Gestión de riesgos vs Análisis de riesgos

El C.P. y Mtro. Jorge Alberto Moreno Castellanos, Especialista en Gestión de Riesgos Aduaneros de empresas IMMEX y maquiladoras y Auditor de la Certificación OEA presenta a IDC Asesor Fiscal, Jurídico y Laboral un análisis en el que revisa los principales cambios publicados recientemente en temas de gestión de riesgos y análisis de riesgos de las empresas, asociados con la Certificación de Operador Económico Autorizado y que son de interés para los operadores del comercio exterior.

Antecedentes

El SAT difundió en el DOF del pasado 3 de agosto de 2023 el “Anexo 1 de la Tercera Resolución de Modificaciones a las Reglas Generales de Comercio Exterior (RGCE) para 2023 publicada el 25 de julio del presente en el mismo medio de difusión”. En este sentido, dicho documento da a conocer diversas modificaciones relacionadas con los formatos oficiales y requisitos del Perfil de la empresa, del agente aduanal, del auto transportista terrestre, de mensajería y paquetería, de recinto fiscalizado estratégico, de transporte ferroviario, de parques industriales, y de almacén general de depósito; para obtener y mantener el Registro en el Esquema de Certificación como Operador Económico Autorizado (OEA). Lo anterior, en armonización con la actualización de los Criterios de Seguridad del Programa C-TPAT (Customs Trade Partnership Against Terrorism). 

Para estos efectos, es importante señalar que el análisis de riesgos es el eje rector que integra y comunica todos los estándares de dicha certificación; sin embargo, el análisis de riesgo solo considera las consecuencias y la probabilidad de que una situación se materialice; mientras que la herramienta de la gestión de riesgos incluye la identificación, el análisis, la valoración de riesgos, su tratamiento, la comunicación, el reporteo y el seguimiento; a través de procedimientos y técnicas cuantitativas, cualitativas y semicuantitativas. 

Análisis de riesgo

Como parte de esta reforma y para efectos del análisis de riesgo la empresa ahora debe establecer medidas por escrito para identificar (se agregan los elementos de desarrollar y administrar una matriz de riesgos), evaluar y tratar (controles detectivos, preventivos y correctivos) los riesgos de seguridad en su cadena de suministros y en sus instalaciones, considerando aspectos como la ubicación, el tipo de mercancías, los clientes y proveedores, la contratación de personal, la clasificación y manejo de documentos, las tecnología de la información, las amenazas potenciales, entre otros. Lo anterior, para efectos de seleccionar nuevos socios comerciales y realizar el monitoreo de los actuales. 

El análisis de riesgo que realice la empresa en cuanto a sus socios comerciales (clientes y proveedores) deberá incluir riesgos relacionados con la identificación de actividades vinculadas con el lavado de dinero y la financiación del terrorismo. 

Por otro lado, hasta antes de la reforma se disponía llevar a cabo comprobaciones del personal que labora en la empresa, a partir de la citada reforma, se prevé realizar investigaciones periódicas de acuerdo con las actividades y criticidad de las funciones y puesto desempeñado, es decir, en base a un análisis de riesgo. 

En el proceso de carga y descarga de mercancías también se aplica el análisis de riesgos, ya que ahora se contempla que dichos procesos deben ser validados por el área de seguridad de la empresa, para mitigar el riesgo de contaminación (mercancía prohibida, ilícita o plagas¹). 

Aunado a que, como medida preventiva se establece la obligación de capacitar al personal del área de embarques y/o recibos en la identificación de errores en la documentación para la exportación; así como a los operadores de transporte cuando se trate de medios de transporte propio, en la identificación de envíos de carga sospechosos (lugares inusuales, rutas distintas, pagos en efectivo, prácticas inusuales, falta de información, otros). 

También se adiciona el deber de evidenciar cómo se controla o las medidas de seguridad que se tienen implementadas para mitigar el riesgo de colusión entre el personal (conductor, personal de despacho o embarque, recibo, almacén, guardias de seguridad, etc.). 

Asimismo se establece la ampliación de un mes a un año, de la obligación de preservar los historiales de ruta. 

Gestión de riesgos 

Es importante señalar como la gestión de riesgos y el Ciclo Deming que aplica en toda ISO de gestión (planeación, implementación, verificación y la mejora continua) entrelaza todos los diferentes Subestándares, por ejemplo: 

• las auditorías deben realizarse en base riesgo
• la ubicación estratégica de los sistemas de alarma, de circuito cerrado de televisión, e incluso de video vigilancia 
• las medidas de seguridad física de los controles de acceso, entre estas se pueden mencionar las bardas perimetrales, y los estacionamientos
• la selección y contratación de socios comerciales², la cual ahora debe incluir indicadores para detectar la legitimidad de clientes o proveedores, o con domicilios no localizados
• aquellos procedimientos para la identificación y el retiro de personas o vehículos no autorizados
• la recepción y revisión de mensajería y paquetería
• la contratación de personal para áreas y procesos sensibles
• la vigilancia y monitoreo de la integridad de las mercancías en la cadena de suministros
• los procesos aduaneros y las operaciones de comercio exterior
• las inspecciones de los medios de transporte o vehículos de carga, contenedores y remolques (en la entrada y salida de la empresa y/o en el punto de carga) 
• las medidas para mantener la confidencialidad e integridad de la información y documentación de la empresa
• en el traslado de mercancía y su documentación (tiempos en áreas de descanso o resguardo de vehículos de carga, transfer, entre otros) 
• proceso de carga y descarga de la mercancía (por ejemplo, ahora se tiene la obligación de tomar fotografías digitales al momento de cargar los vehículos, al igual que de la colocación del sello y/o candado de alta seguridad, según se trate) 
• en la seguridad de los sistemas de tecnología de la información, entre otros 

Comité de seguridad

La reforma incorpora la observancia de contar con un Comité de seguridad, el cual es el responsable de elaborar, actualizar y mantener el análisis de riesgo, aunado a que con dicha publicación se establece que los altos funcionarios de la empresa deben respaldar la política³ y cultura de seguridad; tal como lo recomienda la propia ISO 28000: 2022 Seguridad y Resiliencia – Sistemas de Gestión de la Seguridad – Requisitos. 

Cabe señalar que este Comité también debe programar (calendarizar) y realizar auditorías⁴ periódicas generales, a áreas o procesos específicos, considerando el nivel de riesgo. Así mismo, tiene que proporcionar y registrar las actualizaciones sobre el progreso o los resultados de la auditoría, ejercicio o validación. 

De igual manera y para garantizar los estándares mínimos de seguridad, debe llevar a cabo evaluaciones periódicas (calendario) de seguridad de los procesos e instalaciones de los asociados de negocios considerando un análisis de riesgo y priorizando a los socios más críticos. 

Con esta reforma las empresas se enfrentan al reto de estructurar, organizar, administrar y operar un Comité de Seguridad: ¿Quiénes deberían integrar este Comité?, ¿Quién debe ser el líder de este Comité?⁵, ¿Con qué periodicidad se debe reunir el mismo?, ¿Qué decisiones deberá de asumir?, ¿Hasta dónde será su responsabilidad?; estos y otros temas se deberán aclarar hacia el interior de la empresa. 

No solo se trata de aspectos de seguridad física de la empresa, sino de considerar en la gestión de riesgos aquellos factores internos y externos generadores de una disrupción en sus objetivos estratégicos. 

Plan de contingencia y/o emergencia

Mediante esta reforma se aclara la obligación de contar con un Plan de Contingencia⁶ y/o Emergencia actualizado, el cual debe abordar:

• la gestión de crisis 
• los planes de recuperación de la seguridad 
• la reanudación de labores,⁷ y
• la continuidad del negocio⁸  

Asimismo, se adiciona la observancia de considerar Protocolos de Alto Impacto, tales como: los ataques cibernéticos, el secuestro de conductor de transporte por personas armadas, el corte de energía eléctrica, las extorsiones, etc. 

Con la citada reforma, dicho Plan debe contemplar:

• la programación y realización de pruebas
• ejercicios de gabinete, y 
• simulacros anuales a escala real

Lo anterior, para qué mediante ambientes controlados de estrés, se evalúe, se verifique y se documente en un reporte de lecciones aprendidas la toma de decisiones y acciones ante una situación de crisis o disrupción en la empresa. 

Tecnologías de seguridad

De igual manera, la citada publicación considera la obligación de identificar y restringir el acceso a áreas sensibles, incluso de contar con la operación de sistemas de alarma; además del circuito cerrado de televisión y video vigilancia, y tecnologías de seguridad. Y se establece que la gerencia de la empresa debe de involucrarse en las revisiones periódicas y aleatorias de las grabaciones. 

Ahora, los sistemas de alarma y circuito cerrado de TV y video vigilancia deben de contar con una función de alarma/notificación que permita identificar una falla en su funcionamiento. 

Cabe señalar la obligación de revisar y actualizar anualmente el procedimiento documentado para la operación de los sistemas de alarma y circuito cerrado de televisión y videovigilancia, inclusive de las tecnologías de seguridad; esto, de acuerdo con un análisis de riesgo. Con la publicación en comento, toda la infraestructura de tecnología de seguridad debe contar con protección física. 

También, se debe contar con una fuente de energía alternativa para los sistemas de alarma y circuito cerrado de televisión y videovigilancia, así como de las tecnologías de seguridad; para que continúen funcionando en caso de pérdida de energía directa. 

Para los efectos del almacenamiento de la carga, dicha área debe estar monitoreada (sistemas de alarma, CCTV y video vigilancia), ser restringida y libre de contaminación visible de plagas, en el caso de embalajes de madera, como tarimas o pallets, cajas, cajones, soportes, plataformas, u otros (seguridad agrícola). 

Ciberseguridad

Se introduce el concepto de ciberseguridad⁹ para integrar la obligación de documentar procedimientos, identificar y priorizar acciones para reducir riesgos. 

Al igual que se introduce el deber de emplear tecnologías seguras (redes privadas virtuales) para acceder a la intranet, a los empleados que se encuentren fuera de la oficina y que se conecten de forma remota a la red. 

Se recomienda revisar la ISO 27005:2022, Seguridad de la Información, ciberseguridad y protección de la privacidad: directrices para la gestión de riesgos de seguridad de la información. 

Investigación de incidentes

Finalmente, se señala que las acciones correctivas derivadas de incidentes deben, además de documentarse en un expediente físico y/o electrónico, y tienen que implementarse lo más pronto posible. Los procedimientos y protocolos relacionados con el manejo e investigación de incidentes ahora deben revisarse periódicamente o mínimo una vez al año, lo cual, se debe documentar. 

En este punto de las investigaciones es importante considerar el Ciclo de inteligencia el cual comprende las etapas de: 

• planeación
• recolección
• procesamiento y análisis
• difusión y explotación, y
• retroalimentación

Es crucial tomar en cuenta que las investigaciones también tienen una perspectiva de prevención (antes de que se materialice el riesgo), para la toma de decisiones informadas; y no solo de atender hechos y situaciones pasadas. Lo que genera más valor a la empresa. 

Entrada en vigor 

Las anteriores modificaciones entrarán en vigor conforme lo siguiente: 

• empresas que, a la fecha del 25 de julio de 2023, tengan vigente su Registro en el Esquema de Certificación de Empresas modalidades de Operador Económico Autorizado o Socio Comercial Certificado, cualquier rubro, a los seis meses contados a partir de la publicación de la Tercera Resolución (25 de enero de 2024), y 
• empresas con solicitudes de Registro en el Esquema de Certificación de Empresas modalidades de Operador Económico Autorizado o Socio Comercial Certificado, en cualquier rubro, que se encuentren en trámite a la fecha del 25 de julio de 2023, a los seis meses contados a partir del día en que se otorgó su registro
• Por lo que el tiempo es muy reducido para desarrollar, documentar e implementar todas estas medidas.

Conclusiones

Una de las principales debilidades y vulnerabilidades de las empresas que cuentan con la Certificación como Operador Económico Autorizado o que pretenden certificarse, es la correcta gestión de riesgos; principalmente, porque:

• no se aplica una metodología para la identificación, evaluación y tratamiento de los riesgos 
• no se identifica y trata la causa raíz que origina la no conformidad, la desviación, vulnerabilidad, amenaza o riesgo 
• no se atiende el riesgo residual
• aunado a que no se prueba la efectividad de los controles, su monitoreo y supervisión

Para una mejor gestión de riesgos se recomienda revisar las:

• ISO 31000:2018, Gestión del Riesgo
• ISO 22301:2019 Seguridad y Resiliencia – Sistema de Gestión de Continuidad del Negocio - Requisitos, e
• ISO 28000:2022 Seguridad y Resiliencia – Sistemas de Gestión de la Seguridad – Requisitos

Finalmente, la comentada reforma no considera las mejores prácticas de otros países como Colombia, Chile, Perú, Argentina, entre otros, en donde la propia autoridad determina un Perfil de riesgo para las empresas, además, de que otras instancias del gobierno reconocen los procesos de evaluación de requisitos y condiciones de la Certificación OEA para otorgar beneficios adicionales como gobierno y no como una dependencia, como el caso de México. Lo anterior, es una recomendación del SAFE Framework of Standards de la Organización Mundial de Aduanas desde 2018. 

^{*Nota del editor: Las opiniones vertidas por los especialistas no necesariamente reflejan la ideología de la publicación}

^{1. Se adicionan disposiciones de la Secretaría de Medio Ambiente y Recursos naturales (SEMARNAT) y la NOM-144-SEMARNAT-2017}

^{2. Transportistas, agentes aduanales, almacenes, sub-maquilas, fabricantes, vendedores, proveedores de materias primas y de servicios, entre otros}

^{3. La Política de Seguridad tiene como requisito que la misma este firmada por un alto funcionario de la compañía, así como exhibirse en diversas áreas, tales como el propio sitio web de la empresa, carteles en áreas clave (recepción, embarques, recibos, almacén, entre otros), así como considerarse como parte de la capacitación. Con esta publicación se obliga a las empresas a contar con una política y un Programa de Cumplimiento Social (documentado) entre sus empleados y socios comerciales; que garantice que las mercancías nacionales e importadas no fueron extraídas, producidas o fabricadas con formas prohibidas de trabajo (forzoso, obligado, infantil), al amparo del artículo 23.6 del T-MEC}

^{4. El objetivo de una auditoría interna enfocada al Programa Operador Económico Autorizado es verificar y garantizar que los empleados sigan los procedimientos de seguridad de la empresa. El proceso de revisión no tiene que ser complejo, sin embargo, los formatos y registros que se utilicen para la aplicación de dichas revisiones deben de evidenciar que se validó la aplicación y ejecución de los procesos evaluados, además del seguimiento y cierre de acciones preventivas, correctivas y de mejora identificadas}

^{5. Muchas empresas comenten el error de que la misma persona del área de Comercio Exterior y Aduanas sea el responsable del seguimiento y cumplimiento de la Certificación OEA, lo que no propicia un ambiente de control y segregación de funciones, por lo que se recomienda que sea distinto} 

^{6. Una crisis o contingencia puede incluir la interrupción de la transmisión e intercambio de datos comerciales debido a un ataque cibernético, un incendio, el secuestro de un conductor de transporte por personas armadas, (un cierre de aduanas, una amenaza de bomba, la detección de paquetes sospechosos, el corte de energía eléctrica, el robo y/o daño de mercancías, amenazas o extorsiones, bloqueos o cierre de carreteras, entre otros}

^{7. Se reconoce como una de las aportaciones de esta reforma, lo relacionado con la Reanudación de Operaciones; es decir, como la empresa implementa procesos documentados que le permiten volver a sus operaciones normales, después de una disrupción de la continuidad del negocio. Para lo cual, se requiere un Plan de Continuidad del negocio}

 ^{8. Un sistema de gestión de continuidad de un negocio establece protocolos de actuación ante una interrupción de las actividades normales}

^{9. De acuerdo con la Asociación de Profesionales de Seguridad, ISACA (Information Systems Audit and Control Association) la Ciberseguridad es la "Protección de activos de información, mediante el tratamiento de las amenazas que ponen en riesgo la información que se procesa, se almacena y se transporta mediante los sistemas de información que se encuentran interconectados"}