Implementación de los 5 Pasos CTPAT para el Análisis de Riesgos
Desde su creación en 2001, el programa CTPAT ha establecido criterios para que las empresas miembros aseguren y mantengan los estándares de seguridad necesarios para proteger la cadena de suministros global. Dentro de estos criterios se encuentra el requerimiento para que cada empresa miembro realice y documente su evaluación de análisis de riesgos dentro de su cadena de suministros. Este proceso es de vital importancia, ya que permite que los miembros visualicen en qué parte de su cadena de suministros se encuentran más vulnerables, así como determinar las medidas apropiadas para mitigar los riesgos identificados.
Como parte del proceso de aplicación para la certificación en el programa CTPAT, las empresas aplicantes deben contar con un procedimiento documentado de su análisis de riesgo. Es importante mencionar que, debido a que cada empresa cuenta con un modelo de negocios único, los lineamientos presentados son sólo guías, y que cada empresa debe de establecer un procedimiento de análisis de riesgos que se ajuste a las necesidades de su modelo de negocios, en lugar de adoptar un modelo genérico externo. La falta de procedimientos documentados continúa siendo sido uno de los puntos más determinantes para que una empresa reciba un aviso de Acción Requerida, lo cual puede resultar en el ser removidos del programa.
Con el objetivo de apoyar a los Miembros para crear un procedimiento de análisis de riesgos completo y efectivo, el programa CTPAT publicó en 2010 la Guía de Análisis de Riesgos de 5 Pasos, tomando en cuenta que para CTPAT el análisis de riesgo es “analizar las amenazas externas contra los procedimientos de la compañía para identificar dónde existen vulnerabilidades, y qué procedimientos pueden ser implementados o mejorados para reducirlo”. Las empresas pueden utilizar herramientas como el ajuste en procedimientos, capacitaciones de actualización, contacto con socios comerciales para asegurarse que esas amenazas son abordadas.
El procedimiento de análisis de riesgos incluye los siguientes 5 pasos:
- Mapeo del Movimiento de Mercancía e Identificar a los Socios Comerciales – (ya sea contratados directa o indirectamente), incluyendo el modo de traslado (aéreo, marítimo, por tren o terrestre) y los nódulos (país de origen y puntos de tránsito).
- Llevar a cabo una identificación de amenazas enfocada en terrorismo, contrabando, tráfico de personas, amenazas agrícolas, crimen organizado, y aquellas condiciones que puedan generar este tipo de amenazas, estableciendo un rango de riesgo para cada una.
- Llevar a cabo una evaluación de vulnerabilidad conforme a los Criterios Mínimos de Seguridad CTPAT. Esta evaluación identifica los elementos que la empresa cuenta que pudiera ser de utilidad para un criminal o terrorista (acceso a información, mercancía, etc.), y las vulnerabilidades en los procedimientos que permitirían que se tuviera acceso a ellos.
- Preparar un plan de acción escrito para abordar las vulnerabilidades. Esto incluye mecanismos para registrar las debilidades identificadas, el/los responsables para enfrentar estas cuestiones, y fechas clave. De igual forma, es esencial reportar los resultados y acciones de seguimiento a los oficiales de la empresa y empleados pertinentes.
- Documentar el procedimiento de la realización del análisis de riesgos para incluir la revisión periódica del mismo. El procedimiento debe de ser revisado y actualizado anualmente, o tan seguido como sea necesario.
Para realizar un análisis de riesgos aún más completo, las empresas también deben de incluir las amenazas que representan factores como desastres naturales (como pérdida de energía, huracanes, terremotos) y producidos por el hombre (como disturbios civiles o actos terroristas), y los sistemas de respaldo para enfrentarse a esas vulnerabilidades. Las empresas miembros deben de contar con procedimientos documentados de reanudación de actividades para reducir el impacto de estos desastres.
A pesar de los requerimientos de seguridad, el programa CTPAT no requiere que las empresas cuenten con sistemas de tecnología de alto costo, sino que pone énfasis en el componente humano para depender en la seguridad. Debido a esto surge la importancia del proceso de selección y capacitación de seguridad al personal de cada empresa.
Acércate a los expertos en TLC Asociados para conocer más del procedimiento de análisis de riesgos que se adapte a tu empresa y la capacitación a tus empleados para mantener la certificación CTPAT.
“En TLC Asociados desarrollamos un equipo multidisciplinario de expertos en auditorías y análisis de riesgos para asesorar y promover el cumplimiento en operaciones de comercio exterior”.
Para más información o comentarios sobre esta publicación contacte a:
División de Certificaciones OEA y C-TPAT
TLC Asociados S.C.
Prohibida la reproducción parcial o total. Todos los derechos reservados de TLC Asociados, S.C. El contenido del presente artículo no constituye una consulta particular y por lo tanto TLC Asociados, S.C., su equipo y su autor, no asumen responsabilidad alguna de la interpretación o aplicación que el lector o destinatario le pueda dar.
/vc_column_text]
Since its establishment in 2001, the CTPAT program has established criteria for member companies to ensure and maintain the security standards necessary to protect the global supply chain. These criteria include the requirement for each member company to conduct and document its assessment of the risk analysis within its supply chain. This process is extremely important as it allows members to visualize where in their supply chain they are most vulnerable and to determine the appropriate measures to mitigate the identified risks.
As part of the application process for certification in the CTPAT program, applicant companies must have a documented risk analysis procedure. It is important to mention that, because each company has a unique business model, the guidelines presented are only directives, and that each company should establish a risk analysis procedure that fits the needs of its business model, rather than adopting a generic external model. The lack of documented procedures continues to be one of the most important factors for a company to receive a Notice of Required Action, which can result in removal from the program.
In order to support Members in creating a comprehensive and effective risk analysis procedure, the CTPAT program published in 2010 the 5-Step Risk Analysis Guide, taking into account that, for CTPAT, risk analysis is “analyzing external threats against company procedures to identify where vulnerabilities exist, and what procedures can be implemented or improved to reduce them”. Companies can use tools such as adjustment of procedures, update training, contact with business partners to ensure that these threats are addressed.
The risk analysis procedure includes the following 5 steps:
- Mapping the Movement of Goods and Identifying Trading Partners – (whether contracted directly or indirectly), including mode of movement (air, sea, rail or road) and nodes (country of origin and transit points).
- Conduct a threat identification focused on terrorism, smuggling, human trafficking, agricultural threats, organized crime, and those conditions that may generate these types of threats, establishing a risk range for each one.
- Conduct a vulnerability assessment in accordance with the CTPAT Minimum Security Criteria. This assessment identifies the elements that the company has that could be of use for a criminal or terrorist (access to information, merchandise, etc.), and the vulnerabilities in the procedures that would allow access to them.
- Prepare a written action plan to address vulnerabilities. This includes mechanisms for recording the weaknesses identified, the person(s) responsible for addressing these issues, and specific dates. Similarly, it is essential to report results and follow-up actions to relevant company officers and employees.
- Document the procedure for conducting the risk analysis to include periodic review of this risk analysis. The procedure should be reviewed and updated annually, or as often as necessary.
For an even more comprehensive risk analysis, companies should also include the threats represented by natural disasters (such as power loss, hurricanes, earthquakes) and man-made disasters (such as civil disturbances or terrorist acts), and the backup systems to address these vulnerabilities. Member companies should have documented business resumption procedures in order to reduce the impact of these disasters.
Despite the security requirements, the CTPAT program does not require companies to have high-cost technology systems, but rather emphasizes the human component to rely on security. Therefore, the importance of the selection process and security training for each company’s personnel arises.
Contact the experts at TLC Asociados to learn more about the risk analysis procedure that suits your company and the training of your employees to maintain CTPAT certification.
“In TLC Asociados, we develop a multidisciplinary team of experts in audits and risk analysis for consulting and ensuring compliance with foreign trade operations”.
For further information or comments regarding this article, please contact:
AEO and C-TPAT Certification Division
TLC Asociados S.C.
A total or partial reproduction is completely prohibited. All rights are reserved to TLC Asociados, S.C. The content of this article is not a consultation; therefore, TLC Asociados S.C., its team and its author do not assume any responsibility for the interpretations or implementations the reader may have.