NORMA VERSION 5

Cambios del Capitulo 5             LIDERAZGO

Versión 5
5.1            Liderazgo y compromiso

La alta direcció n debe ejercer y demostrar liderazgo y compromiso con respecto al SGCS BASC
al:

a)     Asumir la responsabilidad relacionada con su eficacia.

b)     Comunicar la importancia del SGCS.
c)     Asegurar que se establezca la política de gestió n en control y seguridad y los objetivos
acordes con el contexto, alcance, procesos y riesgos de la empresa.
d)     Asegurar la integració n de los requisitos en los procesos de la empresa.

e)     Promover el uso del enfoque en procesos y la gestió n de riesgos.

f)       Asegurar que los recursos necesarios estén disponibles.

g)     Promover la mejora continua.

Versión 5
5.2            Política de gestión en control y seguridad

5.2.1       Establecimiento

La alta direcció n debe establecer, documentar y respaldar la política que:

a)     Sea apropiada al alcance, contexto y riesgos de la empresa.

b)     Proporcione un marco de referencia para el establecimiento de los objetivos del SGCS
BASC.
c)     Incluya un compromiso para mantener la integridad de sus procesos, la prevenció n de
actividades ilícitas, corrupció n y soborno.
d)     Incluya un compromiso de cumplir con los requisitos legales.
e)     Incluya un compromiso de mejora continua del SGCS BASC.

5.2.2       Comunicación de la política

La política se debe:
a)     Mantener como informació n documentada.
b)     Comunicar y entender en todos los niveles de la empresa.
c)     Mantener disponible para las partes interesadas pertinentes segú n correspoonda.

Versión 5
5.3            Objetivos del SGCS BASC

La alta direcció n debe establecer, documentar, revisar y dar seguimiento a los objetivos del
SGCS BASC, los cuales deben:
a)     Estar alineados con los compromisos de la política (ver 5.2.1).

b)     Ser medibles, concretos, claros, realizables y plantear un cambio.

c)     Estar enmarcados en un período de tiempo definido.

d)     Establecer indicador(es) que evidencie(n) su avance o cumplimiento (ver 8.1).
e)     Ser comunicados en los niveles pertinentes en la empresa.
f)       Establecer las actividades y metas planificadas.
5.4            Responsabilidad y autoridad en la empresa

La alta direcció n debe establecer y documentar la responsabilidad y autoridad del personal

que tiene impacto sobre el SGCS BASC. Debe incluir las responsabilidades para:

a)     Representante de la direcció n, quien independientemente de otras funciones, debe

informar a la alta direcció n sobre el desempeñ o del sistema, asegurar que se mantiene
implementado y mejorar su eficacia continuamente.

b)     Un jefe o encargado de la seguridad.

c)     Los auditores internos.
Los líderes de los procesos (ver 4.4.e) y demá s personal involucrado.
 NORMA VERSION 6

l Capitulo 5             LIDERAZGO

Versión 6
5.1         Liderazgo y compromiso

La alta direcció n debe ejercer liderazgo y demostrar compromiso con respecto del SGCS
BASC, al:

a)     Promover la seguridad en la cadena de suministro como parte integral de su estrategia.

b)     Asumir la responsabilidad relacionada con su eficacia.
c)     Comunicar la importancia del SGCS BASC a sus partes interesadas.
d)     Establecer la política de gestió n en control y seguridad y los objetivos del SGCS BASC,
acordes con el contexto, alcance, procesos y riesgos de la empresa.
e)     Promover la integració n de los requisitos del SGCS con el propó sito de la empresa.
f)       Fomentar el uso del enfoque de procesos y la gestió n del riesgo en la cadena de
suministro.
g)     Adoptar un enfoque de supervisió n basado en el riesgo de delitos de corrupció n, lavado
de activos y financiamiento del terrorismo, para fortalecer la cultura de seguridad.
h)     Asegurar la disponibilidad de los recursos requeridos.
i)       Establecer un có digo de ética y conducta que respalde la política de control y seguridad y
otras políticas de la empresa en el marco de un buen gobierno corporativo.
j)       Promover la mejora continua en el SGCS BASC.
k)     Establecer una política de responsabilidad social que promueva elementos de prevenció n
y controles para evitar el abuso laboral, discriminació n, trabajo forzoso, trabajo infantil y
otras violaciones a los derechos humanos.

Versión 6
5.2         Política de gestión en control y seguridad

5.2.1       Establecimiento

La alta direcció n debe establecer, documentar y aprobar la política que sea apropiada al
alcance, contexto y riesgos de la empresa, que incluya el compromiso de:

a)     Proporcionar un marco de referencia para el establecimiento de los objetivos del SGCS
BASC.
b)     Mantener la integridad de sus procesos, respecto a la prevenció n de delitos de corrupció n
y soborno, lavado de activos, entre otros.
c)     Cumplir con los requisitos legales y reglamentarios.
d)     Mejorar continuamente el SGCS BASC.
e)     Promover la seguridad en el uso de tecnologías de la informació n.

5.2.2       Comunicación de la política La política se debe:

a)     Mantener como informació n documentada.
b)     Comunicar y entender en todos los niveles de la empresa.
c)     Comunicar y mantener disponible para las partes interesadas.

Versión 6
5.3         Objetivos del SGCS BASC

La alta direcció n debe establecer, documentar, revisar y dar seguimiento a los objetivos del
SGCS BASC, los cuales deben:
a)     Estar alineados con los compromisos de la política (ver 5.2.1).
b)     Ser medibles, concretos, claros, realizables y alineados a la mejora continua del SGCS
BASC.
c)     Estar enmarcados en un período definido.
d)     Establecer meta(s) e indicador(es) que evidencien su avance o cumplimiento (ver 8.1).
e)     Ser comunicados a los niveles pertinentes en la empresa.

5.4         Responsabilidad y autoridad de la empresa

La alta direcció n debe establecer y documentar la responsabilidad y autoridad del personal

que tiene impacto sobre el SGCS BASC. Debe incluir las responsabilidades para:
a)     Representante de la direcció n, quien debe conocer el SGCS BASC, informar
perió dicamente a la alta direcció n sobre el desempeñ o del sistema, asegurar que se mantiene
implementado y mejorar su eficacia continuamente. El representante de la direcció n será el
punto de contacto con el Capítulo BASC correspondiente.
b)     Un jefe o encargado de la seguridad.
c)     Los auditores internos.
Los líderes de los procesos (ver 4.4.e) y demá s personal involucrado.
 6.               PLANIF
Versión 5
6.1            Gestión de riesgos

La empresa debe mantener un procedimiento documentado para la gestió n de riesgos con base en el enfoque
en procesos; este debe incluir los siguientes elementos:
a)     Identificació n de riesgos

1.     Identificar en qué proceso(s) se presenta(n).

2.     Tener en cuenta los riesgos de los procesos de la empresa y de la cadena de suministro, con base en el
aná lisis del contexto (ver 4.1), las partes interesadas (ver 4.2), el alcance (ver 4.3) y los compromisos
establecidos en la política de gestió n en control y seguridad (ver 5.2).
b)     Análisis y evaluación de riesgos

1.     Los riesgos deben ser analizados y evaluados con base en la probabilidad de ocurrencia (frecuencia
estimada en la que el riesgo puede presentarse) e impacto (consecuencias estimadas en caso de que el riesgo
suceda).
2.     Se debe definir un método para determinar el nivel de prioridad.

c)     Establecer controles operacionales

Con base en la prioridad de los riesgos se debe establecer, documentar e implementar los métodos
adecuados, para evitar que estos se materialicen o que en el caso de que así sea, su impacto sea menor.

Versión 5
d)     Respuesta a eventos

1.     Documentar las actividades para responder en caso que se materialice un riesgo.

2.     Con base en la prioridad de los riesgos, se debe realizar simulacros y establecer criterios que permitan
determinar la eficacia de las acciones establecidas. Nota: se debe considerar en la planificación y ejecución de
los simulacros, que estos no se conviertan en un riesgo o puedan tener consecuencias negativas para la empresa.

3.     En caso de que se materialice un riesgo, se debe solicitar una acció n correctiva para asegurar que se
analizan las causas y de ser necesario que se gestione para evitar su recurrencia. Nota: el resultado de estas
acciones debe retroalimentar la gestión de los riesgos relacionados con el evento.
e)     Seguimiento

Debe establecer y monitorear indicadores que evidencien el seguimiento a la eficacia de la gestió n de riesgos.

f)       Revisiones
La empresa debe revisar los riesgos perió dicamente, al menos una vez al añ o, o cuando se identifique
cambios en el contexto, el alcance o los procesos del SGCS BASC.
g)     Comunicación

La empresa debe comunicar perió dicamente los riesgos identificados, los controles operacionales
establecidos y las actividades para enfrentar eventos en caso de que estos sucedan.
Versión 5
6.2            Requisitos legales
La empresa debe establecer un procedimiento documentado para:

a)     Identificar y tener acceso a los requisitos legales relacionados con el comercio y el alcance del SGCS BASC
(ver 4.3).
b)   Determinar la frecuencia con la que se verificará el cumplimiento.
c)     Actualizar esta informació n cuando se presenten cambios.
d)     Determinar la frecuencia con la que se verificará el cumplimiento.
e)     Evaluar el cumplimiento y aplicar las acciones que sean necesarias.
La empresa debe conservar informació n documentada como evidencia de los resultados de la evaluació n del
cumplimiento.
6.               PLANIFICACIÓN
6.               PLANIFICACIÓN
Versión 6
6.1         Gestión del Riesgo

La empresa debe establecer un procedimiento documentado para la gestió n del riesgo con base en el enfoque d
procesos y su rol en la cadena de suministro. Debe asegurar el cumplimiento e incluir los siguientes elementos:
a)     Criterios e identificació n del riesgo:
1.     Establecer los criterios que le permitan a la empresa definir los riesgos que puede asumir para alcanzar lo
objetivos del SGCS BASC.

2.     Identificar los riesgos o sus fuentes en los diferentes procesos de la empresa y la cadena de suministro, con base e
el aná lisis del contexto (ver 4.1), las partes interesadas (ver 4.2), el alcance (ver 4.3) y los compromisos establecido
en la política de gestió n en control y seguridad (ver 5.2).
b)     Análisis de riesgos:

La empresa debe establecer una metodología que permita:

1.     Determinar el nivel de prioridad del riesgo con base en los criterios establecidos.
2.     Una relacion matematica que contemple la probabilidad y consecuencia o impacto de los riesgos sobre sus
objetivos.
3.     Verificar la efectividad de los controles operacionales establecidos.
c)     Evaluación de riesgos:
La empresa debe:
1.     Comparar los resultados del aná lisis (6.1 b) y los criterios definidos (ver 6.1)
a) para apoyar las decisiones sobre el tratamiento del riesgo.
2.     Considerar si se requieren acciones adicionales, dentro de las cuales puede mantener los controles existentes
reconsiderar la metodología aplicada.
d)     Tratamiento de riesgos:
La empresa debe establecer, documentar e implementar opciones de tratamiento y controles operacionales pa
abordar el riesgo de manera eficaz, con base en la evaluació n previamente realizada.
Versión 6
e)  Respuesta a eventos:

1.     Con base en la prioridad de los riesgos y en caso de materializació n de los mismos, la empresa debe:
i.          Establecer, documentar e implementar los métodos adecuados para que el impacto sea menor.

ii.          Ejecutar planes de recuperació n de la seguridad y reactivació n / continuidad del negocio cuando aplique.

iii.          Documentar las actividades de respuesta al evento.

iv.          Aplicar acciones de mejora para asegurar que se analicen las causas, describiendo la metodología utilizada pa
evitar su recurrencia.

v.          Retroalimentar la gestió n del riesgo con las acciones y controles relacionados a los riesgos implicados.
2.     Con base en el impacto y naturaleza del evento, se deben realizar ejercicios prá cticos y/o simulacros, que permita
determinar la eficacia de las acciones establecidas.
f)  Seguimiento:
La empresa debe medir perió dicamente la eficacia de la gestió n del riesgo y establecer acciones adicionales en caso d
que se requieran.
g)  Revisiones:
La empresa debe revisar los riesgos mínimo una vez al añ o o cuando se identifiquen cambios en el contexto (ver 4.1
el alcance (ver 4.3) o los procesos del SGCS BASC (ver 4.4).
h)  Comunicación
La empresa debe comunicar perió dicamente a las partes interesadas pertinentes, los riesgos identificados, lo
controles operacionales establecidos y las actividades para enfrentar eventos en caso de que estos sucedan.

Versión 6
6.2         Requisitos legales
a)     La empresa debe establecer un procedimiento documentado para:

1.     Identificar y tener acceso a los requisitos legales y reglamentarios relacionados con el comercio aplicables
declarados en el alcance del SGCS BASC (ver 4.3).
2.     Determinar có mo estos requisitos aplican a la empresa.
3.     Actualizar esta informació n cuando se presenten cambios.
4.     Determinar la frecuencia con la que se verificará el cumplimiento.
5.     Evaluar el cumplimiento y aplicar las acciones que sean necesarias.
La empresa debe conservar informació n documentada como evidencia de los resultados de la evaluació n del
cumplimiento (ver 7.2).
relació n matemá tica que contemple la probabilidad y consecuencia
y consecuencia o impacto de los riesgos sobre sus objetivos.
 CAPITULO 7  APOYO
Versión 5
7.1            Recursos

7.1.1       Previsiones

La empresa debe determinar y proporcionar los recursos necesarios para implementar,

mantener y mejorar continuamente el SGCS BASC.

7.1.2       Personal

Laempresadebeestablecerydocumentardeacuerdoalaautoridady responsabilidad (ver 5.4):

a)     Los requisitos de competencia, incluyendo requisitos de educació n, formació n, habilidades

y experiencia, y asegurar por medio de evaluaciones perió dicas el cumplimiento de estos
requisitos. Cuando sea necesario, generar acciones

b)     Los criterios para clasificar cargos críticos.

7.1.3       Infraestructura operacional

La empresa debe establecer, proveer y mantener la infraestructura necesaria para asegurar la

eficacia de los controles operacionales (ver 6.1.c); esta infraestructura debe incluir como
mínimo:

a)     Equipo o herramienta de trabajo.

b)     Elementos de seguridad física como barreras perimetrales y controles de acceso.

c)     Elementos de seguridad eléctrica/electró nica.

d)     Elementos de seguridad de la informació n.
e)     Elementos informá ticos (hardware/software).
Versión 5
7.2            Información documentada

7.2.1       Generalidades

La documentació n del SGCS BASC debe incluir:

a)       Política (ver 5.2).

b)       Objetivos (ver 5.3).
c)       Manual de control y seguridad que contemple y describa el alcance, (ver 4.3) las
exclusiones debidamente justificadas y có mo la empresa cumple todos los requisitos de la
Norma Internacional BASC y el está ndar de seguridad aplicable.
d)       Los procedimientos y registros requeridos por la Norma Internacional BASC y el está ndar
de seguridad aplicable.

e)       Cualquier otro documento que la empresa considere necesario.

7.2.2       Control de documentos

La empresa debe establecer un procedimiento documentado para:

a)     Aprobar los documentos antes de su emisió n.

b)     Revisar perió dicamente y actualizarlos cuando sea necesario.

c)     Mantener su integridad, disponibilidad, confidencialidad y que sean recuperables.

d)     Impedir el uso de la documentació n obsoleta.
e)     Controlar los documentos de origen externo.

La empresa debe mantener un listado maestro de documentos.

7.2.3       Control de registros

La empresa debe establecer un procedimiento documentado para la identificació n,

mantenimiento, disposició n de estos registros del SGCS y asegurar que estos permanezcan
legibles, protegidos, fá cilmente identificables y recuperables. Debe establecer el período
de retenció n de los registros con base en los requisitos legales y la gestió n de riesgos, así
como las actividades para su disposició n final.
CAPITULO 7  APOYO
Versión 6
7.1         Recursos

7.1.1    Previsiones

La empresa debe determinar y proporcionar los recursos necesarios para

implementar, mantener y mejorar continuamente el SGCS BASC.

7.1.2    Personal

La empresa debe establecer y documentar de acuerdo con la autoridad y

responsabilidad (ver 5.4):

a)     Los requisitos de competencia, incluyendo requisitos de educació n, formació n,

habilidades y experiencia, y asegurar por medio de evaluaciones perió dicas el
cumplimiento de estos requisitos. Cuando sea necesario, generar acciones para
alcanzarlos y evaluar la eficacia de dichas acciones.

b)     Los criterios para determinar cargos críticos, acordes con la gestió n del riesgo.

7.1.3    Infraestructura operacional

La empresa debe establecer, proveer y mantener la infraestructura necesaria para

asegurar la eficacia de los controles operacionales (ver 6.1 d). Esta infraestructura
debe incluir como mínimo:

a)     Equipo o herramienta de trabajo.

b)     Elementos de seguridad física como barreras perimetrales y controles de acceso.
c)     Elementos de seguridad eléctrica/electró nica.
d)     Elementos de seguridad de la informació n.
e)     Elementos informá ticos (hardware/software).
Versión 6
7.2         Información documentada

7.2.1    Generalidades

La empresa debe contar con informació n documentada que evidencie el

cumplimiento de los requisitos del SGCS BASC y otros requisitos legales y
reglamentarios aplicables.
7.2.2       Manual de Control y Seguridad

La empresa debe establecer, documentar, revisar y dar seguimiento al Manual de

Control y Seguridad BASC, el cual debe contener:

1.     El contexto (ver 4.1 y 4.2) y el alcance del SGCS BASC (ver 4.3).
2.     La documentació n del cumplimiento de todos los requisitos del SGCS BASC.
3.     Exclusiones debidamente justificadas, en caso de que aplique.

7.2.3      Control de documentos

a)     La empresa debe establecer un procedimiento documentado para:

1.     Aprobar los documentos antes de su emisió n.

2.     Revisar perió dicamente y actualizarlos cuando sea necesario.
3.     Mantener su integridad, disponibilidad, confidencialidad y que sean
recuperables
4.     Impedir el uso de la documentació n obsoleta.
5.     Controlar los documentos de origen externo.

b)     La empresa debe mantener un listado maestro de documentos actualizados.

7.2.4      Control de registros

La empresa debe establecer un procedimiento documentado para:

a)     Identificar, mantener y disponer los registros del SGCS.

b)     Revisar perió dicamente y actualizar sus requisitos cuando sea necesario.

c)     Asegurar que estos permanezcan legibles, protegidos, fá cilmente identificables y

recuperables.
Establecer el período de retenció n de los registros con base en los requisitos legales
y la gestió n del riesgo, así como las actividades para su disposició n final.
 CAPUTILO 4 SEGURIDAD EN LOS PROCESOS RELACIO
Versión 5
4.2            Programa de capacitación

La empresa debe contar con un programa anual de capacitació n que incluya como mínimo:

a)     Políticas del SGCS BASC (ver norma BASC 4.2), manejo de informació n (ver 6.1), de firmas
y sellos (ver 3.3), etc.
b)     Gestió n de riesgos, controles operacionales, preparació n y respuesta a eventos.
c)     Cumplimiento de los requisitos legales relacionados con sus funciones.
d)     Impacto de las actividades individuales sobre el cumplimiento de los indicadores de
eficacia de los procesos.

e)     Aplicació n de los procedimientos del SGCS BASC.

f)       Inspecció n de unidades de carga y unidades de transporte de carga (ver 2) y seguridad en
los procesos de manejo de carga (ver 3).
g)     Prevenció n de adicciones al alcohol, drogas, juegos y otros, que incluya avisos visibles y
material de lectura.
h)     Prá cticas de prevenció n de corrupció n y soborno.
i)       Lavado de activos y financiació n del terrorismo.
j)       Prá cticas de prevenció n de conspiraciones internas y actividades sospechosas.
PROCESOS RELACIONADOS CON EL PERSONAL
Versión 6
4.2           Programa de Formación, Capacitación y Concientización

4.2.1      La empresa debe documentar y evaluar anualmente la eficacia de programas

relacionados a:

a)     Prevenció n de delitos relacionados con el comercio internacional.

b)     Prevenció n de adicciones que incluyan avisos visibles y/o material de lectura.
c)     Responsabilidad social empresarial.
d)     Prevenció n del riesgo de corrupció n y soborno.

4.2.2       Debe establecer y mantener un programa anual documentado de capacitació n

para concientizar al personal en su responsabilidad de reconocer las vulnerabilidades de la
empresa relacionadas al SGCS BASC, que incluya como mínimo:

a)     Políticas relacionadas con el SGCS BASC.

b)     Cumplimiento de compromiso social.
c)     Gestió n del riesgo, controles operacionales, preparació n y respuesta a eventos.
d)     Cumplimiento de los requisitos legales relacionados con la empresa.

e)     Evaluació n de los indicadores de gestió n relacionados con los procesos de la empresa.
f)       Inspecció n de unidades de carga y unidades de transporte de carga (ver 2) y
seguridad en los procesos de manejo de carga (ver 3).
g)     Controles de acceso y seguridad física de las instalaciones (ver 5).
h)     Manejo de sellos de seguridad (ver 2.6).
i)       Prevenció n de delitos relacionados a la ciberdelincuencia. (Ver 6).