Auditor de la certificación como OEA

Quienes operan al amparo del “Esquema de Certificación de Empresas” en la modalidad de Operador Económico Autorizado (OEA) deben auditar periódicamente el grado del cumplimiento de los requisitos en materia de seguridad en las cadenas de suministro, apoyándose en el personal adecuado “auditores”, y es precisamente sobre estas que el C.P. y Mtro. Jorge Alberto Moreno Castellanos, especialista en gestión de riesgos aduaneros, hace diversas apreciaciones sobre su marco legal, la importancia de estos entes y su funcionalidad.

Antecedentes

El Acuerdo sobre Facilitación del Comercio (Acuerdo de facilitación) del 6 de abril de 2017, establece en su artículo 7, numerales 7.1 a 7.6 las medidas de facilitación del comercio para los OEA´s.

Dicho precepto señala que para acceder a la condición de empresa certificada como OEA se podrá considerar entre otros aspectos los relacionados con:

• historial de cumplimiento normativo
• solvencia financiera, y
• seguridad de la cadena de suministro

Lo anterior sin discriminación o restricción para la participación de las pequeñas y medianas empresas.

Por otro lado, más allá de que el marco normativo actual de las Reglas Generales de Comercio Exterior –RGCE– excede por mucho lo que dispone el propio Acuerdo sobre Facilitación del Comercio de la Organización Mundial del Comercio (OMC), en especial, por el tema del cumplimiento fiscal y contable, así como por la fiscalización de los proveedores nacionales, entre otros; el propio T-MEC o USMCA prevé a su vez en el Capítulo 7 “Administración aduanera y facilitación del comercio”, en su artículo 7.14 que cada parte deberá mantener un programa de facilitación del comercio para aquellos operadores que cumplan con los criterios de seguridad, acordes al Framework of Standards to Secure and Facilitate Global Trade de la propia OMC.

Auditor de la certificación OEA

En este sentido, existe una figura en la operación y administración de la certificación en comento a la que se le ha prestado poca atención, es la figura del auditor OEA.

Para estos efectos, las propias RGCE señalan como una necesidad que las empresas certificadas efectúen auditorías preventivas periódicas bajo el enfoque de administración de riesgos, así como que las mismas sean realizadas por personal en la medida de lo posible, independiente de la actividad auditada.

Lo anterior tiene como objetivo evaluar todos los procesos en materia de seguridad en la cadena de suministros, lo cual debe llevarse a cabo mediante un procedimiento documentado.

El responsable de la administración de la certificación OEA de una empresa o el auditor OEA, no puede ser la misma persona que tenga bajo su cargo el departamento de comercio exterior y aduanas, para actuar objetivamente y sin un conflicto de intereses.

Lo antes expuesto, ya que el informe de los hallazgos del auditor OEA son un insumo importante desde una perspectiva preventiva y correctiva, para:

• acreditar que se continúa observando los estándares mínimos en materia de seguridad mediante la presentación del aviso de actualización de los perfiles, el cual se debe presentar al menos una vez al año
• de igual manera para la renovación de la certificación, su información es un insumo para la declaración, bajo protesta de decir verdad de que las circunstancias por las que se otorgó la autorización no han variado, y
• conocer las vulnerabilidades, amenazas y riesgos de la certificación como OEA, mediante un diagnóstico de evaluación y verificación de la actual operación, administración, mantenimiento y control de los 11 perfiles que integran la citada certificación

Este es un tema que la propia autoridad podría utilizar de manera similar al reporte de contador público registrado, para el de mercancías sensibles de importación temporal IMMEX. Es decir, contar con el aval de un tercero especializado sobre la observancia integral de los estándares de seguridad.

Recordemos que las empresas con registro en el esquema de certificación de empresas OEA, deben presentar un aviso de actualización de los perfiles, al menos una vez al año.

Competencias

Para estos efectos, podemos expresar las competencias del auditor OEA conforme a la ISO 19011: 2018: debe ser imparcial, integro, profesional, independiente, discreto en el manejo de información sensible y confidencial, y con enfoque basado en evidencias.

Además, debe tener la capacidad profesional de interactuar con las áreas de: logística, aduanas y comercio exterior; seguridad en sistemas; seguridad física; procesos; administración; recursos humanos; contabilidad y fiscal; gestión de riesgos; almacén, proveedores, inventarios; e investigación de incidentes.

Fortalezas y debilidades

En la práctica, algunas compañías le otorgan un mayor énfasis al perfil de la certificación OEA relacionado con la administración aduanera de la empresa; sin embargo, lo anterior vulnera la integridad como empresa certificada, en especial en aspectos de:

• gestión de riesgos
• fiscales del comercio exterior y la contabilidad aduanera
• generación de inteligencia y explotación de información
• proceso del manejo e investigación de incidentes considerando el ciclo de inteligencia: planeación, recolección, procesamiento y análisis; difusión y explotación; y retroalimentación
• seguridad física: bardas perimétricas, cantidad, ubicación, grabación y correcto manejo de CCTV, bitácoras de mantenimiento y recorridos, controles de accesos, entre otros, e
• identificación de riesgos de corrupción: actividades, puestos, proveedores y personal vulnerable, soborno, intimidación, cohecho, colusión, peculado, fraude, extorsión, encubrimiento, uso indebido de información privilegiada

Elemento estratégico

El auditor OEA debe considerar la ISO 31000: 2018 de gestión de riesgos, para coadyuvar con la empresa en:

• identificar amenazas, vulnerabilidades y riesgos a los que se encuentra expuesta la compañía, para el logro de sus objetivos
• revisar el mapa de riesgos
• verificar la determinación del riesgo residual¹
• fijar el apetito de riesgo, es decir, la propensión o límite de riesgos que la empresa está dispuesta a tolerar, de acuerdo con sus objetivos
  fomentar y orientar la mejor toma de decisiones por la alta gerencia
• convencer a los responsables de la necesidad de la mitigación de los riesgos
• coadyuvar y dar seguimiento al cumplimiento de los planes de remediación propuestos para atender las sugerencias y recomendaciones de los hallazgos de la auditoría
  identificar al inductor (causa raíz y agente generador) para la materialización del riesgo
• garantizar que los controles internos son efectivos y eficientes
• accionar alertas tempranas de manera preventiva ante una situación anormal
  blindar las operaciones de importación y exportación mediante un despacho aduanero inteligente (antes, durante y después del despacho)
• transformar el flujo logístico de mercancías en una cadena resiliente
• fortalecer el tema de control interno, y
  ser una herramienta de apoyo para el compliance de la empresa

Compliance

No puede dejarse de mencionar el complemento que representa la ISO 19600: 2015 (Sistema de gestión de cumplimiento) en la implementación, desarrollo y mantenimiento de la certificación OEA en las empresas, por lo referido a la gestión del compliance ²  dentro de la misma.

Aunado a lo anterior, el Código Nacional de Procedimientos Penales en su artículo 421 señala que las personas jurídicas son penalmente responsables, de los delitos cometidos a su nombre, por su cuenta, en su beneficio o a través de los medios que ellas proporcionen, cuando se determine que además existió inobservancia del debido control interno en la organización. Para ello, el numeral 422 del citado ordenamiento, en correlación con el Código Penal Federal establece en su artículo 11 Bis que se podrá imponer como sanción la suspensión de actividades, la clausura de locales y establecimientos de entre seis meses y seis años, entre otros; esto podrá atenuarse hasta en una cuarta parte, si con anterioridad, se contaba con un órgano de control permanente, encargado de verificar el cumplimiento de las disposiciones legales aplicables para darle seguimiento a las políticas internas de prevención delictiva.

Comité OEA

El auditor OEA tiene el papel de ser un facilitador para satisfacer las necesidades y atender las debilidades de los procesos de los auditados, ya que es un interlocutor de la situación real de la empresa con los responsables de los riesgos y la alta dirección.

Para ello, se recomienda que la compañía establezca, opere, administre y se comprometa mediante un Comité OEA en el cual tenga un papel fundamental el auditor OEA con base a las siguientes mejores prácticas:

• realización de reuniones periódicas (mensuales o bimestrales)
• discusión y análisis de los riesgos, vulnerabilidades y amenazas detectados en la empresa
• presentación y revisión de un reporte de acciones detectivas, preventivas y correctivas de seguridad, considerando: la acción a ejecutar, la prioridad (alta, media o baja), quién es responsable, los recursos requeridos, el responsable y fecha del monitoreo, el plan de trabajo y calendario de implementación, así como la frecuencia de la revisión y verificación del cumplimiento, y
• toma de acuerdos y decisiones con base en las desviaciones, hallazgos, recomendaciones y sugerencias del auditor de acuerdo con los objetivos de la empresa

Conclusiones

Finalmente, la alta gerencia de la empresa OEA es la responsable de verificar el resultado de las auditorías como tercera línea de defensa en materia de seguridad en el flujo logístico, seguro de mercancías, de las recomendaciones y su seguimiento, así como de tomar acciones correctivas, decisiones preventivas y de mejora continua.