LISTA DE CHEQUEO CUMPLIMIENTO NORMA SISTEMA DE GESTION Y CONTROL DE SEGURIDAD BASC V6

Codigo: Fecha: Version: 1 Pagina 1/3

Auditoria realizada por: Fecha de auditoria:

NORMA DESCRIPCCIÓN DOCUMENTO C/NC/NA HALLAZGOS /ACCION

a)La empresa debe establecer un procedimiento documentado para analizar el entorno e identificar los
factores originados por el contexto interno y externo, que son aplicables para su propósito, la planificación
estratégica y los objetivos del SGCS BASC, considerando los elementos que tengan impacto sobre su rol en
Procedimiento Planeacion estrategica
4.1. Comprensión de la la cadena de suministro y el comercio.
4.1 Fornato Contexto de la organización
empresa y de su contexto b)Debe tener en cuenta todos los aspectos que puedan afectar sus actividades y las de sus partes
interesadas, permitiendo la mejora contínua de sus operaciones.
Adicionalmente, debe realizar el seguimiento y revisi´pon de la información sobre estos factores, mínimo una
vez al año y cuando sea pertinente.

La empresa debe:
4.2.Comprension de las a)Determinar las partes interesadas que son pertinentes al SGCS BASC.
Formato Necesidades y expectativas de las
necesidades y espectativas 4.2 b)Indentificar sus necesidades y expectativas.
partes Interesadas
de las partes interesadas c)Realizar el seguimiento y revisión sobre partes interesadas y sus requisitos, mínimo una vez al año y
cuando sea pertinente.

La empresa debe determinar y documenatr el alcance aplicable al SGCS BASC. Incluyendo:

4.3 Determinacion del a)Todos los servicios, procesos y actividades relacionados al rol de la empresa en la cadena de suministro y
4.3 Manual del SGCS
alcance otras actividades comerciales identificadas en el contexto (ver 4.1).
b)Limites físicos y ubicados de la empresa, incluyendo las instalaciones y otras sedes a considerar.

La empresa debe establecer un procedimiento documentado para identificar todos los procesos y elementos
declarados en el alcance (ver4.3), que incluya:
a)Las entradas y las salidas de sus procesos
b)La secuencia e interacción de sus procesos (por ejemplo, mapa de procesos).
c)El objetivo y alcance del proceso
Manual de procesos
4.4 Enfoque de procesos 4.4 d)Indicadores de desempeño necesarios para evidenciar la eficacia y el control de sus procesos (ver 8,1)
Matriz de riesgos
e)Los recursos necesarios para estos procesos y asegurarse de su disponibilidad (ver 7,1,1)
f)La responsabilidad y autoridad para sus procesos (ver 5,4)
g)Los riesgos relacionados con sus procesos (ver 6,1)
h)Detrrmianr la eficacia de la mejora continua de los procesos con relación al SGCS BASC, cambios en el
contexto o cuando considere necesario.

La alta dirección debe ejercer y demostrar comrpromiso con respecto del SGCS BASC, al:
a)Promover la seguridad en la cadena de suministro como parte integral de su estrategia.
B)Asumir la responsabilidad relacionada con su eficacia.
C)Comunicar la importancia del SGCS BASC a sus partes interesadas.
d)Establecer la política de gestión en control y seguridad y los objetivos del SGCS BASC, acorde con el
contexto, alcance, procesos y riesgos de la empresa.
e)Promover la integración de los requisitos del SGCS con el propósito de la empresa.
f)Fomentar el uso del enfoque de procesos y la gestión del riesgo en la cadena de suministro.
Codigo de etica y conducta
5.1 Liderazgo y compromiso 5.1 g)Adoptar un enfoque de supervisión basado en el riesgo de delito de corrupción, lavado de activos y
Politicas de responsabilidad social
finaciamiento del terrorismo, para fortalecer la cultura de seguridad.
h)Asegurar la disponibilidad de los recursos requeridos.
i)Establecer un código de ética y conducta que respalde la política de control y seguridad y otras políticas de
la empresa en el marco de un buen gobierno corporativo.
j)promover la mejora contínua en el SGCS BASC.
k)Establecer una política de responsabilidad social que promueva elementos de prevención y controles para
evitar el abuso laboral, discriminación, trabajo forzoso, trabajo infantil y otras violaciones a los derechos
humanos.

Establecimiento
La alta dirección debe establecer, documentar y aprobar la política que sea apropiada al alcance, contexto y
riesgos de la empresa, que incluya el compromiso de:
a)Proporcionar una marco de referencia para el establecimiento de los objetivos del SGCS BASC.
Objetivos del SGCS
5.2.1 b)Mantener la integridad de sus procesos, respecto a la prevención de delitos de corrupción y soborno,
Politica de SGCS
lavado de activos, entre otros.
5.2 c)Cumplir con los requisitos legales y reglamentarios.
Política de Gestión de control d)Mejorar continuamente el SGCS BASC.
y seguridad e)Promover la seguridad en el uso de tecnologías de la información.

Comunicación de la política
La política se debe:
5.2.2 a)Mantener como información documentada. Comunicar politica del SGCS
b)Comunicar y entender en todos los niveles de la empresa.
c)Comunicar y mantener disponible para las partes interesadas.

La alta dirección debe establecer, documentar, revisar y dar seguimiento a los objetivos del SGCS BASC, los
cuales deben:
a)Estar alineados con los compromisos de la política (ver 5,2,1)
5.3 Objetivos del SGCS
5.3 b)Ser medibles, concretos, claros, realizables y alineados a la mejora continua del SGCS BASC. Comunicación de objetivos
BASC
c)Estar enmarcados en un periodo definido
d)Establecer meta(s) e indicador(es) que evidencien su avance o cumplimiento (ver 8,1)
e)Ser comunicados a los niveles pertinentes en la empresa.

La alta dirección debe establecer, documentar, la responsabilidad y autoridad del personal que tiene impacto
sobre el SGCS BASC, Debe incluir las responsabilidades para:
a)Representante de la dirección, quien debe conocer el SGCS BASC, informar periodicamente a la alta
dirección sobre el desempeño del sistema, asegurar que se mantiene implementado y mejorar su eficacia
5.4 Responsabilidad y Carta de responsabilidad y autoridad
5.4 continuamente. El representante de la dirección será el punto de contacto con el Capítulo BASC
autoridad de la empresa
correspondiente.
b)Un jefe o encargado de la seguridad.
c)Los auditores internos.
d)Los líderes de los procesos (ver 4.4.e) y demás personal involucrado.

La empresa debe mantener un procedimiento documentado para la gestión de riesgos con base en el
Procedimiento Gestion del riesgo
6.1 enfoque en procesos y su rol en la cadena de suministro debe asegurar el cumplimiento e incluir los
Matriz de riesgos
siguientes elementos:
 Criterios e identificación del riesgo:
1)Establecer los criterios que le permitan a la empresa definir los riesgos que puedan asumir para alcanzar
los objetivos del SGCS BASC. Procedimiento Gestion del riesgo
a
2)Identificar los riesgos o sus fuentes en los diferentes procesos de la empresa y la cadena de suministro, Matriz de riesgos
con base en el análisis del contexto (ver 4.1), las partes interesadas (ver 4,2), el alcance (ver 4,3) y los
compromisos establecidos en la política de gestión en control y seguridad (ver 5,2)

Análisis de riesgo:
La empresa debe establecer una metodología que permita:
1)Determinar el nivel de prioridad del riesgo con base en los criterios establecidos. Procedimiento Gestion del riesgo
b
2)Una relación matemática que contemple la probabilidad y consecuencia o impacto de los riesgos sobre sus Matriz de riesgos
objetivos.
3)Verificar la efectividad de los controles operacionales establecidos.

Evaluación del riesgo:

La empresa debe:
1)Comaparar los resultados del análisis (6,1 b) y los criterios definidos (ver 6,1 a) para apoyar las desiciones Procedimiento Gestion del riesgo
c
sobre el tratamiento del riesgo. Matriz de riesgos
2)Considerar si se requiere acciones adicionales, dentro de las cuales puede mantener los controles
existentes o reconsiderar la metodología aplicada.
6.1 gestión de riesgos
Tratamiento del riesgo:
Procedimiento Gestion del riesgos
d La empresa debe establecer , documentar e implementar opciones de tratameinto y controles operacionales
Matriz de riesgos
para abordar el riesgo de manera eficáz, con base en la evaluación previamente realizada.

Respuesta a eventos:
1)Con base en la prioridad de los riesgos y en caso de materialización de los mismos, la empresa debe:
Establecer, documentar e implementar los métodos adecuados para que el impactos sea menor.
Ejecutar planes de recuperación de la seguridad y reactivación / continuidad del negocio cuando aplique.
Documentar las actividades de respuesta al evento.
e Plan de continuidad de negocio
Aplicar acciones de mejora para asegurar que se analicen las causas, describiendo la metodología utilizada
para evitar su recurrencia.
Retroalimentar la gestión del riesgo con las acciones y controles relacionados a los riesgos implicados.
2)Con base en el impacto y natiraleza dele vento, se deben realizar ejercicios práctivos y/o simulacros, que
permitan determinar la eficacia de las acciones establecidas.

Seguimiento:
Procedimiento Gestion del riesgo
f La empresa debe medir periodicamente la eficacia de la gestión del riesgo y establecer acciones adicionales
Matriz de riesgos
en caso de que requieran.
Revisiones:
Procedimiento Gestion del riesgo
g La empresa debe revisar los riesgos mínimo una vez al año o cuando se identifiquen cambios en el contexto
Matriz de riesgos
(ver 4,1), el alcance (ver 4,3) o los procesos del SGCS BASC (ver 4,4).
Comunicación
La empresa debe comunicar periódicamente a las partes interesadas pertinéntes, los riesgos identificados, Procedimiento Gestion del riesgo
h
los controles operacionales establecidos y las actividades para enfrentar eventos en caso de que estos Matriz de riesgos
sucedan.
La empresa debe establecer un procedimiento documentado para:
1)Identificar y tener acceso a los requisitos legales y reglamentarios relacionados con el comercio aplicables y
declarados en el alcance del SGCS BASC (ver 4,3)
Gestion de Requisitos legall
a 2)Determianr cómo estos requisitos aplican a la empresa.
Matriz legales
3)Actualizar esta información cuando se presenten cambios.
6.2 Requisitos legales 4)Determianr la frecuencia con la que se verificará el cumplimiento.
5)Evaluar el cumplimiento y aplicar las acciones que sean necesarias.

La empresa debe conservar información documentada como evidencia de los resultados de la evaluación del
b Matriz legales
cumplimiento (ver 7,2)

Previsiones
7,1,1 La empresa debe determinar y proporcionar los recursos necesarios para implementar, mantener y mejorar Manual de procesos
continuamente el SGCS BASC.

Personal
La empresa debe establecer y documentar de acuerdo con la autoridad y responsabilidad (ver5,4): Procedimiento de Selección, vinculacion y
a)Los requisitos de competencia, incluyendo requisitos de educación, formación, habilidades y experiencias, y desvinculacion del personal
7,1,2
asegurar por medio de evaluaciones periódicas el cumplimiento de estos requisitos. Cuando sea necesario, Evaluacion de desempeño del personal
generar acciones para alcanzarlos y evaluar la eficacia de dichas acciones. Cargos criticos
b)Los criterios para determinar cargos críticos, acordes con la gestión del riesgo.
7.1 Recursos

Infraestructura operacional
La empresa debe establecer, promover y mantener la infraestructura necesaria para asegurar la eficacia de
Procedimiento Control de infraestructura y
los controles operacionales (ver 6,1 d). Esta infraestructura debe incluir como mínimo:
acceso
a)Equipo o herramienta de trabajo
7,1,3 Procedimiento Tecnologias de informacion
b)Elementos de seguridad física como barreras perimetrales y controles de acceso.
c)Elementos de seguridad eléctrica y electrónica .
d)Elementos de seguridad de la información.
e)Elementos informáticos (hardware/software)

Generalidades
7,2,1 La empresa debe contar con información documentada que evidencie el cumplimiento de los requisitos del Manual del SGCS
SGCS BASC y otros requisitos legales y reglamentarios aplicables

Manual de Control y Seguridad

La empresa debe establecer, documentar, revisar y dar seguimiento al Manual de Control y Seguridad BASC,
el cual debe contener:
7,2,2 Manual del SGCS
1)El contexto (ver 4,1 y 4,2) y el alcance del SGCS BASC (ver 4,3).
2)La documentación del cumplimiento de todos los requisitos del SGCS BASC.
3)Exclusiones debidamente justificadas, en caso de que aplique.

Control de documentos
a)La empresa debe establecer un procedimiento documentado para:
7.2 Información documentada 1)Aprobar los documentos antes de su emisión.
2)Revisar periodicamente ya ctualizarlos cuando sea necesario.
7,2,3 Procedimiento control documentos
3)Mantener su integridad, disponibilidad, confidencialidad y que sean recuperables
4)Impedir el uso de la documentación obsoleta
5)Controlar los documentos de origen externo.
b)La empresa debe mantener un listado maestro de documentos actualziados.

Control de registros
La empresa debe establecer un procedimiento documentado para:
a)Identificar, mantener y disponer los registros del SGCS.
7,2,4 b)Revisar periódicamente y actualizar sus requisitos cuando sea necesario. Procedimiento Control registros
c)Asegurar que estos permanezcan legibles, protegidos, fácilmente identificables y recuperables.
d)establecer el periodo de retención de los registros con base en los requisitos legales y la gestión del riesgo,
así como las actividades para su disposición final.
8.1 Seguimiento, medición, La empresa debe contar con información documentada que evidencie el cumplimiento de los requisitos del
8.1 Lista de cheque de cumplimiento de la norma
análisis y evaluación SGCS BASC y otros requisitos legales y reglamentarios aplicables

La empresa debe establecer un procedimiento documentado para desarrollar un clico de auditoria interna a
intervalos planificados (como minimo un ciclo anual dentro del periodo de validez de la certificacion), que
permita determinar si el SGCS BASC:
8.2.1 a) Es conforme con: Procedimiento Auditorias internas
1. Los requisitos determinados por la empresa.
2. Los requisitos de la Norma Internacional BASC y el Estandas de Seguridad, aplicable
b) Esta implementado, mejora continuamente y se mantiene de manera eficaz.

Programa de auditoria interna

La empresa debe establecer un programa de auditoria interna para auditar todos los procesos que conforman
8.2.2 Programa de auditorias
el SGCS BASC, su enfoque y periocidad debe ajustarse a la madurez del sistema, resultados anteriores,
importancia y criticidad de los procesos identificados en la gestion del riesgo.

8.2 Auditorias internas Selección y evaluacion del equipo auditor

a) Las auditorias internas al SGCS BASC, las debe realizar un equipo de auditorias competentes,
idependientes a los procesos auditados y formados a travez de los Capitulos BASC. Este debe ser propio de Auditores internos BASC
8.2.3 la empresa, con el fin de garantizar la continuidad del sistema y el seguimiento de los resultados obtenidos en Evaluacion de auditores
los procesos de auditoria.
b) Debe evaluar el desempeño de los auditores, como minimo una vez al año, para evidencia sus
competencias.

Plan de auditoria
8.2.4 La empresa debe documentar en su plan para la auditoria interna, el objetivo, alcance, criterios, Plan de auditoria
responsables, agenda y el equipo auditor.

Resultados de la auditoria
8.2.5 La empresa debe documentar el resultado de las auditorias, registrando, cuando aplique, fortalezas, Informe de Auditoria
oportunidades de mejora, no conformidades y observaciones y comunicarlo a los niveles pertinentes.

La alta direccion debe revisar el SGCS BASC a intervalos planificados (minimo una vez al año dentro del
periodo de validez de la certificacion) y debe incluir:
Evidencia sobre los elementos de entrada:
a) Cumplimiento de acuerdos documentados en revisiones anteriores.
b) Los cambios en:
1. El contexto y el alcance.
2.Las necesidades y expetactivas de las partes interesadas
Procedimiento de Revision gerencial
8.3.1 3. La gestion del riesgo
Acta de revision gerencial
c)La informacion sobre el desempeño del SGCS BASC, incluidas las tendencias relativas a:
8,3 Revisión por la dirección 1.Los requisitos legales y reglamentarios
2.Los resultados alcanzados en la evaluacion de desempeño
3.Los resultados de las auditorias internas
4.Los resultados de las acciones correctivas
5.El resultado de la mejora
d) Asignacion de los recursos

Elementos de salida
Los elementos de salida de la revision por la direccion deben incluir las conclusiones sobre la eficacia y las Revision gerencial
8.3.2
desiciones relacionadas a la mejora continua del SGCS BASC (ver9). La empresa debe cosrvar informacion Acta de revision gerencial
documentada como evidencia de los resultados de las revisiones por la direccion.

La organización debe mejorar continuamente el SGCS BASC, considerando los resultados del seguimiento,
9.1 Generalidades 9.1 evaluacion, analisis y medicion del sistema, asi como el resultado de la revision por la direccion, con la Procedimiento Acciones de mejora
finalidad de determinar las acciones y recursos necesarios para la mejora.

Cuando se identifique un evento o hallazgo que requiere atencion inmediata, la empresa debe desarrollar las
acciones correspondientes para eliminar los efectos no deseados.
9.2 Correccion 9.2 Accion de mejora
Debe mantener registros de dichas correcciones y de su eficacia para determinar si se requiere acciones
adicionales.

La empresa debe establecer un procedimiento documentado para la gestion de las acciones correctivas y
aplicarlo cuando se identifiquen no conformidades. Se deben considerar los siguientes aspectos:
a) Registrar las no conformidades
Accion de mejora
9.3 Accion correctiva 9.3 b) Desarrollar un analisis de las causas
Tabla de estado de acciones de mejora
c)Determinar e implementar las acciones correspondientes para eliminar estas causas, incluyendo las fechas
limites y los responsables.
d) Verificar la eficacia de las acciones tomadas.

La empresa debe determinar, registrar y dar seguimiento periodico a las obervaciones y oportunidades de
Registro de observaciones y oportunidades
9.4 Acciones de mejora 9.4 mejora e implementar las acciones necesarias para lograr los resultados previstos, fortalecer su sistema y la
de mejora
gestion del riesgo.

TOTAL REQUERIMIENTOS
 LISTA DE CHEQUEO CUMPLIMIENTO NORMA SISTEMA DE GESTION Y CONTROL DE SEGURIDAD BASC V6
Código: Fecha: Versión:

Auditoria realizada por: Fecha de auditoria:

ESTANDAR DESCRIPCCIÓN DOCUMENTO C/NC/NA

La empresa debe establecer un procedimiento documentado para la selección, evaluación, contratación y sensibilización de
asociados de negocio respecto al SGCS-BASC, con base en la gestión del riesgo, la debida diligencia y la legislación vigente.
Procedimiento Gestión Comercial
Debe incluir:
Procedimiento Gestión Proveedores y compras
a)El nivel de criticidad con base en la Gestión de riesgo.
Procedimiento Transporte terrestre
b)Evidencia del cumplimiento de los requisitos legales de sus asociados de negocio
Formato evaluación de clientes
c)Evidencia de la certificación BASC (autenticidad del certificado). En caso de no contar con esta, mantener evidencia de otras
Formato Validación de acuerdos de seguridad asociado de
1.1 Gestión de los Asociados certificaciones o iniciativas de seguridad vigentes y reconocidas internacionalmente por una autoridad aduanera (CTPAT,
1,1,1 negocio
de Negocios Operador Económico Autorizado) y otros entes, que constituyan evidencia de cumplimiento de criterios de seguridad aceptables.
Matriz Listado de clientes documentación de los clientes
En caso de no contar con estas certificaciones o iniciativas de seguridad, la empresa debe suscribir acuerdos de seguridad.7
Rut, cámara de comercio, estados financieros, cedula,
d)Cumplimiento de los acuerdos de seguridad mediante una verificación, mínimo una vez al año
acuerdos, etc.
e)Lista actualizada de los asociados de negocio
documentación de los clientes Rut, cámara de comercio,
f)Lineamientos de capacitación que incluyan prácticas de prevención de delitos en el comercio internacional y de corrupción y
estados financieros, cedula, acuerdos, etc.
soborno.
g)Evidencia de datos de los beneficiarios finales, de acuerdo con la legislación vigente.

La empresa debe establecer un procedimiento de acuerdo con la legislación vigente, para prevenir el lavado de activos,
financiamiento del terrorismo y otros delitos relacionados con el comercio internacional. La empresa debe nombrar un
Manual SIPLAFT ( Sistema para la Prevención y Control
responsable del cumplimiento de estos procedimientos. Este procedimiento debe incluir:
del Lavado de Activos, Financiación del Terrorismo y
1,2,1 a)Conocimiento de sus asociados de negocios, que incluya: identidad y legalidad de la empresa, socios y representantes.
financiamiento de la proliferación de armas de destrucción
b)Antecedentes legales, penales y financieros teniendo en cuenta las listas nacionales e internacionales
masiva)
c)Reporte oportuno a las autoridades competentes cuando se identifiquen operaciones sospechosas (ver 3.7)
d)Verificación de pertenecía a gremios o asociaciones reconocidos.
1.2 Prevención de lavado de
activos y financiación del
terrorismo El procedimiento documentado para la selección de los asociados de negocios (ver 1.1) debe, con base en la gestión de riesgos,
debe contemplar como mínimo los siguientes factores (señales de alerta) para la identificación de operaciones sospechosas:
a)Origen y destino de las operación de comercio.
b)Frecuencia de las operaciones Valor y tipo de mercancía
Formato evaluación de clientes
1,2,2 c)Valor y tipo de mercancía
Revisar Circular 170
d)Modalidad de la operación de transporte
e)Forma de pago de la transacción
f)Inconsistencias en la información proporcionada por los asociados de negocio
g)Requerimiento que salen de lo establecido

Debe establecer procedimientos documentados con base en la gestión del riesgo y su rol en la cadena de suministro, para
establecer los controles operacionales que permitan proteger las unidades de carga y unidades de transporte de carga contra la a) área de cargue
introducción de personas y materiales no autorizados. La empresa debe: b)Procedimiento de Cargue de mercancías, Formato
a)Identificar áreas para la realización de las inspecciones Inspección de contenedor / vehículo
2,1 Generalidades 2.1 b)Definir criterios para inspeccionar las unidades y rechazarlas cuando corresponda c) Inspección antes del cargue
c)Inspeccionar las unidades al entrar y salir de las instalaciones y antes de realizar el proceso de cargue f)Procedimiento Gestión de desviaciones operativas
d)Establece los controles necesarios para mantener la integridad de las unidades
e)Mantener registros de las inspecciones realizadas y del personal involucrado
f)Notificar a las partes interesadas pertinentes y autoridades competentes en caso de incidentes (ver 3.7)

Las inspecciones debe incluir como mínimo, tanto en el interior como en el exterior, los siguientes puntos:
Pared frontal
Lado izquierdo
Lado derecho
Piso
Techo
Puertas (mecanismo de cierre)
2,2 Inspecciones a las
2.2 Exterior y bastidor (vigas desde la pared frontal hasta las puertas) Inspección de contenedor / vehículo
unidades de carga
Sistema de refrigeración (si aplica) y sus compartimientos accesibles.
Para tráiler, inspeccionar adicionalmente:
Pata mecánica
Llantas, parachoques y luces
Placa del patín (estructura de fijación del pin que ingresa en la quinta rueda)
Para otras unidades de carga (por ejemplo, unidades de carga aérea), se debe efectuar una inspección que considere otros
puntos y elementos de riesgo identificados.

Esta inspección debe cubrir como mínimo los siguientes puntos:

Para plataformas, chasis y similares
Pata mecánica
Llantas, parachoques y luces
Placa del patín (estructura de fijación del pin que ingresa en la quinta rueda)
Verificar puntos de anclaje (4 pines) o seguro del tráiler al contenedor
Inspección del generador para carga refrigerada (si aplica)
Para camiones (Tractores / cabezales)::
Parachoques, luces, llantas ya ros
puertas y compartimientos de herramientas y mecanismos de bloqueo
Caja de batería
Filtro de aire.
Tanques de combustible y agua
2.3 Inspecciones a las
Compartimiento del interior y piso de la cabina y litera
unidades de transporte de 2.3 Inspección de contenedor / vehículo
Sección de pasajeros y techo de la cabina.
carga
Para furgones
Pared frontal
Lado izquierdo
Lado derecho
Piso
Techo
Puertas (mecanismo de cierre)
Exterior y bastidor (vigas desde la pared frontal hasta las puertas)
Sistema de refrigeración (si aplica) y sus compartimientos accesibles.
Para otras unidades de transporte de carga, se debe efectuar una inspección que considere los puntos anteriores y cualquier
otro elemento de riesgo identificado

Se deben limpiar las unidades de carga antes del proceso de cargue y garantizar que estas son inspeccionadas para evitar la
2.4 Prevención de contaminación visible por plagas, restos de desechos, residuos y otros materiales, incluyendo elementos naturales como insectos
contaminación cruzada y 2.4 y roedores. Inspección de contenedor / vehículo
seguridad agrícola a)Si se encuentra contaminación durante la inspección, se debe proceder de acuerdo con la normatividad vigente.
b)Se debe conservar información documentada de este proceso y la eficacia de su aplicación.

2.5 Trazabilidad de las

unidades de carga y La empresa debe establecer un procedimiento documentado para evidenciar la trazabilidad de la unidad de carga o unidad de Procedimiento de Transporte terrestre
2.5
unidades de transporte de transporte de carga durante la custodia y mantener los registros correspondientes. Procedimiento Consola de seguridad
carga
 La empresa debe:
a)Establecer un procedimiento documentado para registrar, controlar y manipular los sellos de seguridad para las unidades de
carga y transporte de carga en sus operaciones. Este procedimiento debe estar basado en la gestión de riesgos e incluir, como
mínimo, los controles necesarios para mantener la integridad y trazabilidad del sello en toda la cadena de custodia.
b)Autorizar la gestión de los sellos únicamente a colaboradores designadas y capacitados
c)Almacenar los sellos en lugares seguros, resguardados y con control de acceso limitado.
d)Instalar un sello de alta seguridad como cumpla como mínimo con los requisitos de la norma ISO17712 a todas las unidades de
Instructivo Control de precintos
2.6 Sellos de seguridad 2.6 carga con destino internacional cuando sea necesario durante sus operaciones o ruta
Formato Inventario de Precintos
e)Utilizar para los destinos locales sellos como mínimo de tipo indicativo
f)Contar con registro fotográficos o fílmicos que evidencien la manipulación de los sellos antes, durante y después de sus
operaciones.
g)Verificar el inventario de sellos de acuerdo con las operaciones de la empresa.
h)Documentar y reportar a las autoridades pertinentes y partes interesadas cuando estos hayan sido comprometidos,
reemplazados o ante cualquier incidente que comprometa su integridad, siguiendo los lineamientos establecidos para la
comunicación de actividades sospechosas o eventos críticos (ver 3,7)

La empresa debe, con base en la gestión de riesgo:

a)Establecer los controles necesarios durante la ruta para mantener la integridad de las unidades de carga y las unidades de
transporte de carga, propios o subcontratados, manteniendo registros.
b)Establecer y verificar rutas predeterminadas que incluyan el tiempo de tránsito estimado, zonas críticas, cruces fronterizos,
2.7 Control de ruta 2.7 lugares de parada y descanso autorizados. Procedimiento de control de rutas
c)Contar con un sistema de geolocalización o GPS, que permita la trazabilidad y monitoreo durante la ruta.
d)Documentar y reportar a las autoridades pertinentes y partes interesadas ante cualquier incidente o actividad sospechosa
detectada, siguiendo los lineamientos establecidos para la comunicación de actividades sospechosas o eventos críticos (ver 3,7)
e)Identificar unidades de transporte y conductores autorizados por la empresa antes que reciban o entreguen la carga.

La empresa debe establecer procedimientos documentados que contemplen los parámetros y criterios de seguridad aplicados en
3.1 Parámetros y criterios 3.1 los procesos de manejo de la carga y otros procesos identificados, de acuerdo con el alcance establecido en el SGCS BASC, la Procedimiento de Transporte terrestre
gestión de riesgo y su rol en la cadena de suministro.

Debe establecer un procedimiento documentado para gestionar el manejo, custodia, almacenamiento, control, disposición y
3.2 Control de materia prima, revisión de: Procedimiento de control de pallet
material de empaque y 3.2 Materia prima Procedimiento recepción cargue de materias primas de
embalaje Materiales de empaque y embalaje, incluyendo pallets (tarimas o similares) empaque De planta
Residuos, desechos y sobrantes que afecten la seguridad de las operaciones de la empresa.

Debe establecer un procedimiento documentado para el manejo y control de precursores químicos y sustancias controladas, de
conformidad con los requisitos legales y la gestión del riesgo. Debe incluir:
3.3 Precursores químicos y a)Control, manejo y almacenamiento durante la custodia
3.3 Percusores químicos excluidos en el manual
sustancias controladas b)Registros de su uso e inventario.
c)Responsables de su manipulación.
d)Vigencia de las autorizaciones legales aplicables.

Debe establecer un procedimiento documentado para:

a)Mantener registros que identifiquen el personal involucrado en el proceso de manejo de la carga.
a)Registros que involucran despachos y transporte
b)Separar y proteger el área de carga, descarga y almacenamiento.
b)Área exclusiva para un cliente, con acceso restringido
c)Verificar que los elementos corresponden a lo indicado en las listas de empaque, facturas comerciales y otra información
3,4 Controles en el manejo c)Registros que involucren despachos y transporte
3.4 documentada que aplique.
de la carga d)Cámaras de seguridad en andenes
d)Mantener un registro fotográfico o fílmico del proceso (antes, durante y después). Estos registros deben permanecer
e)Sellos de seguridad, GPS, custodias.
disponibles, basados en la gestión del riesgo y legislación local vigente.
e)Asegurar la carga con elementos de protección que permitan mantener su integridad y trazabilidad, antes, durante y después
del proceso de cargue y mientras se mantenga la custodia de esta.

Debe establecer un procedimiento documentado para el manejo y control de la carga y su documentación, al ingreso o salida de Procedimiento de Cargue de mercancías
3,5,1
las instalaciones. Procedimiento de Transporte terrestre

La empresa debe:
3,5 Procesamiento de a)Verificar la coherencia de la información trasmitida a las autoridades, de acuerdo con la registrada en los documentos de la
información y documentos de operación de la carga.
la carga Procedimiento de Cargue de mercancías
3,5,2 b)Asegurar que la información documentada relacionada a la gestión de la carga sea legible, completa, precisa y protegida
Procedimiento de Transporte terrestre
contra las modificaciones, pérdida o introducción de datos erróneos.
c)informar oportunamente a las partes interesadas pertinentes el manejo de la carga durante su custodia.
d)Mantener los registros que evidencien la trazabilidad de la carga de acuerdo con su responsabilidad en la cadena de custodia.

Debe establecer un procedimiento documentado para gestionar todos los casos relacionados con discrepancias relacionadas con
3,6 Novedades con la carga 3.6 la carga, el material de empaque, embalaje, residuos, desechos y sobrantes que afecten la seguridad de las operaciones de la Gestión de desviaciones operativas
empresa.

Debe establecer un procedimiento documentado para comunicar oportunamente a las autoridades competentes y partes
interesadas involucradas cuando ocurran actividades sospechosas o eventos críticos que puedan afectar la integridad de las
3,7 Comunicación de operaciones definida en el alcance del SGCS BASC, asegurando el cumplimiento de la legislación vigente. La empresa debe:
actividades sospechosas o 3.7 a)Documentar la información relacionada con las gestiones realizadas. Gestión de desviaciones operativas
eventos críticos b)Hacer una evaluación y análisis posterior con el fin de generar las acciones pertinentes para su tratamiento.
c)Formar y capacitar permanente al personal para identificar o reconocer actividades sospechosas que se relacionen con sus
funciones.

Debe establecer un procedimiento documentado para todos aquellos procesos operativos identificados en el alcance del SGCS
3,8 Controles en los procesos BASC. Estos deben contemplar:
Procedimiento de Cargue de mercancías
operativos no relacionados 3.8 a)Criterios adecuados para mitigar los riesgos y su impacto en esos procesos.
Procedimiento de Transporte terrestre
con la carga b)Todas las evidencias necesarias para la trazabilidad en los proceso, a fin de poder identificar las potenciales desviaciones en
caso de que se presenten.

La empresa debe establecer con un procedimiento documentado, con base en la gestión del riesgo y la legislación vigente, que
regule las siguientes actividades.
Selección del personal
La empresa debe verificar y analizar en el proceso de selección:
Procedimiento Selección, vinculación y desvinculación del
a)Información suministrada por el candidato.
personal
b)Referencias laborales y personales.
4.1.1 Resultados de revisión de antecedentes
c)Antecedentes de los candidatos que ocuparán cargos críticos.
Resultados de pruebas de alcohol y droga
d)Las competencias requeridas para el cargo determinadas por la empresa.
Informe de visita domiciliara
e)Los resultados de:
Pruebas de confiabilidad
Pruebas para detectar el consumo de alcohol y drogas ilícitas.
Visitas domiciliarias

Contratación del personal

La empresa debe:
b) actas de entregas de uniformes reposan en seguridad.
a)Mantener un archivo fotográfico actualizado del personal e incluir un registro de huellas dactilares y firma.
C)Actas de entrega de equipos y herramientas de trabajo
b)Expedir y controlar la entrega y uso de carné de identificación con áreas de acceso determinadas y uniformes con distintivos
d)Código de ética y conducta y políticas de compromiso
de la empresa, en casos de que aplique.
4,1,2 social
4,1 Procedimiento para la c)Documentar la entrega de los recursos de seguridad que disponga la empresa, asociados al desempeño del cargo.
e)PPT de inducción a todo el personal donde se realiza la
gestión del personal d)Registrar la entrega del código de ética, conducta y políticas de compromiso social de la empresa al colaborador
entrega de el código de ética y políticas
e)Incluir en el proceso de inducción el compromiso con el SGCS BASC.
f)Perfiles de cargo
f)Definir requisitos de seguridad asociados al perfil del cargo, para todos los cargos críticos determinados por la empresa y
cuando se presenten cambios
 Administración del personal
La empresa debe:
a)Actualizar los datos del personal al menos una vez al año.
a) Base de datos actualizada del personal
b)Verificar los antecedentes del personal que ocupa cargos críticos, como mínimo una vez al año.
b) Base de datos con resultados de la verificación de
c)Aplicar pruebas para detectar el consumo de alcohol y drogas al personal que ocupa cargos críticos, como mínimo cada dos
antecedentes
4,1,3 años o cuando se presenten sospechas.
c)Prueba de alcohol y drogas por muestreo
d)Realizar una visita domiciliaria al personal que ocupa cargos críticos, basada en la gestión del riesgo y las regulaciones locales,
d)Base de datos de visita domiciliaria
mínimo cada dos años.
e)credenciales
e)Expedir y actualizar el carné de identificación con fotografía, de acuerdo con los procedimientos de la empresa.
f)Evidenciar el uso adecuado de los recurso de seguridad que disponga la empresa, asociados al desempeño del cargo.
g)Evidenciar el cumplimiento del código de ética, conducta y política de compromiso social de la empresa.

Terminación de la vinculación laboral

La empresa debe:
a)Eliminar el acceso a las instalaciones y tecnologías de la información de la empresa. a) Base de datos de personas desvinculadas
4,1,4
b)Retirar el carné de identificación, uniformes y demás recursos de seguridad en base en los registros generados en la entrega c)correo de comunicación
de éstos.
c)Comunicar a las partes interesadas pertinentes la desvinculación del colaborador, con base en la gestión del riesgo
La empresa debe documentar y evaluar anualmente la eficacia de programas relacionados a:
a)Prevención de delitos relacionados con el comercio internacional.
Plan anual de capacitación
4,2,1 b)Prevención de adicciones que incluyan avisos visibles y/o material de lectura
Registros de capacitación / evaluación
c)responsabilidad social empresarial.
d)Prevención del riesgo de corrupción y soborno

Debe establecer y mantener un programa anual documentado de capacitación para concientizar al personal en su
4.2 Programa de Formación, responsabilidad de reconocer la vulnerabilidad de la empresa relacionadas al SGCS BASC, que incluya como mínimo:
Capacitación y s)Política relacionadas con el SGCS BASC.
Concientización b)Cumplimiento de compromiso social.
c)Gestión de riesgo, controles operacionales, preparación y respuesta a eventos.
d)Cumplimiento de los requisitos legales relacionados con la empresa. Plan anual de capacitación
4,2,2
e)Evaluación de los indicadores de gestión relacionados con los procesos de la empresa Registros de capacitación / evaluación
i)Inspección de unidades de carga y unidades de transporte de carga (ver2) seguridad en los procesos de manejo de carga (ver
3)
g)Controles de acceso y seguridad física de las instalaciones (ver 5)
h)Manejo de sellos de seguridad (ver 2.6)
i)Prevención de delitos relacionados a la ciberdelincuencia (ver 6)

La empresa debe establecer un procedimiento documentado para los controles de acceso de los colaboradores, visitantes y
terceros, que incluya las siguientes actividades:
Control de infraestructura y acceso
Acceso de colaboradores
5.1.1 a) Listados de accesos autorizados
a)Identificación positiva
b) Áreas restringidas con biométrico o llaves
b)Controlar su ingreso a las instalaciones
c)Restringir el acceso a las áreas críticas determinadas por la empresa.

Acceso a visitantes, contratistas y terceros:

a)Solicitar autorización para su ingreso.
b)Presentar identificación oficial vigente con fotografía.
c)Mantener un registro del ingreso y salida de personas
5,1,2 b)Formato control de visitantes
d)Registrar, con base en la gestión de riesgos, los elementos que ingresan a las instalaciones.
e)Entregar y controlar una identificación temporal.
5,1 Control de acceso y
f)Asegurar que estén acompañados o controlados por personal de le empresa.
permanencia en las
g)Limitar el acceso a las áreas autorizadas para su visita.
instalaciones
Inspeccionar el correo y paquetes recibidos antes de distribuirlos, manteniendo un registro que incluya la identificación de quien
5,1,3 Formato Control correspondencia
recibe y a quién está destinado.
5,1,4 Inspeccionar los vehículos que entren y salgan de su instalación, conservando los registros correspondientes
Acceso a autoridades y vehículos de atención a emergencias de acuerdo con el plan y preparación de respuestas a eventos o
5,1,5 b)Formato control de visitantes
cuando amerite.
Mantener el control operacional en las instalaciones, que incluya:
a)Exhibir el carné o identificación temporal en un lugar visible, bajo las normas de seguridad industrial aplicables. Aplica para
colaboradores, visitantes, contratistas y terceros.
5,1,6 c)Controlar las áreas de casilleros (loceras) de los colaboradores y estas deberían estar separadas de áreas de manejo y Formato registro de inspección
almacenaje de carga.
d)Identificar y retirar a personas no autorizadas.
c)Asegurar que el personal de seguridad está controlando las puertas de entrada y salida de las instalaciones

Generalidades
La empresa, con base en la gestión del riesgo y su rol en la cadena de suministro, debe establecer procedimientos
documentados correspondientes a la seguridad física que incluyan:
a)Estructuras y barreras perimetrales que impidan el acceso no autorizado.
b)Cerraduras en puertas y ventanas.
c)Iluminación que permita el control de las instalaciones en: Entradas y salidas, Áreas de almacenamiento y manejo de carga o
información, Cercas perimetrales, Áreas de estacionamiento, Otras áreas críticas definidas.
5,2,1 d)Tener un servicio de seguridad competente de conformidad con los requisitos legales y que garantice una acción de respuesta Control de infraestructura y acceso
oportuna, preferiblemente certificado BASC.
5.2 e)Áreas de estacionamiento para empleados, visitantes y vehículos que entregan o recogen carga.
Seguridad Física f)Inspecciones de funcionamiento y mantenimiento sin sus respectivos registros.
g)Uso de tecnologías de seguridad: Sistema operativo de alarma que identifique el acceso no autorizado, Sistema de
videovigilancia que cubra las áreas críticas identificadas y monitoreado por personal competente, Sistema de respaldo de
imágenes y video (grabación) con la capacidad de almacenamiento suficiente para responder a posibles eventos, Otros que la
empresa considere para el SGCS BASC.

La empresa debe establecer, documentar y mantener actualizado:

Plano de área critica
5,2,2 a)Plano (s) con la ubicación de las áreas críticas de las instalaciones
Instructivo Control de llaves
b)Control de llaves, dispositivos y claves de acceso
La empresa debe realizar inspecciones para evaluar la implementación, funcionamiento y mantenimiento de los controles de
5,2,3 Procedimiento Control de infraestructura y acceso
seguridad física, conservando registro de los hallazgos.

La empresa debe establecer un procedimiento documentado, con base en la gestión del riesgo y su rol en la cadena de
suministro, para:
a)Gestionar y proteger el manejo de la información y los recursos informáticos de la empresa, incluyendo las medidas a aplicar
6.1 Generalidades 6.1 Procedimiento Tecnologías de información
en caso de incumplimiento.
b)Salvaguardar la información y su confidencialidad, integridad y disponibilidad, en sus diferentes formas y estados.
c)Proteger la infraestructura de las tecnologías de la información.

La empresa debe:
a)Establecer, documentar y mantener criterios de seguridad que permitan identificar y proteger los sistemas de las tecnologías
de la información y recuperar oportunamente en caso de ser necesario.
b)Identificar partes interesadas y su nivel de criticidad en las infraestructura informática (hardware y software) de la empresa.
c)Comunicar oportunamente información sobre amenazas de ciberseguridad identificadas a las partes interesadas
correspondientes.
d)Clasificar la información de acuerdo con la legislación vigente, sistemas y accesos según el nivel de criticidad y establecer
políticas de acceso a la misma.
e)Utilizar cuentas asignadas para cada uno de los usuarios que accedan al sistema, con sus propias credenciales de acceso
mediante contraseñas u otras formas de autenticación que generen accesos seguros. Estas deben actualizarse periódicamente,
6.2 Procedimientos Tecnologías de información
cuando existan indicios o sospechas razonables de que están comprometidas.
f)Limitar los accesos y permisos de los usuarios de acuerdo con las funciones y tareas asignadas, revisándolos periódicamente.
g)Eliminar el acceso a la información a todos los colaboradores, terceros y usuarios externos al terminar su contrato o acuerdo.
h)Impedir la instalación de software no autorizado.
i)Utilizar y mantener hardware y software licenciados y actualizados para proteger la infraestructura de TI contra amenazas
informáticas tales como virus, programas espías, entre otros.
j)Realizar copias de seguridad de la información sensible, manteniendo un respaldo fuera de las instalaciones (física o virtual)
con las medidas de seguridad necesarias para impedir que terceros accedan a la información.
k)Mantener un registro actualizado de los usuarios, su nivel de criticidad y accesos asignados.
i)Cerra/bloquear la sesión en equipos desentendidos.

6,2 Ciberseguridad y la
tecnologías de la información
 6,2 Ciberseguridad y la
tecnologías de la información

m)Evaluar mínimo una vez al año la seguridad de la infraestructura de TI (hardware y software), implementando acciones
pertinentes cuando se hayan detectado vulnerabilidades.
n)Establecer procedimientos y controles para identificar y revisar el acceso no autorizado a los sistemas de información, sitios
webs o el incumplimiento de las políticas y procedimientos (incluyendo la manipulación o alteración de los datos comerciales por
parte de los colaboradores o contratistas)
o)Revisar las políticas y los procedimientos de ciberseguridad al menos una vez al año y actualizarlas cuando se presenten
cambios en el contexto interno o externo, o cuando se materialice algún riesgo.
p)Emplear tecnologías seguras, como redes privadas virtuales (VPN) o autenticación multifactorial para el acceso seguro de los
colaboradores y usuarios externos a los sistemas informáticos de la empresa, incluyendo accesos para trabajo remoto o
teletrabajo.
6.2 q)Establecer procedimientos para evitar el acceso remoto de usuarios no autorizados, desde dispositivos personales u otros. Procedimiento Tecnologías de información
r)Controlar mediante la realización de inventarios periódicos, los medios u otros equipos que hagan parte de la infraestructura
informática de la empresa. La eliminación o desecho de los mismos se hará de acuerdo con la legislación vigente.
s)Restringir la conexión de dispositivos personales y elementos periféricos no autorizados para cualquier dispositivo que forme
parte de la infraestructura informática de la empresa.
t)Vigilar el cumplimiento de las políticas de ciberseguridad y seguridad de la información establecidas en el uso de plataformas de
contenido digital, herramientas de videoconferencia, comercio electrónico, entre otros.
u)Realizar ejercicio prácticos y/o simulacros relacionados con la seguridad de las tecnologías de la información, que permitan
determinar la eficacia de las acciones establecidas (ver Norma 6,1 e)
v)Establecer controles para super usuarios que permitan la continuidad de credenciales de los equipos activos, en caso que
aplique.

CUMPLIMIENTO ESTANDAR 601 BASC V6-2022 0%

RIDAD BASC V6
Pagina

HALLAZGOS /ACCION
 LISTA DE CHEQUEO CUMPLIMIENTO NORMA SISTEMA DE GESTION Y CONTROL DE SEGURIDAD BASC V6

Codigo: Fecha: Version: 1 Pagina

Auditoria realizada por: Fecha de auditoria:

ESTANDAR DESCRIPCCIÓN DOCUMENTO C/NC/NA HALLAZGOS /ACCION

La empresa debe establecer un procedimiento documentado para la selección, evaluación, contratación y sensibilización de
asociados de negocio respecto al SGCS-BASC, con base en la gestión del riesgo, la debida diligencia y la legislación vigente.
Debe incluir:
a)El nivel de criticidad con base en la Gestión de riesgo.
b)Evidencia del cumplimiento de los requisitos legales de sus asociados de negocio
c)Evidencia de la certificación BASC (autenticidad del certificado). En caso de no contar con esta, mantener evidencia de otras
1.1 Gestion de los certificaciones o iniciativas de seguridad vigentes y reconocidas internacionalmente por una autoridad aduanera (CTPAT,
1,1,1
Asociados de Negocios Operador Económico Autorizado) y otros entes, que constituyan evidencia de cumplimiento de criterios de seguridad aceptables.
En caso de no contar con estas certificaciones o iniciativas de seguridad, la empresa debe suscribir acuerdos de seguridad.7
d)Cumplimiento de los acuerdos de seguridad mediante una verificación, mínimo una vez al año
e)Lista actualizada de los asociados de negocio
f)Lineamientos de capacitación que incluyan prácticas de prevención de delitos en el comercio internacional y de corrupción y
sobrono.
g)Evidencia de datos de los beneficiarios finales, de acuerdo con la legislación vigente.

La empresa debe establecer un procedimiento de acuerdo con la legislación vigente, para prevenir el lavado de activos,
financiamiento del terrorismoy otros delitos relacionados con el comercio internacional. La empresa debe nombrar un
responsable del cumplimiento de estos procedimientos. Este procedimiento debe incluir:
1,2,1 a)Conocimiento de sus asociados de negocios, que incluya: identidad y legalidad de la empresa, socios y representantes.
b)Antecedentes legales, penales y finacieros teniendo en cuenta las listas nacionales e internacionales
c)Reporte oportuno a las autoridades competentes cuando se identifiquen operaciones sospechosas (ver 3.7)
d)Verificación de pertenecia a gremios o asociaciones reconocidos.
1.2 Prevención de lavado
de activos y financiación El procedimiento documentado para la selección de los asociados de negocios (ver 1.1) debe, con base en la gestión de riesgos,
del terrorismo contemplar como mínimo los siguientes factores (señales de alerta) para la identificación de oepraciones sospechosas:
a)Origen y destino de las operación de comercio.
b)Frecuencia de las operacionesValor y tipo de mercancía
1,2,2 c)Valor y tipo de mercancía
d)Modalidad de la operación de transporte
e)Forma de pago de la transacción
f)Inconsistencias en la información proporcionada por los asociados de negocio
g)Requerimiento que salen de lo establecido

La empresa debe establecer procedimientos documentados que contemplen los parámetros y criterios de seguridad aplicados en
2.1 Parámetros y criterios 2.1 los procesos de manejo de la carga y otros procesos identificados, de acuerdo con el alcance establecido en el SGCS BASC, la
gestión de riesgo y su rol en la cadena de suministro.

Debe establecer un procedimiento documentado para el manejo y control de la carga y su documentación, al ingreso o salida de
2.2.1
las instalaciones.

La empresa debe:
2.2 Procesamiento de a)Verificar la coherencia de la información trasmitida a las autoridades, de acuerdo con la registrada en los documentos de la
información y documentos operación de la carga.
de la carga 2.2.2 b)Asegurar que la información documentada relacionada a la gestión de la carga sea legible, completa, precisa y protegida
contra las modificaciones, pérdida o introducción de datos eróneos.
c)informar oportunamente a las partes interesadas pertinentes el manejo de la carga durante su custodia.
d)Mantener los registros que evidencien la trazabilidad de la carga de acuerdo con su responsabilidad en la cadena de custodia.

Debe establecer un procedimiento documentado para gestionar todos los casos relacionados con discrepancias relacionadas con
2.3 Novedades con la
2.3 la carga, el material de empaque, embalaje, residuos, desechos y sobrantes que afecten la seguridad de las oepraciones de la
carga
empresa.

Debe establecer un procedimiento documentado para comunicar oportunamente a las autoridades competentes y partes
interesadas involucradas cuando ocurran actividades sospechosas o eventos críticos que puedan afectar la integridad de las
2.4 Comunicación de operaciones definidad en el alcance del SGCS BASC, segurando el cumplimiento de la legislación vigente. La empresa debe:
actividades sospechosas o 2.4 a)Documentar la información relacionada con las gestiones realizadas.
eventos críticos b)Hacer una evalaución y análisis posterior con el fin de generar las acciones pertinentes para su tratamiento.
c)Formar y capacitar permanente al personal para identificar o reconocer actividades sospechosas que se relacionen con sus
funciones.

Debe establecer un procedimiento documentado para todos aquellos procesos operativos identificados en el alcance del SGCS
2.5 Controles en los BASC. Estos deben contemplar:
procesos operativos no 2.5 a)Criterios adecuados para mitigar los riesgos y su impacto en esos procesos.
relacionados con la carga b)Todas las evidencias necesarias para la trazabilidad en los proceso, a fin de poder identificar las potenciales desviaciones en
caso de que se presenten.

La empresa debe establecer con un procedimiento documentado, con base en la gestión del riesgo y la legislación vigente, que
regule las siguientes actividades.
Selección del personal
La empresa debe verificar y analizar en el proceso de selección:
a)Información suministrada por el candidato.
b)Referencias laborales y personales.
3.1.1
c)Antecedentes de los candidatos que ocuparán cargos críticos.
d)Las competencias requeridas para el cargo determinadas por la empresa.
e)Los resultados de:
Pruebas de confiabilidad.
Pruebas para detectar el consumo de alcohol y drogas ilícitas.
Visitas domiciliarias

Contratación del personal

La empresa debe:
a)Mantener un archivo fotográfico actualizado del personal e incluir un registro de huellas dactilares y firma.
b)Expedir y controlar la entrega y uso de carné de identificación con áreas de acceso determinadas y uniformes con distintivos
de la empresa, en casos de que aplique.
3.1.2
3.1 Procedimiento para la c)Documentar la entrega de los recursos de seguridad que disponga la empresa, asociados al desempeño del cargo.
gestión del personal d)Registrar la entrega del codigo de etica, conducta y politicas de compromiso social de la empresa al colaborador
e)Incluir en el proceso de inducción el compromiso con el SGCS BASC.
f)Definir requisitos de seguridad asociados al perfil del cargo, para todos los cargos críticos determinados por la empresa y
cuando se presenten cambios

Administratación del personal

La empresa debe:
a)Actualziar los datos del personal al menos una vez al año.
b)Verificar los antecedentes del personal que ocupa cargos críticos, como mínimo una vez al año.
c)Aplicar pruebas para detectar el consumo de alcohol y drogas al personal que ocupa cargos críticos, como mínimo cada dos
3.1.3 años o cuando se presenten sospechas.
d)Realizar una visita domiciliaria al personal que ocupa cargos críticos, basada en la gestión del riesgo y las regulaciones locales,
mínimo cada dos años.
e)Expedir y actualizar el carné de identificación con fotografía, de acuerdo con los procedimientos de la empresa.
f)Evidenciar el uso adecuado de los recurso de seguridad que disponga la empresa, asociados al desempeño del cargo.
g)Evidenciar el cumplimiento del código de éstica, conducta y política de compromiso social de la empresa.

Terminicación de la vinculación laboral

La empresa debe:
a)Eliminar el acceso a las instalaciones y tecnologías de la información de la empresa.
3.1.4
b)Retrirar el carné de identificación, uniformes y demás recursos de seguridad on base en los registros generados en la entrega
de éstos.
c)Comunicar a las partes iteresadas pertinentes la desvinculación del colaborador, con base en la gestión del riesgo
 La empresa debe documentar y evaluar anualmente la eficacia de programas relacionados a:
a)Prevención de delitos relacionados con el comercio internacional.
3.2.1 b)Prevención de adicciones que incluyan avisos visibles y/o material de lectura
c)responsabilidad social empresarial.
d)Prevención del riesgo de corrupción y soborno

Debe establecer y mantener un programa anual documentado de capacitación para concientizar al personal en su
3.2 Programa de responsabilidad de reconocer la vulnerabilidad de la empresa relacionadas al SGCS BASC, que incluya como mínimo:
Formación, Capacitación y s)Política relacionadas con el SGCS BASC.
Concientización b)Cumplimiento de compromiso social.
c)Gestión de riesgo, controles operacionales, preparación y respuesta a eventos.
d)Cumplimiento de los requisitos legales relacionados con la empresa.
3.2.2
e)Evalaución de los indicadores de gestión relacionados con los procesos de la empresa
i)Inspección de unidades de carga y unidades de transporte de carga (ver2) seguridad en los procesos de manejo de carga (ver
3)
g)Contorles de acceso y seguridad física de las instalaciones (ver 5)
h)Manejo de sellos de seguridad (ver 2.6)
i)Prevención de delitos relacionados a la ciberdelincuencia (ver 6)

La empresa debe establecer un procedimiento documentado para los controles de acceso de los colaboradores, visitantes y
terceros, que incluya las siguientes actividades:
Acceso de colaboradores
4.1.1
a)Identificación positiva
b)Controlar su ingreso a las instalaciones
c)Restringir el acceso a las áreas críticas determinadas por la empresa.

Acceso a visitantes, contratistas y terceros:

a)Solicitar autorización para su ingreso.
b)Presentar identificación oficial vigente con fotografía.
c)Mantener un registro del ingreso y salida de personas
4.1.2
d)Registrar, con base en la gestión de riesgos, los elementos que ingresan a las instalaciones.
e)Entregar y controlar una identificación temporal.
4.1 Control de acceso y
f)Asegurar que estén acompñados o controlados por personal de le empresa.
permanencia en las
g)Limitar el acceso a las áreas autorizadas para su visita.
instalaciones
Inspeccionar el correo y paquetes recibidos antes de distribuirlos, manteniendo un registro que incluya la identificación de quien
4.1.3
recibe y a quién está destinado.
4.1.4 Inspeccionar los vehículos que entren y salgan de su instalación, conservando los registros correspondientes
Acceso a autoridades y vehículos de atención a emergencias de acuerdo con el plan y preparación de respuestas a eventos o
4.1.5
cuando amerite.
Mantener el control operacional en las instalaciones, que incluya:
a)Exhibir el carné o identificación temporal en un lugar visible, bajo las normas de seguridad industrial aplicables. Aplica para
colaboradores, visitantes, contratistas y terceros.
4.1.6 c)Controlar las áreas de casilleros (lockers) de los colboradores y estas deberían estar separadas de áreas de manejo y
almacenaje de carga.
d)Identificar y retirar a personas no autorizadas.
c)Asegurar que el personal de seguridad está controlando las puertas de entrada y salida de las instalaciones

Generalidades
La empresa, con base en la gestión del riesgo y su rol en la cadena de suministro, debe establecer procedimientos
documentados correspondientes a la seguridad física que incluyan:
a)Estructuras y barreras perimetrales que impidan el acceso no autorizado.
b)Cerraduras en puertas y ventanas.
c)Iluminación que permita el control de las instalaciones en:Entradas y salidas, Áreas de almacenamiento y manejo de carga o
información, Cercas perimetrales, Áreas de estacionamiento, Otras áreas críticas definidas.
4.2.1 d)Tener un servicio de seguridad competente de conformidad con los requisitos legales y que garantice una acción de respuesta
oportuna, preferiblemente certificado BASC.
e)Áreas de estacionamiento para empleados, visitantes y vehículos que entregan o recogen carga.
4.2Seguridad Física f)Inspecciones de funcionamiento y mantenimiento cin sus respectivos registros.
g)Uso de tecnologías de seguridad:Sistema operativo de alarma que identifique el acceso no autorizado, Sistema de
videovigilancia que cubra las áreas críticas identificadas y monitoreado por personal competente, Sistema de respaldo de
imágenes y video (grabación) con la capacidad de almacenamiento suficiente para responder a posibles eventos, Otros que la
empresa considere para el SGCS BASC.

La empresa debe establecer, documentar y mantener actualizado:

4.2.2 a)Plano (s) con la ubicación de las áreas críticas de las instalaciones
b)Control de llaves, dispositivos y claves de acceso
La empresa debe realizar inspecciones para evaluar la implementación, funcionamiento y mantenimiento de los controles de
4.2.3
seguridad física, conservando registro de los hallazgos.

La empresa debe establecer un procedimiento documentado, con base en la gestión del riesgo y su rol en la cadena de
suministro, para:
a)Gestionar y proteger el manejo de la información y los recursos informáticos de la empresa, incluyendo las medidas a aplicar
5.1 Generalidades 5.1
en caso de incumplimiento.
b)Salvaguardar la información y su confidencialidad, integridad y disponibilidad, en sus diferentes formas y estados.
c)Proteger la infraestructura de las tecnologías de la información.

La empresa debe:
a)Establecer, documentar y mantener criterios de seguridad que permitan indentificar y proteger los sistemas de las tecnologías de la información
y recuperar oportunamente en caso de ser necesario.
b)Identificar partes interesadas y su nivel de criticidad en las infraestructura informática (hardware y software) de la empresa.
c)Comunicar oportunamente información sobre amenazas de ciberseguridad identificadas a las partes interesadas correspondientes.
d)Clasificar la información de acuerdo con la legislación vigente, sistemas y accesos según el nivel de criticidad y establecer políticas de acceso a
la misma.
e)Utilizar cuentas asignadas para cada uno de los usuarios que accedan al sistema, con sus propias credenciales de acceso mediante
contraseñas u otras formas de autenticación que generen accesos seguros. Estas deben actualizarse periodicamente, cuando existan indicios o
sospechas razonables de que están comprometidas.
5.2 f)Limitar los accesos y permisos de los usuarios de acuerdo con las funciones y tareas asignadas, revisándolos periódicamente.
g)Eliminar el acceso a la información a todos los colaboradores, terceros y usuarios externos al terminar su contrato o acuerdo.
h)Impedir la instalación de software no autorizado.
i)Utilizar y mantener hardware y software licenciados y actualizados para proteger la infraestructura de TI contra amenazas informáticas tales
como virus, programas espías, gusanos, troyanos, malware, ransomware, entre otros.
j)Realizar copias de seguridad de la información sensible, manteniendo un respaldo fuera de las instalaciones (física o virtual) conlas medidas de
seguridad necesarias para impedir que terceros accedan a la información.
k)Mantener un registro actualizado de los usuarios, su nivel de criticidad y accesos asignados.
i)Cerra/bloquear la sesión en equipos desantendidos.
5.2 Ciberseguridad y la
tecnologías de la
información
m)Evaluar mínimo una vez al año la seguridad de la infraestructura de TI (hardware y software), implementando acciones pertinentes cuando se
hayan detectado vulnerabilidades.
n)Establecer procedimientos y controles para identificar y revisar el acceso no autorizado a los sistemas de información, sitios webs o el
incumplimiento de las políticas y procedimientos (incluyendo la manipulación o alteración de los datos comerciales por parte de los colaboradores
o contratistas)
o)Revisar las políticas y los procedimientos de ciberseguridad al menos una vez al año y actualizarlas cuando se presenten cambios en el
contexto interno o externo, o cuando se materialice algún riesgo.
p)Emplear tecnologías seguras, como redes privadas virtuales (VPN) o autenticación multifactor para el acceso seguro de los colaboraores y
ususarios externos a los sistemas informáticos de la empresa, incluyendo accesos para trabajo remoto o teletrabajo.
5.2 q)Establecer procedimientos para evitar el acceso remoto de usuarios no autorizados, desde dispositivos personales u otros.
r)Controlar mediante la realización de inventarios periódicos, los medios u otros equipos que hagan parte de la infraestructura informática de la
empresa. La eliminación o desecho de los mismos se hará de acuerdo con la legislación vigente.
s)Restringir la conexión de dispositivos personales y elementos periféricos no autorizados para cualquier dispositivo que forme parte de la
infraestructura informática de la empresa.
t)Vigilar el cumplimiento de las políticas de ciberseguridad y seguridad de la información establecidas en el uso de plataformas de contenido
digital, herramientas de videoconferencia, comercio electrónico, entre otros.
u)Realizar ejercicio prácticos y/o simulacros relacionados con la seguridad de las tecnológias de la información, que permitan determinar la
eficacia de las acciones establecidas (ver Norma 6,1 e)
v)Establecer controles para super usuarios que permitan la continuidad de credenciales de los equipos activos, en caso que aplique.

CUMPLIMIENTO ESTANDAR 601 BASC V6-2022 0%

 RESULTADOS DEL SISTEMA DE GESTION DE CONTROL Y SEGURIDAD

CAPITULO REQUISITOS NORMA BASC V6-2022 % Responsable

CUMPLIMIENTO DE LA NORMA BASC V6 2022
4 CONTEXTO DE LA EMPRESA 0% HSEQ 100%

5 LIDERAZGO 0% HSEQ 80%

60%
6 PLANIFICACION 0% HSEQ
40%

7 APOYO 0% Dirección 20%

0% 0% 0% 0% 0% 0%
0%
8 EVALUACION DE DESEMPEÑO 0% Auditores Internos

CONTEXTO DE...

EVALUACION...
LIDERAZGO

MEJORA
APOYO
PLANIFICACION
9 MEJORA 0% Auditores Internos
TOTAL CUMPLIMIENTO 0%

ITEM RESULTADOS DE CUMPLIMIENTO DE REQUISITOS ESTANDAR 6.0.1 % Responsable RESULTADOS DE CUMPLIMIENTO ESTANDAR 601
Ejecutivos comerciales 100%
1 REQUISITOS DE ASOCIADOS DE NEGOCIOS 0% Coordinador de compras 80%
Jefe de transporte 60%
Supervisores de bodega 40%
SEGURIDAD EN LAS UNIDADES DE CARGA Y UNIDADES DE 20%
2 0% Seguridad Fisica 0% 0% 0% 0% 0% 0%
TRANSPORTE 0%
Coordinadores de transporte

SEGURIDAD EN LOS PROCESOS DE MANEJO DE

SEGURIDAD EN LAS UNIDADES DE CARGA Y

CONTROL DE ACCESO Y SEGURIDAD FISICA

REQUISITOS DE ASOCIADOS DE NEGOCIOS

SEGURIDAD DE LA INFORMACION
INFORMACION DE LA CARGA Y OTROS PROCE-
SOS DEFINIDOS EN EL ALCANCE DEL SGCS
SEGURIDAD EN LOS PROCESOS DE MANEJO DE INFORMACION DE LA Jefes De Bodega

SEGURIDAD EN LOS PROCESOS RELA-

3 0%

CIONADOS CON EL PERSONAL

CARGA Y OTROS PROCESOS DEFINIDOS EN EL ALCANCE DEL SGCS Jefe de transporte

UNIDADES DE TRANSPORTE
4 SEGURIDAD EN LOS PROCESOS RELACIONADOS CON EL PERSONAL 0% RR.HH.

5 CONTROL DE ACCESO Y SEGURIDAD FISICA 0% Seguridad Fisica

6 SEGURIDAD DE LA INFORMACION 0% Sistemas

TOTAL CUMPLIMIENTO 0%

RESULTADOS DE CUMPLIMIENTO ESTANDAR 602