que se almacenan armas de fuego, información de alto

valor, bienes del cliente, los servidores y el Command Center.

Para acceder a las áreas restringidas los trabajadores tienen dispuesto un sistema de

control de acceso por medio de la tarjeta de control de acceso.

11.5.3. Acceso a visitantes

11.5.3.1. Cumplimiento:

No se ha establecido un control que evite que ingresen personas no deseadas a las

instalaciones de la compañía utilizando tarjetas de proximidad y documentos hurtados

o dados por miembros de la empresa.

11.6.

Selección de proveedores y compras

La Dirección de Compras tiene establecido un procedimiento por medio del cual antes

de seleccionar a un proveedor debe verificar que este no tenga nexos con grupos

ilegales, o se encuentre permeada de cualquier manera con la delincuencia común u

organizada. Para poder dar cumplimiento a esto se verifican los antecedentes de las

personas registradas en la Cámara de Comercio de la razón social del aspirante a

proveedor, de igual manera se verifica que estas personas no aparezcan en la Lista

Clinton.

11.6.1. Cumplimiento:

Dentro del Manual HSEQ para Contratistas no se tiene aun establecido un acuerdo de

confidencialidad entre las partes de manera que la información sea protegida de

manera adecuada, en particular cuando se trata de clientes que realizan actividades de

importación y exportación

11.7.

Contratos de prestación de servicios

Los contratos de prestación de servicios en el caso de clientes del sector privado son

elaborados por la Dirección Jurídica después de solicitar documentos que acrediten la

existencia y representación legal y documentos que faculten al representante legal

para firmar contratos.

11.7.1. Cumplimiento:

A pesar de que se realiza una verificación del pasado comercial del posible cliente no

se realiza una verificación rigurosa de los antecedentes del representante legal y sus

socios

11.8.

Gestión de los riesgos en los procesos

11.8.1. Cumplimiento:

No ha sido creado un cargo dentro de la organización que se encargue de gestionar los

riesgos en la organización, por lo cual no hay una matriz de riesgos que identifique por

medio de herramientas de ingeniería medir, valorar y gestionar el riesgo.

11.9.

Verificación y acción correctiva (4.5)

Durante la fase de diagnóstico VISE LTDA no cuenta con una medición del desempeño

de sus sistemas de seguridad informática y seguridad física, por ende no es fácil

determinar los aspectos en los cuales debe mejorar.

Se hace necesario diseñar y reestructurar los indicadores del Sistema de Gestión de

Seguridad en la Cadena de suministro, en particular los indicadores que están

directamente relacionados con los objetivos.

4.5.2 No se realiza una evaluación por medio de ensayos, pruebas de vulnerabilidad

con la finalidad de identificar los puntos críticos y tomar medidas preventivas para

evitar la vulneración de la seguridad en la cadena de suministro.

No se realizan ensayos de intrusión, atentado terrorista, sabotaje y contaminación en

las instalaciones de VISE LTDA verificando que las medidas implementadas son

eficaces.

No se cuenta con un procedimiento para la continuidad del negocio en caso de pérdida

de la información del servidor principal por catástrofes naturales.

11.10.

Revisión por la dirección (4.6)

El procedimiento para la revisión por la gerencia está enfocado a las normas en las

cuales actualmente la compañía está certificada, existe un cronograma anual de

revisiones y se evidencian registros de su realización.

Se modifica el procedimiento para la revisión por la dirección incluyendo los aspectos

relacionados con ISO 2800-2007 y BASC versión 4. Se recomienda hacer estas

revisiones de manera simultánea dado que son normas similares en algunos aspectos.

11.11.

Resultados del diagnóstico