Items Coso I y II

Marco teórico para el contro interno (Coso 1) y el

Qué es?
manejo integral del riesgo (Coso 2)

1- Se requiere de un auditor calificado en el manejo de

Requisitos riesgos (COSO I y COSO II)
2- Tener mapeado el proceso que se quiere certificar
 Estratégicos
Estos objetivos están relacionados con metas de alto
nivel, que están alineadas con la misión.
Caracterizándose por tener un enfoque proactivo en
lugar de reactivo. Operacionales
Efectividad y eficiencia de las operaciones de la
entidad, incluidas las metas de desempeño operativo y
Objetivos financiero, y la protección de los activos contra la
pérdida. De Reportes
Los informes financieros y no financieros internos y
externos y pueden abarcar la fiabilidad, la puntualidad,
la transparencia u otros términos establecidos por
entidades o políticas de la entidad. De Cumplimiento
Cumplimiento de las leyes y reglamentos a los que está
sujeta la entidad.

1: Demuestra compromiso con la integridad y los

valores éticos
2: Ejerce responsabilidad de supervisión
3: Establece estructura, autoridad, y responsabilidad
4: Demuestra su compromiso de reclutar, capacitar y
tener personas competentes.
5: Retiene el personal de confianza y comprometido
con la responsabilidad de control interno. 6: Especifica
objetivos relevantes
7: Identifica y analiza los riesgos
Principios 8: Evalúa el riesgo de fraude
9: Identifica y analiza cambios importantes. 10:
Selecciona y desarrolla actividades de control.
11: Selecciona y desarrolla controles generales sobre
tecnología.
12: Se implementa a través de políticas y
procedimientos. 13: Usa Información relevante.
14: Comunica internamente.
15: Comunica externamente. 16: Conduce evaluaciones
continuas y/o independientes.
17: Evalúa y comunica deficiencias.
 1. Estudiar los modelos y entenderlos
2. Evaluar el estado actual de la empresa
Fases 3. Definir un plan de implementación
4. Comunicarlo al resto de la organización

Flujogramas, Matrices de Riesgo y Control,

Documentos
Descripciones Narrativas, Manuales Cuestionarios
 Ambiente interno y de control
Establecimiento de Objetivos
Identificiacion de Eventos
Valoración de Riesgos
Controles
Respuesta al Riesgo
Actividades de Control
Información y Comunicación
Monitoreo

Hacer frente a la proliferación de data

Proceso de mejora continua Balance de inteligencia Artificial y Automatización
Administracion del costo de manejo de riesgos

Certificable (SI/NO) SI

Definición de Riesgos

Definición de Evaluación de Riesgos

 “La gestión de riesgos corporativos es un proceso
efectuado por el consejo de administración de una
entidad, su dirección y restante personal, aplicable a la
definición de estrategias en toda la organización y
Definición de Gestión de Riesgos
diseñado para identificar eventos potenciales que
puedan perjudicar a ésta, gestionar sus riesgos dentro
del riesgo aceptado y proporcionar una seguridad
razonable sobre el logro de los objetivos”.

Promueve la gestión de riesgos en todos los niveles de

la organización y establece directrices para la toma de
decisiones de los directivos para el control de los
riesgos y la asignación de responsabilidades.
Ayuda a la integración de los sistemas de gestión de
Ventajas riesgos con otros sistemas que la organización tenga
implantados
Ayuda a la optimización de recursos en términos de
rentabilidad
Mejora la comunicación en la organización
Mejora el control interno de la organización

El informe COSO establece que el control interno solo

está dirigido a cuestiones rutinarias, por lo que no se
amolda a situaciones globales.; El control interno se
mediatiza por la actitud de sus empleados, por lo que
Desventajas no resiste la ausencia de principios morales y éticos al
momento de que un tercero ejecute un robo o fraude.;
Cuando no es aplicado de forma adecuada, el control
interno puede verse afectado por los abusos de poder.
 A día de hoy, COSO, se considera como una ampliación
de lo detallado en las normas de la serie ISO 27000 ya
Consideraciones importantes que con la publicación de este informe, se pretende
llevar la gestión de la seguridad a todos los niveles de la
organización.
 SCOR

Es una herramienta para representar, analizar y configurar la Cadena de Suministro.

Sirve para crear y estandarizar y la mejora continua en procesos, conecta y
sincroniza los eslabones.

Financiero: La empresa debe comprar un paquete de membresía de la

Asocciation of Supply Chain management.
Interés: Las empresas deben estar interesadas en aplicar y promover
el arte de la administración de la Cadena de Suministro
 Sincronizar eslabones integrandolos desde la producción al cliente final;
estandarizar, crear, documentar mejora y conecta todos los procesos; gestiona,
discute y mejora rendimiento mediante indicadores; evalua compara el desempeño
de la cadena; relaciona reingenería de procesos, benchmarking e id de mejores
prácticas; interrelaciona clientes

Estructura:Processes( Procesos), People(Capital humano),

Performance(Rendimiento),Practices(Buenas prácticas)
Planificación, Aprovisionamiento, Manufactura, Distribución, Devolución, Activación

Documentar los procesos y dependencias de la cadena de suministro:

entre organizaciones, procesos y datos
Diseñar procesos internos de la cadena de suministro teniendo en cuenta
las necesidades y expectativas del cliente.
Alinear la estrategia corporativa con los procesos de la cadena de suministro.
Autocontrol por parte de las empresas, análisis de desviaciones entre el resultado
real con el patrón fijado como valor deseado

Entender el enlace: configuració, desempeño y oportunidad

- Investigar las casuas:identificacion los problemas y clasificarlos e investigar las
causa
-Identificar soluciones:buscar mejores practicas,imaginar diferentes escenarios y
elegir el mejor escenario
-Diseñar la solucion, documentar el proceso

SI

es la posibilidad de que ocurra un evento que pueda entorpecer el normal

desarrollo de las actividades de la entidad y afectar el logro de sus objetivos.

Procedimiento utilizado para determinar las prioridades de la administración

de riesgos, mediante el cual se compara el nivel de riesgo respecto de estándares
predeterminados, niveles de riesgo objetivos u otro criterio.
 Actividades coordinadas para dirigir y controlar una organización con
respecto al riesgo.

Implementación rápida y flexible, No necesita certificación ni auditoria, efectividad

de procesos, lenguaje común, movimiento de inventario y rendimiento operativo,
visión completa

No abarca funciones de finanzas ni mercadeo, no desarrolla el producto, detecta

errores pero no dice como solucionarlos, no dice donde empezar
 A nivel mundial, este modelo se emplea en muchas compañías,
por lo que es conocido como un modelo competitivo enfocado en términos de
logística.
 Código PBIP

es el codigo internacional para la protecciòn de buques puertos adoptado por la Organización

Maritima Internacional que nace como respuesta a los ataques del 9/11. En su contenido se
establecen medidas y procedimientos para prevenir actos de terrorismo que puedan poner en
peligro la integridad de los pasajeros y de la tripulación, así como atentar contra la seguridad de
los buques e instalaciones portuarias.

documentos:como el plan de protección de buque y el plan de protección de la instalación

portuaria y en personal: oficiales de protección de la instalación portuaria, oficiales de
protección del buque y oficiales de la compañía para la proteccion maritima
1. Establecer un marco internacional para la cooperación entre las diferentes partes (gobiernos,
organismos gubernamentales, administración local, sector naviero y portuario) con el fin de
detectar y evaluar las amenazas para la protección marítima y tomar medidas preventivas
2. Definir las funciones y responsabilidades respectivas de todas las partes mencionadas, tanto
a nivel nacional como internacional, para garantizar la protección marítima.
3. Garantizar que se recopila e intercambia con prontitud y eficacia información relacionada con
la protección.

Recopilar y evaluar información sobre las amenazas a la protección marítima e intercambiar

dicha información con los Gobiernos Contratantes interesados;
Exigir el mantenimiento de protocolos de comunicación para los buques y las instalaciones
portuarias
Evitar el acceso no autorizado a los buques e instalaciones portuarias y a sus zonas restringidas
Evitar la introducción en los buques e instalaciones portuarias de armas no autorizadas,
artefactos incendiarios o explosivos;
Facilitar los medios para dar la alarma cuando se produzca una amenaza para la protección
marítima o un suceso que afecte a dicha protección
Exigir planes de protección para el buque y para las instalaciones portuarias basados en
evaluaciones de la protección
Exigir formación, ejercicios y prácticas para garantizar que el personal se familiariza con los
planes y procedimientos de protección.
a
1. Elaboración y Aprobación de la Evaluación de la protección de la instalación portuaria (EPIP)
2. Elaboración y Aprobación PPIP
3. Implementación del PPIP
4. Inspección y Auditoria
5. Emisión del Certificado PBIP
6. Verificación Obligatoria Anual de Cumplimiento

planes de proteccion del buque y la instalación portuaria, declaraciones maritimas de

protección entre el buque y la instalación portuaria, certificaciones internacionales de
protección del buque
registros realizados por oficiales de la compañía de protección maritima, validaciones de los
certificados, comprobaciones de planes de protección, revisiones del buque

Evaluacion de los planes de proteccion

los planes de protección SI deben estar certificados como válidos

analisis de riesgo en todos los aspectos de las operaciones del buque y las instalaciones
portuarias para determinar cuales son los elementos mas susceptibles a un ataque para
determinar que nivel de protección necesita
promueve la cultura de la segurida, tiene protocolo para dar respesuestas, supervisa y coordina
operaciones, estandariza la seguridad y mejor infraestructura de los puertos

1. Lentitud en los procesos de trabajo

2. Puede ser costoso implementar el código PBIP
3. Más necesidad de recurso humano
4. Más procesamiento de documentación
Evaluaciones en las instalaciones portuarias
Determinación de los niveles de protección
Evaluaciones en las instalaciones portuarias
Determinación de los niveles de protección
 BASC

Es una alianza comercial internacional, creada para promover el comercio internacional seguro en
cooperación con gobiernos y organizaciones internacionales.

1. Ser una empresa legalmente constituida, que participe activamente en actividades productivas o
prestación de servicios relacionados con la cadena logística del comercio internacional o actividades
conexas.
2. Tener antecedentes comerciales y legales en su país de origen como en el exterior, que acrediten
la honestidad personal y comercial de las personas naturales y jurídicas.
3. No tener ningún antecedente criminal en su país de
origen o en el exterior.
4. Aplicar al proceso solicitud o inscripción de admisión de los Capítulos BASC de conformidad con
los lineamientos y Políticas de World BASC Organization.
1. Promover el Comercio Internacional de forma segura.
2. Incentivar una cultura de seguridad y protección en el comercio internacional.
3. Establecer y administrar el sistema de gestión en control y seguridad de la cadena logística.
4. Trabajar en coordinación con los gobiernos y organizaciones.
5. Fomentar alianzas estratégicas.
6. Generar confianza y credibilidad entre empresas y gobiernos.
7. Fortalecer cooperación entre el sector privado y gobierno.

1.Liderazgo y compromiso
2.Establecer, documentar y respaldar la política de seguridad.
3. Comunicación en todos los niveles de la empresa.
4. Establecer actividades y metas (medibles, concretas y claras).
5. Responsabilidad y autoridad en la empresa.
 1. Presentación de la solicitud y documentos exigidos a lanjunta directiva para evaluación de los
mismos.

2. En caso de aprobación, coordinacion de auditoria de seguridad para verificación de estandares

minimos exigidos por el BASC.

3. Clasificacion de la empresa como certificados o preseleccionados segun el estado de sus

operaciones

4. Aprobacion e ingreso al capitulo BASC. Certificación

5. Auditoria anual

Normas y estandares BASC, Boletines, Informes de Gestión, Comunicados internos, Procedimientos

 1. Auditoria inicial de seguridad

2. Recomendaciones de correciones de la BASC a la empresa para optar por la certificacion

3. Verificacion de aplicacion de correciones

4. Auditorias anuales para verificar el mantenimiento y mejoramiento del Sistema de Gestion de

Control y Seguridad BASC

1. Evaluación de desempeño (seguimiento, medición, análisis y evaluación)

2. Auditoría interna.
3.
Correciones
4. Acción correctiva.
5. Acciones de mejora
6. Revisión por la dirección

SÍ

Probabilidad de ocurrencia de un evento originada por la exposición a una amenaza.

Compresion y gestion de los procesos como un sistema pra contribuir a la eficacia de la empresa y el
logro de sus objetivos enfocados principalmente en mantener la integridad de la empresa y de sus
operaciones.
 Proceso sistemático y documentado para gestionar la identificación, análisis y evaluación,
tratamiento, seguimiento, actualización y comunicación de los riesgos

1. Se adquiere una cultura en seguridad con un personal orientado y enfocado.

2. Mayor compromiso y responsabilidad del personal.
3. Mayor seguridad de las instalaciones y las operaciones.
4. Mayor Control y trazabilidad de la carga.
5. Control y Registro de la documentación.
6. Reduce Costos en Seguros (al existir mayores controles, y mayor seguridad, existe menor
cantidad de incidencias, logrando reducir las primas de seguros.
7. Optimización de los recursos de la compañía.
8. Reduce Penalizaciones y daños a la carga al existir mayor
control y seguridad.

1.Gran inversion de recursos como tiempo y dinero para cumplir con los parametros establecidos.

2. Dificultad de aceptacion en el proceso de aplicacion que puede producir perdidas de dinero

3. Costos altos de personal calificado y complementos de seguridad requeridos por la norma

 1. Las empresas certificadas BASC son identificadas con un código único e irremplazable que las
reconoce por alcanzar los requisitos y cumplimiento del sistema de gestión en Control y seguridad
BASC.
2. Ya son 4034
empresas que han sido certificadas
 OEA

Es un programa gratuito y voluntario. Su objetivo es fortalecer la seguridad de la

cadena de suministros internacional a través del establecimiento de un programa de
certificación que acredite que las empresas adscritas cumplen con un estándar que
garantiza la seguridad de sus procesos y operaciones comerciales.

1. Auto evaluación inicial: todo los interesados en adquirir la certificación pueden,

descargar el formulario de autoevaluación de la pagina web de la ANA para hacer las
autoevaluaciones.
2. Condiciones previas sobre existencia, registro y licencias de los interesados: en
este apartado se pide que las empresas que cuenten con al menos 5 años
consecutivos realizando actividades de comercio exterior, deben ser personas
naturales o jurídicas pero panameñas y comercialmente activas, presentar
documentos que prueben todo lo anterior.
3. Historial Satisfactorio Aduanero, tributario y judicial: Aquí básicamente se busca
corroborar de que la entidad que este buscando aplicar para la certificación tengan
un buen historial con la Aduana y otras autoridades.
4. Viabilidad Financiera Acreditada: en este punto lo que se buscar es corroborar
que la actividades financieras y comerciales de las entidades en busca de la
certificación, estén al día y correctas.
5. Gestión administrativa, contable y de logística adecuada: este punto esta
relacionado con el anterior ya que lo que se busca es que las entidades que quieran
la certificación , cumplan con una buena gestión administrativa en conjunto.
6. Medidas de protección y de seguridad: ya por ultimo es básicamente que se
cuente con todos los sistemas de seguridad integrales que debe tener cualquier
empresa y mas la de logísticas
 • Garantizar la seguridad en la cadena logística.
• Aumentar la previsibilidad de las operaciones de Comercio Exterior.
• Facilitar la gestión integrada de las cadenas logísticas para todos los modos de
transporte.
• Fortalecer la cooperación entre las administraciones de Aduanas y con otros
organismos en su lucha contra el fraude.
• Facilitar el comercio legítimo mediante cadenas logísticas seguras y acuerdos de
colaboración entre las aduanas y el sector privado.

Los principios de este pilar son: asociación, seguridad, autorización, tecnología,

comunicación y facilitación.

El marco promueve la aplicación de principios básicos:

a. Información electrónica segura y anticipada sobre los envíos destinados al

interior, al exterior o que están en tránsito
b. Implementación de un servicio fortalecido de análisis de riesgos para abordar
temas relacionados con seguridad, enfrentar las posibles amenazas y controlar los
riesgos
c. Inspección de la carga de alto riesgo; uso equipos de inspección no intrusiva
d. Cumplimiento de las normas mínimas de seguridad en la cadena de suministro e
implementación de mejores prácticas.
1.Documento de certificación de viabilidad financiera 2. Documento de solicitud de
certificado 3.Documento de autoevaluación
 1. Control de acceso fisico 2. Identificación de los colaboradores 3. visitantes o
proveedores 4. Automoviles, medios de transporte de carga 5. Control de revision al
ingreso y salida

Autoevaluación inicial: se realiza al momento que se quiere llevar A cabo la

certificación. -Medición de la repercusión de la mejora: abarca los monitoreos,
revalidaciones y vigencias de la certificación OEA. -Toma de consideración de los
resultados obtenidos en la revisión: abarca las prórrogas, suspención y cancelación
de la certificación OEA.

Sí

Sucesos o eventos adversos que impiden el normal desarrollo de las actividades de

una empresa y que pueden llegar a representar repercusiones económicas para la
misma.

Proceso que se realiza periodicamente en una empresa con el objetivo de identificar

prosibles riesgos y asegurarse de que, los riesgos producidos anteriormente aun se
encuentran cubiertos.
 Compromiso de utilizar un planteamiento constante de gestion de riesgo para
afrontar las amenazas contra la seguridad

1. Los Operadores certificados obtienen beneficios en materia de control y

simplificación de trámites que pueden traducirse en mejoras de competitividad y
nuevas oportunidades de crecimiento.
2. El poder elegir lugar de inspección
3. Menor numero de controles físicos y documentales
4. Reconocimiento a otras empresas como socio comercial que garantiza seguridad
y protección.
5. Mejora la relación con la administración aduanera y otras autoridades de
gubernamentales

1. Alta inversión en la Auto Evaluación Inicial

 El acuerdo de reconocimiento mutuo es el mecanismo que permite que los
beneficios otorgados en el país al contar con una certificación OEA sean reconocidos
por otros países con los que se tiene el acuerdo.
 ISO 9001
Es la base del sistema de gestión de la calidad. Es una norma
internacional que se centra en todos los elementos de la
gestión de la calidad con los que una empresa debe contar para
tener un sistema efectivo que le permita administrar y mejorar
la calidad de sus productos o servicios.

Los requisitos para obtener y mantener la certificación:

1. Documentación: La empresa debe documentar los
procesos, establecer políticas de calidad, manuales y
procedimientos.
2. Organización: Se debe analizar y revisar periódicamente
las necesidades y expectativas de las partes involucradas e
identificar con afectan en el sistema de gestión de calidad.
3. Recursos: Se deben proporcionar los recursos para
implementar y mantener el sistema de gestión de calidad,
aumentar la satisfacción al cliente y gestionar el ambiente de
trabajo.
4. Producción o servicios: Garantizar una comunicación
adecuada con el cliente, planificar y controlar el desarrollo del
producto o servicios.
5. Medición, análisis y mejora continua: Se deben realizar
auditorías interna anual mínimo sobre la implementación del
sistema de gestión de calidad, para verificar que se cumplen
con los requisitos establecidos y mantener acciones para la
mejora continua en toda la organización.
• Incrementar la satisfacción al cliente.
• Ser coherente con la estrategia de negocios de la
organización.
• Establecer mecanismos de medición y control sobre los
objetivos de calidad específicos.
• Ser relevante para la conformidad del producto o servicio.

Principios de gestión:
1. Enfoque al cliente
2. Liderazgo
3. Participación del personal
4. Enfoque basado en proceso
5. Mejora
6. Enfoque basado en hechos para la toma de decisión
7. Gestión de la relación
1. Recopilación de información y entrevistas al personal
implicado
2. Desarrollo de la información documentada, donde se
recogerán los procesos y operaciones
3. Implantación. Adaptar los procesos a las exigencias de la
norma.
4. Auditoría interna.
5. Auditoría de certificación

• Alcance de la Calidad: 3 determinación del alcance del

Sistema de Gestión de la Calidad.
• Política de Calidad: 5.2.1 desarrollo de la política de
calidad.
• Objetivos de Calidad: 6.2 objetivos de calidad y
planificación para alcanzarlos.
• Criterios para la evaluación y selección de proveedores:
8.4 procesos de control a los productos y servicios
proporcionados externamente.
El control de procesos en ISO 9001:2015 implica determinar los
controles que se aplican a los procesos, los servicios y los
productos que se suministran de forma externa, sobre todo en
los siguientes casos: • Cuando los productos o los servicios de
los proveedores, van a ser incorporados a la fabricación de los
productos de la organización.

• Cuando los servicios y los productos son suministrados de

forma directa, por los proveedores o por los clientes a nombre
de la organización.

•Cuando existen procesos suministrados por proveedores

externos, como resultado de decisiones de la organización.

Es un requisito ineludible para garantizar la sostenibilidad de la

empresa en el tiempo. Se propone la implementación del ciclo
de Deming (Planificar, Hacer, Verificar, Actuar), ya que
cualquiera estrategia de mejora continua de contener estos
puntos.

SI

Efecto de la incertidumbre. El efecto de no comprender o

desconocer un evento, su consecuencia o su probabilidad.

Es el procedimiento que debemos llevar a cabo para identificar los

elementos o los factores que tienen la posibilidad de generar
riesgos (u oportunidades) que afecten en forma negativa (positiva)
la operación de la organización.
Es aquel proceso mediante el cual pretendemos prever de
forma sistemática los posibles problemas que puedan ocurrir
en la organización.

• Mejora sustancial en la satisfacción de los clientes

• Eficiencia en los procesos o actividades de la Empresa.
(Mejora de Costes)
• Monitorizar y medir de forma eficaz todos los procesos.
• Reducen las incidencias
• Mejora de la comunicación interna y externa.

• Alto costo en la implementación del sistema.

• La inversión de gran tiempo en el camino de la
certificación.
• El difícil cambio de mentalidad y actitud de los
colaboradores.
El enfoque de la nueva norma ISO 9001:2015 se basa en tres
pilares fundamentales: la gestión del riesgos, el Sistema de
Gestión de calidad (SGC) y la estructura funcional de la
empresa, poniéndose el acento en la interconexión y las
relaciones existentes entre estos tres elementos
La ISO 9001 es la norma que más aceptación tiene a nivel
mundial se mantiene con una presencia en 201 países,
alcanzando la cifra de 1.106.356 certificados en todo el mundo
y que en ocasiones empresas exigen está certificación para
realizar negocios.
ISO 28000

es un conjunto de estándares desarrollados por Organización

Internacional de Normalización (ISO), que proporcionan un
marco de gestión de la seguridad de la cadena de suministro
alineados con los objetivos de negocio

1. La organización debe establecer, documentar,

implementar, mantener y mejorar continuamente un
sistema de gestión de la seguridad.
2. Se debe mejorar continuamente su sistema de gestión de
seguridad.
3. Se debe definir el alcance de su sistema de gestión de la
seguridad.
4. Se debe controlar los procesos con empresas externas.
1. Ayudar a las organizaciones a identificar las amenazas a la
seguridad de la cadena de suministro.
2. Prevenir la interferencia en las cadenas de suministro de
amenazas a la seguridad.
3. Establecer un marco común y general para todos los que
integren la cadena de suministro.
4. Proteger la carga, evitar los daños/robos en la misma y
asegurar que llegue al siguiente involucrado en la cadena

1. Identificar: las distintas fuentes de perturbación en el

conjunto de la cadena de suministro.
2. Cuantificar: cada uno de los factores de riesgo, es decir,
estimar con modelos la probabilidad de ocurrencia de los
factores causantes de cada factor.
3. Evaluar el riesgo: determinar, cuantitativa o
cualitativamente, las consecuencias del riesgo
4. Decidir: la política de riesgos a aplicar en cada caso,
impedir el riesgo, reducirlo a un nivel razonable, transferirlo
a otra organización o soportarlo.
5. Actuar: poner en práctica las medidas preventivas
correspondientes.
Fase 0: organización e inicio del proyecto y definición del
alcance.
Fase 1: diseño del sistema de gestión de seguridad de la
cadena de suministro (SGSCS) y política de seguridad.
Fase 2: evolución de los riesgos de seguridad.
Fase 3: planificación de la seguridad.
Fase 4: implementación y operación.
Fase 5: evaluación del SGSCS
Fase 6: autonomía del SGSCS
Fase 7: revisión del SGSCS por la dirección y mejora continua

1. Manual de gestión del sistema de la seguridad en la

cadena de suministro. En este documento se incluye la
Política de Seguridad de la Organización.
2. Manual de procedimientos.
3. Programas de gestión de la seguridad en la cadena de
suministro.
4. Instrucciones de trabajo.
5. Registros
Control de docuemntos y datos: solo individuos autorizados
pueden tener acceso a los documentos, deben estar
disponibles las versiones actuales, documentos obsoletos
deben ser archivados si son importantes.
Control operacional: Se deben identificar y planificar las
operaciones necesarias para alcanzar el cumplimiento con la
política, objetivos, metas, nivel requerido de seguridad,
requisitos legales.

La ISO 28000 se basa en el ciclo de mejora continua del

sistema de gestión de la seguridad, identificando las
amenazas, evaluando los riesgos y controlando y mitigando
sus consecuencias.
Utiliza el ciclo de Deming.

Si

Probabilidad de materialización de una amenaza a la

seguridad y sus consecuencias.

Estimación de la probabilidad de la aparición de escenarios

de amenaza y las consecuencias resultantes.
Actividades y prácticas sistemáticas y coordinadas a través
de las cuales una organización gestiona de manera óptima
sus riesgos y las amenazas e impactos potenciales asociados.

1. Reducir los riesgos

2. Mejora la evaluación de riesgos de seguridad
3. Optimiza los procesos y asegura la cadena de la
orgnización
4. Reduce incidentes por pérdidas o daños a la mercancía
5. Mejora y asegura la calidad
6. Mejora la imagen y la credibilidad de la organizacuón
1. Las organizaciones certificadas por la ISO 28000,
demuestran que están contribuyendo de forma significativa
en la seguridad del suministro en la cadena de custodia.
2. Elimina los gastos asociados con múltiples certificaciones
de seguridad en la cadena de suministro. 3. La implantación
de ISO 28000 asegurara a las partes interesadas la seguridad
de la cadena de suministro y el cumplimiento con los
requisitos de AEO o OEA, CTPAT, TAPA, BASC etc.
 ISO 31000 ISO 27000

ISO 31000 es la norma internacional para la Gestión

Conjunto de estándares
de Riesgos. Al proporcionar principios y Guía
internacionales sobre la Seguridad
exhaustivos, esta norma ayuda a las organizaciones en
de la Información. Esta contiene un
sus análisis y evaluaciones de riesgos. Mediante la
conjunto de buenas prácticas para
implantación de los principios y Guía de la norma ISO
el establecimiento, implementación,
31000 en las organizaciónes, podrá mejorar la eficacia
mantenimiento y mejora de
operativa, gobernanza y la confianza de las partes
Sistemas de Gestión de la Seguridad
interesadas, al mismo tiempo que minimiza cualquier
de la Información (SGSI).
posible pérdida.

1. Una identificación y clasificación

que van asociados al activo o al tipo
• Crear y proteger el valor_x000D_
• Estar integrada en los procesos de una
organización_x000D_
información
• Formar parte de la toma de decisiones_x000D_
• Tratar explícitamente la incertidumbre_x000D_
• Ser sistemática, estructurada y adecuada_x000D_
• Basarse en la mejor información
disponible_x000D_
• Estar hecha a medida_x000D_
• Tener en cuenta factores humanos y
culturales_x000D_
• Ser transparente e inclusiva_x000D_
• Ser dinámica, iterativa y sensible al
cambio_x000D_
• Facilitar la mejora continua de la
organización_x000D_
controles implementados asociados
de los activos de información de la
organización según sus requisitos
para la seguridad de la información
de información que manejan
2. Realizar una evaluación de
riesgos para la seguridad de la
identificados para cada
activo de información
3. Implementar un plan de
tratamiento de riesgos de forma
ponderada teniendo en cuenta los
resultados de la evaluación de
riesgos
4. implementar los controles
seleccionados para minimizar los
riesgos inaceptables
5. Medir los resultados de la
implantación de los controles
6. Evaluar la efectividad de los
a los activos de información
7. Proponer planes de mejora para
nuevos activos o riesgos
identificados, así como para los
controles que lo necesiten
 • Ayudar a las organizaciones de todo tipo y
tamaño a gestionar el riesgo con eficiencia._x000D_
• Ser consciente de lo necesario que es identificar y
tratar el riesgo en todas las partes de la
La protección de los activos de
empresa_x000D_
información en una organización
• Mejorar la prevención contra las pérdidas y el
manejo de los incidentes_x000D_
• Generación de valor_x000D_

1. Creación y protección del valor_x000D_

2. Integrada_x000D_
3. Estructurada y exhaustiva_x000D_
4. Adaptada_x000D_
Confidencialidad
5. Inclusiva_x000D_
Integridad
6. Dinámica_x000D_
Disponibilidad
7. Mejor información disponible_x000D_
8. Factores humanos y culturales _x000D_
9. Mejora continua_x000D_
 Definición de la política de gerencia de riesgos. Se
debe poner un especial énfasis en la necesidad de un
compromiso e involucración por parte de la alta
dirección.
Identificación y análisis de riesgos. Se debe crear un
listado de posibles riesgos clasificados en función de:
su naturaleza, sujeto activo, actividad empresarial y
posibles daños. 1. Definir la Política
Evaluación de los riesgos. Se valoran los riesgos según 2. Definir el alcance del SGSI
su probabilidad de ocurrencia (frecuencia) y el 3. Análisis de riesgos
impacto que ocasionarían (intensidad). 4. Gestión de riesgo
Control y reducción de riesgos. Se trataría del 5. Selección de controles a
conjunto de medidas orientadas a eliminar o reducir implementar
el impacto de los riesgos empleando medidas de: 6. Declaración de aplicabilidad
prevención, protección, control de calidad y planes de 7. Revisión del sistema
contingencia. 8. Auditoría interna
Administración de recursos. Conjunto de recursos y
medidas dirigidas a que la empresa se encuentre
siempre en condiciones de afrontar cualquier riesgo
que se le presente, incluyendo la asignación de
funciones a todas las personas implicadas en su
gestión.

Políticas de seguridad
Procesos de seguridad
Instrucciones técnicas de seguridad
Registros y evidencias
Es importante tener revisiones periódicas que harán Preventivos
saber y entender si los planes de acción  que se han Detección
implementado en cada uno de los riesgos son los Correctivos
correctos._x000D_ Alternos o de compensación

Planificar:
-Definir la politica de seguridad
-Establecer el alcance de SGSI
-Realizar el analisis de riesgo
-Seleccionar los controles
-Definir competencias
-Establecer un mapa de procesos
-Definir competencias
-Establecer un mapa de procesos
-Definir autoridades y
responsabilidades
Hacer:
___ -Implantar el plan de gestion de
riesgos
-Implantar el SGSI
-Implantar los controles
Controlar:
-Revisar internamente el SGSI
-Realizar auditorias internas del SGSI
-Poner en marcha indicaciones
metricas
No, solo la norma ISO 27001 es la
No es Certificable -Hacer única norma depor
una revision parte de la
la familia
direccion
certificable sobre los
Efecto de la incertidumbre
objetivos. Actuar:
Un efecto es una
-Adoptardeacciones
desviación correctivas
lo esperado - positivo
-Adoptar acciones de mejora
o negativo. La incertidumbre es el
Efecto de la incertidumbre sobre los objetivos estado, incluso parcial, de la
deficiencia de la información
relacionada, la comprensión o el
conocimiento de un evento, su
consecuencia o probabilidad.
Proceso de comparar los resultados
Es un proceso dinámico, sistemático y repetitivo que del análisis de riesgo con los
pretende identificar, calificar y evaluar las amenazas a criterios de riesgo para determinar
las que está expuesta una organización, con el fin de si el riesgo y / o su magnitud es
tomar las acciones necesarias para eliminar, mitigar, aceptable o tolerable. La evaluación
compartir o tratar los riesgos. de riesgos ayuda en la decisión
sobre el tratamiento de riesgos.
 Es el proceso de identificar, analizar y responder a Actividades coordinadas para dirigir
factores de riesgo a lo largo de la vida de un proyecto y controlar una organización con
y en beneficio de sus objetivos. respecto al riesgo

1. Mejorar de forma proactiva la eficacia operativa y

la gobernanza_x000D_
2. Generar confianza entre las partes interesadas
con el uso de técnicas de riesgos_x000D_
3. Aplicar controles de sistemas de gestión para
analizar riesgos y minimizar posibles pérdidas_x000D_
4. Mejorar el desempeño y resiliencia de los
sistemas de gestión_x000D_
5. Responder a los cambios de forma eficaz y Facilita la integracion de los
proteger su empresa mientras crece_x000D_ sistemas de gestión, debido a que es
_x000D_ una estructura de alto nivel, donde
_x000D_ los terminos y definiciones ayudan a
_x000D_ implentar.

Los requisitos son un tanto mas

--- dificil para interpretar, debido a los
nuevos conceptos.
 En la Estructura para la toma de
decisiones, de manera general,
puede agrupar las necesidades y
puntos de vista de los integrantes
de la organización como usuarios,
administradores, auditores,
especialistas en seguridad y de otras
areas como la parte jurídica,
recursos humanos, TI o de gestión
de riesgos.
 ISO 22301 Unificación de criterios grupal
La norma ISO 22301 especifica requisitos para planificar,
establecer, implantar, operar, monitorizar, revisar, mantener y
mejorar continuamente un sistema de gestión documentado para
prepararse, responder y recuperarse de eventos que generan
interrupciones, cuando estos ocurren._x000D_
_x000D_

1. Liderazgo imprescindible de la alta dirección

2. Promover un enfoque a procesos
3. Evaluación, gestión y tratamiento del riesgo, como elemento
clave.
4. Acciones para riesgos y oportunidades, como elemento clave.
5. Asegurar el cumplimiento de todos los requisitos legales.
6.La importancia de la gestión de la continuidad del negocio debe
comunicarse dentro de la organización._x000D_
7. Proporcionar la formación necesaria a los
colaboradores._x000D_
8. Estrategia de recuperación, planes de recuperación y realización
de pruebas._x000D_
1. Tomar en cuenta el nivel mínimo de productos y servicios que
es aceptable para que la organización alcance sus
objetivos._x000D_
2. Ser medibles._x000D_
3. Tomar en cuenta requisitos aplicables._x000D_
4. Ser controlados y actualizados, según sea apropiado._x000D_

Resumen de los principios: Implantar y desarrollar la continuidad

del negocio dentro de las organizaciones proporcionando
confianza en las relaciones entre empresario-empresario y
empresario-consumidor. Sirve para garantizar a las partes
interesadas que las organizaciones están preparadas y cumplen
con todos los requisitos (del cliente, reglamentarios e internos).
Dentro de los principios estan: Planificación del proyecto,
evaluación de riesgos, análisis de impacto al negocio (BIA),
desarrollo de estrategias de continuidad, desarrollo del plan,
ejercicios y mantenimient de planes, concientización y
capacitación.

Lista de requisitos legales, normativos y de otra índole.

Alcance del SGCN
Política de la Continuidad de Negocio
Objetivos de la Continuidad de Negocio
Evidencia de competencias del personal
Registros de Comunicación con partes interesadas Análisis del
impacto en el negocio (BIA)
Evaluación de riesgos, incluido un perfil de riesgo.
Estructura de respuesta a incidentes
Planes de continuidad de negocio
Procedimientos de recuperación
Resultados de acciones preventivas
Resultados de supervisión y medición
Resultados de la auditoría interna
Resultados de la revisión por parte de la dirección
Resultados de acciones correctivas
Actualizar los dispositivos de respaldo de la información o duplicar
las comunicaciones de voz con una de sus principales sedes.
Contar con un centro alternativo.
Externalizar parte de su infraestructura, especialmente la dedicada
a la venta on-line, disponiendo de un centro de respaldo
independiente.
Contratación de seguros.

Contratación de empresas de
seguridad.
Mantener copias de seguridad de la información.
Mantenimiento de listas de proveedores alternativos.
Almacenamiento de productos críticos en ubicaciones alternativas.

Si lo es, Tras llevar a cabo la implantación de un Sistema de

Gestión de Continuidad de Negocio
 La norma ISO 22301 amplia el ciclo de Deming, convirtiendolo de
un modelo tradicional a un Sistema de Gestión para la Continuidad
de Negocio. Este sistema abarca procedimientos para todo los
procesos de la empresa considerados como clave para que esta no
deje de funcionar en medio de cualquier situación. Dicha
certificación es considerada clave, en crisis como la actual.
Observaciones