Perfil del Recinto Fiscalizado Estratégico

Acuse de Recibo

Primera Vez: £

Renovación:

£

Adición:

£

Modificación:

£

Los datos que proporcione sustituirán los que proporcionó cuando solicitó su autorización.

Información General

El objetivo de este Perfil, es asegurar que los recintos fiscalizados estratégicos, cuenten con prácticas y procesos de seguridad implementados en sus instalaciones, enfocados a fortalecer la cadena de suministro y a mitigar el riesgo de contaminación de los embarques con productos ilícitos.

Los interesados en obtener la inscripción en el registro de Empresas Certificadas bajo la modalidad de “Recintos Fiscalizados Estratégicos” a que se refiere la regla 7.1.4., deberán demostrar que cuentan con procesos documentados y verificables; así mismo, deberán integrar los criterios exigidos en el presente documento de acuerdo al modelo o diseño empresarial que tenga establecido, buscando durante la implementación de los estándares en materia de seguridad, la aplicación de una cultura de análisis de riesgos soportada en la toma de decisiones acorde a los valores, la misión, visión, los códigos de ética y conducta de la propia empresa.

Lo establecido en este Perfil, se deberá acreditar con independencia de los requisitos y lineamientos establecidos para el control, vigilancia, vías de acceso, infraestructura, equipamiento y de seguridad de las mercancías de comercio exterior establecidos por la ANAM para otorgar la autorización de Recinto Fiscalizado Estratégico, y podrá comprobar su cumplimiento con aquello que sea coincidente con lo establecido en el presente Perfil.

Instrucciones de llenado:

I.           Deberá llenar un “Perfil del Recinto Fiscalizado Estratégico” por cada una de las instalaciones que cuenten con autorización como recinto fiscalizado estratégico. El número de Perfiles presentados deberá coincidir con las instalaciones que cuenten con autorización para la introducción, por tiempo limitado, de mercancías extranjeras, nacionales o nacionalizadas, a los recintos fiscalizados estratégicos, para ser objeto de manejo, almacenaje, custodia, exhibición, venta, distribución, elaboración, transformación o reparación de conformidad con los artículos 14, 14-D y 135-A de la Ley manifestadas en su solicitud de inscripción como empresa certificada bajo la modalidad de recinto fiscalizado estratégico así como indicar todos los domicilios registrados ante el RFC.

II.          Detallar como cumple o excede con lo establecido en cada uno de los numerales conforme a lo que se indica.

III.         El formato de este documento, se encuentra dividido en dos secciones, como se detalla a continuación:

1. Estándar.

Descripción del estándar

IV.        Indicar cómo cumple con lo establecido en cada uno de los sub-estándares, por lo que deberá anexar los procedimientos en idioma español que, en su caso, se requieran, o brindar una explicación detallada de lo solicitado en el campo de “Respuesta”.

             El apartado referente a las “Notas explicativas”, pretende ser utilizado como una guía respecto a los puntos que se deben incluir en la “Respuesta” o en los procedimientos anexos, según sea el caso, de cada sub-estándar, señalando de manera indicativa aquellos puntos que no deben excluirse de su respuesta.

V.         Una vez contestado el “Perfil del Recinto Fiscalizado Estratégico”, deberá anexarlo a la Solicitud de Registro en el Esquema de Certificación de Empresas a que se refiere el primer párrafo de la regla 7.1.4., fracción IV.

             Para efectos de verificar lo manifestado en el párrafo anterior, el SAT a través de la AGACE, podrá realizar una inspección a la instalación aquí señalada, con el exclusivo propósito de verificar lo señalado en este documento.

VI.        Cualquier “Perfil del Recinto Fiscalizado Estratégico” incompleto no será procesado.

VII.       Cualquier pregunta relativa a la Solicitud de Registro en el Esquema de Certificación de Empresas y el “Perfil del Recinto Fiscalizado Estratégico”, dirigirla a los contactos que aparecen en el Portal del SAT.

VIII.      En el caso de ser autorizado con el Registro en el Esquema de Certificación de Empresas, este formato deberá mantenerse actualizado y dar aviso cuando las circunstancias por las cuales se les otorgó el registro hayan variado y derivado de estas se requieran cambios o modificaciones en la información vertida y proporcionada en este “Perfil del Recinto Fiscalizado Estratégico” a la autoridad de conformidad con lo establecido en la regla 7.2.1., tercer párrafo, fracciones III y IV.

IX.        Cuando derivado de la visita de inspección resulten incumplimientos relacionados con los estándares mínimos en materia de seguridad, la solicitante podrá subsanarlos antes de la emisión de la resolución establecida en la regla 7.1.6., para lo cual tendrá un plazo máximo de tres meses contados a partir de la notificación de los incumplimientos señalados.

Datos de la instalación

Se deberá llenar un “Perfil del Recinto Fiscalizado Estratégico” por cada una de las instalaciones que operen bajo la autorización de Recinto Fiscalizado Estratégico y que realicen procesos de manejo, almacenaje, custodia, exhibición, venta, distribución, elaboración, transformación o reparación de mercancía de comercio exterior.

Información de la Instalación

Número de “Perfil del Recinto Fiscalizado Estratégico”:

de

Clave en el RFC

Nombre y/o Razón  social:

Nombre y/o Denominación de la Instalación

Tipo de Instalación

Calle

 Número y/o letra exterior

 Número y/o letra interior

Colonia

Código Postal

Municipio/Delegación

Entidad Federativa

Antigüedad de la instalación (años de operación):

Actividad que se realizan en la instalación:

Productos preponderantes que manejan en el Recinto Fiscalizado Estratégico:

(Según sea el caso)

No. de embarques promedio mensual (EXP):

No. de embarques promedio mensual (IMP):

Número de empleados total de esta instalación:

Superficie de la instalación(m²):

Certificaciones en programas de seguridad: (Indicar si esta instalación cuenta con una certificación por alguno de los siguientes programas)

CTPAT.

Si

¨

No

¨

Nivel: Pre-Aplicante: ¨

Aplicante: ¨

Certificado: ¨

Certificado/ Validado: ¨

CTPAT Account number (8 dígitos):

Fecha de última visita en esta instalación:

Operador Económico Autorizado de otros países (OEA)

Si

¨

No

¨

Programa:

Registro:

Otros Programas de Seguridad en la Cadena de Suministros

Si

¨

No

¨

Programa:

Registro:

Certificaciones: (Indicar si cuenta con certificaciones que consideren que impactan en el proceso de su cadena de suministros, por ejemplo: ISO 9000; Procesos Logísticos Confiables, entre otros)

Nombre:

Categoría:

Vigencia:

Nombre:

Categoría:

Vigencia:

Nombre:

Categoría:

Vigencia:

Nombre:

Categoría:

Vigencia:

1. Planeación de la seguridad en la cadena de suministros.

El recinto fiscalizado estratégico debe elaborar políticas y procedimientos documentados para llevar a cabo un análisis que le permita la identificación de riesgos y debilidades en su cadena de suministros con el objetivo de que la alta dirección del recinto, implemente estrategias que ayuden a mitigar el riesgo del recinto.

Asimismo, para construir un programa sólido de seguridad de la cadena de suministro, el recinto debe de contar con un Comité de Seguridad que incorpore representantes de todos los departamentos relevantes, formando un equipo multifuncional que identifique áreas de oportunidad y proponga acciones de mejora continua a lo largo de la cadena de suministro e instalaciones de la compañía.

De igual manera, la empresa debe tener designados puntos de contacto para el Programa Operador Económico Autorizado, dicho personal debe estar involucrado y conocer los requisitos del Operador Económico Autorizado, pertenecer a la compañía y acreditar su relación con la misma, así como responder a su especialista en seguridad de la cadena de suministro, (este es asignado una vez que la empresa ya cuenta con el Programa Operador Económico Autorizado).

Si derivado del análisis de riesgo, surgen nuevas medidas de seguridad para incorporarse dentro del recinto, estas deben incluirse en los procedimientos existentes del recinto y, en su caso, elaborar procedimientos nuevos, lo que crea una estructura más sostenible y enfatiza que la seguridad de la cadena de suministro es responsabilidad de todos.

1.1 Análisis de riesgo.

El recinto fiscalizado estratégico debe establecer medidas para identificar, analizar y mitigar los riesgos de seguridad que podrían derivar en alteraciones de mercancía de comercio exterior durante su manejo, guarda, custodia y traslado en su cadena de suministro y sus instalaciones, bajo el lineamiento de un procedimiento documentado. Dicho análisis debe estar basado en el modelo de su organización (ejemplo: tipo de mercancía, volumen, clientes, rutas, fuga de información, amenazas potenciales, etcétera), de modo que le permita implementar y mantener medidas de seguridad. Conforme a lo anterior, el recinto fiscalizado estratégico también debe tener un proceso escrito basado en su análisis de riesgo para seleccionar nuevos socios comerciales y monitorear a los socios con los que ya se encuentra trabajando.

Este procedimiento deberá actualizarse por lo menos una vez al año, de manera que permita identificar de forma permanente otros riesgos o amenazas que se consideren en su operación y en la cadena de suministros, por el resultado de algún incidente de seguridad o cuando se originen cambios en las condiciones iniciales del recinto, así como para identificar que las políticas, procedimientos y otros mecanismos de control y de seguridad se estén cumpliendo. Es importante señalar, que el Comité de Seguridad del recinto debe de participar en la elaboración y actualización del análisis de riesgo y el mantenimiento del Programa Operador Económico Autorizado.

Respuesta:

Notas Explicativas:

Indicar cuáles son las fuentes de información utilizadas para calificar riesgos durante la fase de análisis.

Anexar la matriz de riesgo, así como el procedimiento documentado para identificar riesgos en la cadena de suministro y las instalaciones del recinto, el cual debe incluir como mínimo los siguientes puntos:

I.           Periodicidad con que revisa y/o actualiza el análisis de riesgo.

II.          Aspectos y/o áreas del recinto que se incorporan al análisis de riesgo.

III.         Metodología o técnicas utilizadas para realizar el análisis de riesgo.

IV.        Responsables de revisar y/o actualizar el análisis de riesgo del recinto.

Asimismo, el procedimiento documentado para identificar riesgos en la cadena de suministro y sus instalaciones, deberá contemplar el proceso de apreciación y gestión del riesgo, e incluir los siguientes aspectos:

I.           Establecimiento de un contexto (cultural, político, legal, económico, geográfico, social, etcétera).

II.          Identificación de los riesgos en su cadena de suministros y sus instalaciones.

III.         Análisis del riesgo (causas, consecuencias, probabilidades y controles existentes para determinar el nivel de riesgo como “alto”, “medio” y “bajo”).

IV.        Evaluación del riesgo (toma de decisiones para determinar los riesgos a tratar y prioridad para implementar el tratamiento).

V.         Tratamiento del riesgo (aplicación de alternativas para cambiar la probabilidad de que los riesgos ocurran).

Se sugiere utilizar las técnicas de administración, gestión y evaluación de riesgos de acuerdo a las normas internacionales ISO 31000, ISO 31010 e ISO 28000 que, de acuerdo a su modelo de negocio, deban implementar.

1.2 Políticas de seguridad.

Los recintos fiscalizados estratégicos deben contar con una política orientada a prevenir, asegurar y reconocer amenazas en la seguridad de la cadena de suministros e instalaciones de la compañía, como lo son el tráfico de drogas, lavado de dinero, tráfico de armas, contrabando de personas, mercancías prohibidas y actos de terrorismo.

Para promover una cultura de seguridad, las compañías deben demostrar su compromiso con la seguridad de la cadena de suministro y el Programa Operador Económico Autorizado a través de una declaración que resalte la importancia de proteger el flujo del comercio nacional e internacional de actividades delictivas, establecida por medio de la política de seguridad.

Los altos funcionarios o directivos de la empresa que deben respaldar y firmar la política de seguridad, pueden ser el presidente del recinto, el director ejecutivo, el gerente general, o personal con cargo homólogo con facultad para toma de decisiones.

Respuesta:

Notas Explicativas:

Enunciar la política de seguridad orientada a prevenir, asegurar y reconocer amenazas en la cadena de suministros e instalaciones de la compañía, indique quien es el responsable de su revisión, firma y difusión hacia los empleados, así como la periodicidad con la que se lleva a cabo su actualización.

Dicha política se debe comunicar a los empleados mediante un programa y/o campaña de difusión.

La política de seguridad debe estar firmada por un alto funcionario de la compañía y estar exhibida en diversas áreas de la empresa, incluyendo el sitio web de la empresa, carteles en áreas clave del recinto la empresa (recepción, embarques, recibos, almacén, etcétera), y como parte de la capacitación inicial y de reforzamiento de la empresa.

1.3 Auditorías internas en la cadena de suministros.

Además del monitoreo de rutina en control y seguridad, es necesario programar y realizar auditorías periódicas que permitan evaluar todos los procesos en materia de seguridad en la cadena de suministros de una manera más crítica y profunda, así como garantizar que sus empleados sigan los procedimientos de seguridad del recinto.

Las auditorías deben ser realizadas por el Comité de Seguridad de la compañía establecer un procedimiento documentado, así como un programa o calendario para su realización. Si bien es necesario que las auditorías estén enfocadas en la seguridad de la cadena de suministro y basadas en la evaluación, revisión y ejecución de los estándares mínimos en materia de seguridad, su enfoque se debe ajustar al tamaño de la organización, nivel de riesgo, modelo de negocio y variaciones entre instalaciones. Las auditorías pueden ser generales o centrarse en áreas o procesos específicos conforme a su programa de trabajo.

El objetivo de una auditoría interna enfocada al Programa Operador Económico Autorizado, es verificar y garantizar que los empleados sigan los procedimientos de seguridad del recinto. El proceso de revisión no tiene que ser complejo, sin embargo, los formatos y registros que se utilicen para la aplicación de dichas revisiones deben de evidenciar que se validó la aplicación y ejecución de los procesos evaluados, además del seguimiento correspondiente de las observaciones identificadas.

La alta gerencia de la organización debe revisar los resultados de las auditorías, analizar las causas y emprender acciones correctivas o preventivas requeridas. El proceso de auditoría debe garantizar que se recoja la información necesaria para permitir que la gerencia realice está evaluación. La revisión debe estar documentada, además de que el Comité de Seguridad del recinto deben proporcionar y registrar las actualizaciones periódicas sobre el progreso o los resultados de cualquier auditoria, ejercicio o validación.

Respuesta:

Notas Explicativas:

Describir el procedimiento documentado para llevar a cabo una auditoría interna, enfocada en la seguridad en la cadena de suministros, asegúrese de incluir los siguientes puntos:

I.           Señalar cómo la empresa lleva a cabo la programación o calendarización para realizar una auditoría en materia de seguridad en la cadena de suministros.

II.          Indicar quienes participan en ellas, y los registros que se efectúan de la misma, así como la periodicidad con la que se llevan a cabo.

III.         Indicar cómo es que la alta gerencia del recinto verifica el resultado de las auditorias en materia de seguridad, cómo realiza y/o implementa acciones preventivas, correctivas y de mejora además del seguimiento y cierre de las mismas.

IV.        Los formatos utilizados durante las auditorías internas deberán de estar debidamente requisitados, y a través de ellos, evidenciar que los procedimientos y medidas de seguridad se están poniendo en práctica.

1.4 Planes de contingencia y/o emergencia relacionados con la seguridad de la cadena de suministros.

Debe existir un plan de contingencia y/o emergencia documentado, dicho plan debe de abordar la gestión de crisis, los planes de recuperación de la seguridad y la reanudación del negocio, para asegurar la continuidad del negocio en caso de una situación que afecte el desarrollo normal de las actividades y las operaciones de comercio exterior del recinto en su cadena de suministro (en las instalaciones y durante el traslado, manejo, guarda y custodia de mercancía de comercio exterior conforme a su proceso logístico). Una crisis o contingencia puede incluir la interrupción de la transmisión e intercambio de datos comerciales debido a un ataque cibernético, un incendio, el secuestro de un conductor de transporte por personas armadas, un cierre de aduanas, una amenaza de bomba, la detección de paquetes sospechosos, el corte de energía eléctrica, el robo y/o daño de mercancías, amenazas o extorsiones, bloqueos o cierre de carreteras, entre otros).

Dichos planes deben ser comunicados al personal mediante capacitaciones periódicas, así como realizar pruebas, ejercicios prácticos y simulacros anuales de los planes de contingencia y emergencia para constatar su efectividad, mismos de los que se deberá mantener un registro debidamente requisitado y firmado (por ejemplo: reportes de resultados, minutas o informes, los cuales deberán ir respaldados de videograbaciones, fotografías, etcétera, que demuestren su ejecución).

Respuesta:

Notas Explicativas:

Anexar el procedimiento o plan de contingencia y/o emergencia documentado, para asegurar la continuidad del negocio en caso de una situación de emergencia o de seguridad, que afecte el desarrollo normal de las actividades de comercio exterior del recinto en su cadena de suministro (en las instalaciones, durante el traslado, manejo, guarda y custodia de mercancía, de comercio exterior conforme a su proceso logístico).

Este procedimiento debe incluir, de manera enunciativa mas no limitativa, lo siguiente:

I.           Qué situaciones contempla, describiendo el plan de acción y pasos que hay que seguir en caso de crisis, así como las tareas que el personal tenga asignadas durante el manejo de dichas contingencias.

II.          Qué mecanismos utiliza para difundir y asegurarse que estos planes sean efectivos.

III.         Contemplar la programación y realización de pruebas, ejercicios prácticos y simulacros anuales y cómo se documentan (por ejemplo: reportes de resultados, minutas o informes, mismos que deberán ir acompañados de videograbaciones, fotografías, etcétera, que demuestren su ejecución).

2. Seguridad física.

El recinto fiscalizado estratégico debe contar con mecanismos establecidos y procesos documentados para impedir, detectar o disuadir la entrada de personal no autorizado en las instalaciones. Todas las áreas sensibles del recinto, deberán tener barreras físicas, elementos de control y disuasión contra el acceso no autorizado.

Lo anterior podrá acreditarse mediante el cumplimiento de las medidas de control, vigilancia, vías de acceso, infraestructura, equipamiento y de seguridad del Recinto fiscalizado estratégico y de las mercancías de comercio exterior establecidos por la ANAM, siempre que dichas medidas sean suficientes para acreditar lo establecido en el presente estándar.

2.1 Instalaciones.

Las instalaciones deben estar construidas con materiales que puedan resistir accesos no autorizados. Se deben realizar inspecciones periódicas documentadas para mantener la integridad de las estructuras y en el caso de haberse detectado una irregularidad, efectuar la reparación correspondiente y lo antes posible por parte del personal designado para estas tareas. Asimismo, se deben tener identificados plenamente los límites territoriales, así como los diversos accesos, rutas internas y la ubicación de los edificios.

Respuesta:

Notas Explicativas:

Indicar los materiales predominantes con los que se encuentra construida la instalación (por ejemplo, de estructura de metal y paredes de lámina, paredes de ladrillo, de madera, entre otros), y señale de qué forma se lleva a cabo la revisión y mantenimiento de la integridad de las estructuras.

Indicar el personal o área responsable para realizar las tareas de inspección, mantenimiento y reparación de daños de las instalaciones.

Anexar un plano de distribución o arquitectónico de conjunto, donde se puedan identificar los límites de las instalaciones, rutas de acceso, salidas de emergencia, ubicación de los edificios, áreas críticas, estacionamientos y colindancias.

2.2 Accesos en puertas y casetas.

Las puertas de entrada o salida de personal y/o vehículos deben ser atendidas, controladas, vigiladas y/o supervisadas. La cantidad de puertas de acceso debe mantenerse al mínimo necesario. El acceso a las áreas sensibles debe estar restringido según la descripción del trabajo o las tareas asignadas.

Respuesta:

Notas Explicativas:

Indicar cuantas puertas y/o accesos existen en las instalaciones, así como el horario de operación de cada una, e indique de qué forma son monitoreadas (en caso de tener personal asignado, indicar la cantidad).

Detallar si existen puertas y/o accesos bloqueados, o permanentemente cerrados.

Describir cómo asegura que el acceso a las áreas sensibles este restringido según la descripción del trabajo o las tareas asignadas (incluya el tipo de registros y controles que utiliza).

2.3 Bardas perimetrales.

Las bardas perimetrales y/o barreras periféricas deben instalarse para asegurar los perímetros de las instalaciones del recinto fiscalizado estratégico, con base en un análisis de riesgo. Se deben utilizar cercas, barreras interiores o un mecanismo para identificar y segregar de manera particular, las áreas de guarda, custodia y almacenaje de mercancía, de comercio exterior, alto valor, peligrosa, áreas con acceso restringido y otras que determine conforme a su análisis de riesgo. Estas deben ser inspeccionadas regularmente y llevar un registro de la revisión con la finalidad de asegurar su integridad e identificar daños, mismos que deben repararse lo antes posible por parte del personal designado para estas tareas.

Las áreas de almacenaje, alto valor, peligrosas, y/o de acceso restringido, deben estar claramente identificadas y monitoreadas para prevenir ingresos no autorizados.

Respuesta:

Notas Explicativas:

Describir el tipo de cerca, barrera periférica y/o bardas con las que cuenta la instalación, asegúrese de incluir los siguientes puntos:

I.           Especificar qué áreas se encuentran segregadas.

II.          Señalar las características de las mismas (material, dimensiones, etcétera).

III.         En caso de no contar con bardas, justificar detalladamente la razón.

IV.        Periodicidad con la que se verifica la integridad de las bardas perimétricas, y los registros que se llevan a cabo, con la finalidad de asegurar su integridad e identificar daños, mismos que deben repararse lo antes posible.

V.         Indicar el personal o área responsable para realizar las tareas de inspección y reparación de daños.

Describir de qué manera se encuentra segregada la carga destinada al extranjero, el material peligroso y la de alto valor; asegúrese de incluir los siguientes puntos:

I.           Indicar cómo separa la mercancía nacional y la de comercio exterior, y si está identificada de manera adicional (por ejemplo: empaque distinto, etiquetas, embalaje, entre otros).

II.          Identificar y señale las áreas de acceso restringido (mercancías peligrosas, alto valor, confidenciales, etcétera).

El procedimiento para la inspección de las bardas perimétricas podría incluir:

I.           Personal responsable para llevar a cabo el proceso.

II.          Cómo y con qué frecuencia se llevan a cabo las inspecciones de las cercas, bardas perimétricas y/o periféricas y los edificios.

III.         Cómo se lleva el registro de la inspección.

IV.        Quién es el responsable de verificar que las reparaciones y/o modificaciones cumplan con las especificaciones técnicas y requisitos de seguridad necesarias.

2.4 Estacionamientos.

El acceso a los estacionamientos de las instalaciones debe ser controlado y monitoreado, por el personal de seguridad o designado para esta tarea. Se debe prohibir que los vehículos privados (de empleados, visitantes, proveedores y contratistas, entre otros) se estacionen dentro de las áreas de manejo y almacenaje de la mercancía, así como en áreas adyacentes.

Respuesta:

Notas Explicativas:

Describir el procedimiento para el control y monitoreo de los estacionamientos, asegúrese de incluir los siguientes puntos:

I.           Responsables de controlar y monitorear el acceso a los estacionamientos.

II.          Identificación de los estacionamientos (especificar si el estacionamiento de visitantes y empleados, se encuentra separado de las áreas de almacenaje y manejo de mercancía).

III.         Cómo se lleva el control de entrada y salida de vehículos a las instalaciones. Indicar los registros que se realizan para el control del estacionamiento los mecanismos de control existentes (por ejemplo: tarjetones, tarjetas lectoras, corbatines, etcétera), cómo se asignan y el área responsable de hacerlo.

IV.        Políticas o mecanismos para no permitir el ingreso de vehículos privados a las áreas de almacenaje y manejo de mercancía.

2.5 Control de llaves y dispositivos de cerraduras.

Las ventanas, puertas, así como las cercas interiores y exteriores, de acuerdo a su análisis de riesgo, deben asegurarse con dispositivos de cierre. El recinto debe contar con un procedimiento documentado para el manejo y control de llaves y/o dispositivos de cierre de las áreas interiores que se hayan considerado como críticas. Asimismo, se debe llevar un registro y establecer cartas responsivas firmadas por las personas que cuentan con llaves o accesos autorizados conforme a su nivel de responsabilidad y labores dentro su área de trabajo.

Respuesta:

Notas Explicativas:

Indicar si todas las puertas, ventanas, entradas interiores y exteriores disponen de mecanismos de cierre o seguridad.

Anexar el procedimiento documentado para el manejo y control de llaves y/o dispositivos de cierre, asegurar que incluyan los siguientes puntos:

I.           Responsables de administrar y controlar la seguridad de las llaves.

II.          Formato y/o registro de control para el préstamo de llaves.

III.         Tratamiento de pérdida o no devolución de llaves.

IV.        Señalar si existen áreas en las que se acceda con dispositivos electrónicos y/o algún otro mecanismo de acceso.

2.6 Alumbrado.

El alumbrado dentro y fuera de las instalaciones debe permitir una clara identificación de personas, material y/o equipo que ahí se encuentre, incluyendo las siguientes áreas: entradas y salidas, áreas de manejo y almacenaje de la mercancía, bardas perimetrales y/o periféricas, cercas interiores y áreas de estacionamiento, debiendo contar con un sistema de emergencia y/o respaldo en las áreas sensibles.

Respuesta:

Notas Explicativas:

Describir el procedimiento para la operación y mantenimiento del sistema de iluminación. Asegúrese de incluir los siguientes puntos:

I.           Señalar qué áreas se encuentran iluminadas y cuáles cuentan con un sistema de respaldo (indique si cuenta con una planta de poder auxiliar o algún otro mecanismo para suministrar energía eléctrica en caso de alguna contingencia).

II.          De qué manera se cerciora que el sistema de iluminación sea el apropiado en cada una de las áreas del recinto de manera que permita una clara identificación del personal, material y/o equipo que ahí se encuentra.

III.         Responsable del control y mantenimiento de los sistemas de iluminación.

IV.        Programa de mantenimiento y revisión (en caso de coincidir con otro proceso, indicarlo).

El procedimiento podrá incluir:

I.           Cómo se controla el sistema de iluminación.

II.          Horarios de funcionamiento.

III.         Identificación de áreas con iluminación permanente.

2.7 Aparatos de comunicación.

El recinto fiscalizado estratégico debe contar con aparatos y/o sistemas de comunicación con la finalidad de contactar de forma inmediata al personal de seguridad y/o con las autoridades, en caso de ocurrir una situación de emergencia y seguridad. Adicionalmente, debe contar con un sistema de respaldo y verificar su buen funcionamiento de manera periódica.

Respuesta:

Notas Explicativas:

Describir el procedimiento que el personal debe realizar para contactar al personal de seguridad del recinto o en su caso, de la autoridad correspondiente en caso de algún incidente de seguridad.

Indicar si el personal operativo y administrativo cuenta o dispone de aparatos (teléfonos fijos, móviles, botones de alerta y/o emergencia, etcétera) para comunicarse con el personal de seguridad y/o con quien corresponda (estos deberán estar accesibles a los usuarios, para poder tener una pronta reacción).

Indicar qué aparatos de comunicación utiliza el personal de seguridad en la empresa (teléfonos fijos, celulares, radios, sistema de alarma, etcétera).

Describir el procedimiento para el control y mantenimiento de los aparatos de comunicación, asegúrese de incluir los siguientes puntos:

I.           Políticas de asignación de aparatos de comunicación móvil.

II.          Programa de mantenimiento o reemplazo de aparatos de comunicación fija y móvil.

III.         Indicar si cuenta con aparatos de comunicación de respaldo, cuando el sistema permanente fallara, y, en su caso, descríbalos brevemente.

El procedimiento podrá incluir:

I.           Responsable del buen funcionamiento y mantenimiento de los aparatos de comunicación.

II.          Registro de verificación y mantenimiento de los aparatos.

III.         Forma de asignación de los aparatos de comunicación.

2.8 Sistemas de alarma y de circuito cerrado de televisión y video vigilancia.

Los sistemas de alarmas y de circuito cerrado de televisión y video vigilancia y las tecnologías de seguridad, se deben utilizar para vigilar, notificar o disuadir accesos no autorizados y actividades prohibidas en las instalaciones y demás áreas consideradas sensibles y notificar al área correspondiente, además de utilizarse como herramienta de prueba en investigaciones derivadas de algún incidente.

Estos sistemas y tecnologías de seguridad deben colocarse de acuerdo a un análisis de riesgo previo, de tal forma que se mantengan vigiladas y monitoreadas las áreas que impliquen el acceso de personal, visitantes, proveedores, áreas de carga, descarga, guarda, custodia y almacenaje de mercancía de comercio exterior, inspecciones de seguridad a los vehículos de carga, y demás áreas consideradas sensibles. Dichos sistemas deben permitir una clara identificación del área o ambiente que vigila y estar permanentemente grabando y mantener un respaldo de las grabaciones al menos por sesenta días de conformidad con lo que establezca la ANAM para dichos efectos, en relación con la regla 4.8.17., y con la finalidad de tener los elementos necesarios para deslindar las responsabilidades correspondientes en caso de un incidente de seguridad.

Los sistemas de alarma y de circuito cerrado de televisión y video vigilancia y las tecnologías de seguridad deben contar con un procedimiento documentado de operación que incluya la supervisión del buen estado del equipo, la verificación de la correcta posición de las cámaras, indicar la frecuencia con la que debe realizar el respaldo de las grabaciones, así como los responsables de su operación. Dicho sistema y toda la infraestructura de tecnología de seguridad deberá tener un acceso restringido.

Respuesta:

Notas Explicativas:

Mencionar el procedimiento documentado en el que indique el funcionamiento del sistema central de alarmas externo o sensores y en su caso, describa los siguientes puntos:

I.           Indicar si las puertas y ventanas tienen sensores de alarma, así como las áreas donde se cuenta con sensores de movimiento.

II.          Procedimiento a seguir en caso de activarse una alarma.

III.         Indicar el personal o área responsable de dar mantenimiento, cómo se reportan fallas y los registros que utilizan.

Describir el procedimiento documentado para la operación de los sistemas de alarma y de circuito cerrado de televisión y video vigilancia y las tecnologías de seguridad (este debe revisarse y actualizarse anualmente y de acuerdo con el análisis de riesgo o las circunstancias), asegúrese de incluir los siguientes puntos:

I.           Indicar el número de cámaras de seguridad de los sistemas de alarma y de circuito cerrado de televisión y video vigilancia instaladas, y su ubicación por áreas (detalle si cubre los puntos de entrada y salida de las instalaciones, para cubrir el movimiento de vehículos e individuos, así como el lugar de almacenajes de mercancías de comercio exterior). Anexe un layout o mapa de distribución de las cámaras de seguridad.

II.          Señalar la ubicación de los sistemas de alarma y de circuito cerrado de televisión y video vigilancia y las tecnologías de seguridad, dónde se localizan los monitores, quién los revisa, así como los horarios de operación, y en su caso, si existen estaciones de monitoreo remoto. Toda la infraestructura de tecnología de seguridad debe estar protegida físicamente contra el acceso no autorizado.

III.         Se deben realizar revisiones periódicas y aleatorias de las grabaciones. Indique de qué forma las revisan aleatoriamente, cada semana, eventos especiales, áreas restringidas, etcétera, quién es el personal designado y si la gerencia se involucra en las revisiones. Los resultados de las revisiones deben documentarse para incluir acciones correctivas para fines de auditoría.

IV.        Indicar por cuánto tiempo se mantienen estas grabaciones (debiendo ser por lo menos sesenta días).

V.         Los sistemas de alarma y de circuito cerrado de televisión y video vigilancia y las tecnologías de seguridad deben de contar con una fuente de energía alternativa que permita que estos continúen funcionando en caso de una pérdida inesperada de energía directa. Por lo anterior, indique si los sistemas de alarma y de circuito cerrado de televisión y video vigilancia y las tecnologías de seguridad se encuentran respaldadas por una planta de poder eléctrica o algún otro mecanismo para suministrar energía eléctrica, que garanticen su funcionamiento. Estos sistemas deberían de tener una función de alarma/notificación, que indique una condición de falla en el funcionamiento y/o grabación, señale si sus sistemas tienen dicha función.

VI.        Indicar si adicionalmente a los sistemas de alarma y de circuito cerrado de televisión y video vigilancia, utiliza algún otro tipo de tecnología para robustecer las medidas de seguridad con las que ya cuenta.

VII.       Describir el procedimiento que se ha implementado para probar e inspeccionar de manera regular los sistemas de alarma y de circuito cerrado de televisión y video vigilancia y las tecnologías de seguridad y asegurar su buen funcionamiento. Los resultados de las inspecciones y las pruebas de funcionamiento deben estar documentadas, al igual que las acciones correctivas necesarias (estas se deben implementar lo antes posible). Adicionalmente, que los resultados documentados de estas inspecciones se mantengan durante un tiempo suficiente para fines de auditoría.

VIII.      Indicar si el proveedor de los sistemas de alarma y de circuito cerrado de televisión y video vigilancia, tiene acceso a las cámaras de seguridad, si es el encargado de realizar el monitoreo de las mismas, de qué forma se controlan los accesos y quién es el responsable de dicho monitoreo.

3. Controles de acceso físico.

Los controles de acceso físico, son mecanismos o procedimientos que previenen e impiden la entrada no autorizada a las instalaciones, mantienen control del ingreso de los empleados, visitantes y proveedores, además de proteger los bienes del recinto.

Los controles de acceso deben incluir la identificación de todos los empleados, visitantes y proveedores en todos los puntos de entrada. Asimismo, se deben mantener registros y evaluar permanentemente los mecanismos o procedimientos documentados de ingreso a las instalaciones, siendo la base para comenzar a integrar la seguridad como una de las funciones primordiales dentro de cualquier empresa.

3.1 Personal de seguridad.

El recinto fiscalizado estratégico debe contar con personal de seguridad y vigilancia. Este personal desempeña un rol importante en la protección física de las instalaciones y de la mercancía durante su traslado y manejo dentro de la empresa, así como para controlar el acceso de todas las personas al inmueble.

El personal de seguridad, deberá contar con un procedimiento documentado para llevar a cabo sus funciones y tener pleno conocimiento de los mecanismos y procedimientos en situaciones de emergencia, detección de personas no autorizadas o cualquier incidente en la instalación. La gerencia debe verificar periódicamente el cumplimiento de los procedimientos políticas y funciones a través de auditorías internas con el objetivo de verificar su correcta ejecución.

Respuesta:

Notas Explicativas:

Describir el procedimiento documentado para la operación del personal de seguridad y asegúrese de incluir los siguientes puntos:

I.           Indicar el número de personal de seguridad que labora en el recinto.

II.          Señalar los cargos y/o funciones del personal y horarios de operación.

III.         En caso de contratarse un servicio externo, proporcionar los datos generales de la empresa (clave en el RFC, razón social, domicilio), y especificar número de personal empleado, detalles de operación, registros, reportes, etcétera, que utilizan para desempeñar sus funciones.

IV.        En caso de contar con personal armado, describa el procedimiento para el control y resguardo de las armas.

3.2 Identificación de los empleados.

La gerencia o el personal de seguridad del recinto deben controlar adecuadamente la entrega y devolución de insignias, gafetes y/o credenciales de identificación de empleados, visitantes y proveedores. Se deben documentar los procedimientos para la entrega, devolución y cambio de dispositivos de acceso, (por ejemplo, llaves, gafetes y/o credenciales, tarjetas de proximidad, etcétera.). El acceso a las áreas sensibles debe estar restringido según la descripción del trabajo o las tareas asignadas.

Respuesta:

Notas Explicativas:

Describir el procedimiento para la identificación de los empleados y asegúrese de incluir los siguientes puntos:

I.           Mecanismos de identificación (gafete y/o credencial con foto, control de acceso, biométricos, tarjetas de proximidad, etcétera).

II.          Cómo se identifica al personal contratado por un socio comercial, que labore dentro de las instalaciones (contratistas, sub-contratados, servicios in house, personal de empresas de manejo de mercancías, etcétera).

III.         El procedimiento, también debe describir como el recinto entrega, cambia y retira las identificaciones y controles de acceso del empleado y asegúrese de incluir las áreas responsables de autorizarlas y administrarlas.

IV.        Indicar cómo asegura que el acceso a las áreas sensibles este restringido según la descripción del trabajo o las tareas asignadas (incluya el tipo de registros y controles que utiliza).

Anexar el procedimiento documentado para el control de las identificaciones.

3.3 Identificación de visitantes y proveedores.

Para tener acceso a las instalaciones, los visitantes y proveedores deberán presentar identificación oficial con fotografía con fines de documentación a su llegada y se deberá llevar un registro. Todos los visitantes y proveedores deben recibir una identificación temporal, estar acompañados por personal del recinto durante su permanencia en las instalaciones y asegurarse que el visitante/proveedor porte siempre en un lugar visible la identificación provisional proporcionada.

Este procedimiento deberá estar documentado. Para el caso de proveedores y usuarios que laboren de manera regular en el recinto, la empresa debe contar con un sistema de validación físico de gafetes de identificación conforme a los lineamientos de control que establezca la aduana de su circunscripción para conceder las autorizaciones de entrada y de salida en su caso.

Respuesta:

Notas Explicativas:

Describir el procedimiento para el control de acceso de los visitantes y proveedores, asegúrese de incluir los siguientes puntos:

I.           Señalar qué registros se llevan a cabo (formatos personales por cada visita, bitácoras).

II.          El registro de visitantes y proveedores debe incluir lo siguiente:

a)      Fecha de la visita;

b)      Nombre del visitante;

c)      Número de identificación con foto (documentos oficiales como: licencia de manejo, pasaporte, INE, etcétera);

d)      Hora de entrada y de salida.

e)      En el caso de acceso vehicular, el formato deberá incluir los datos del vehículo particular o de carga (modelo, placa, número de remolque, etcétera).

III.         Señalar quién es la persona responsable de acompañar al visitante y/o proveedor y si existen áreas restringidas para su ingreso.

3.4 Procedimiento de identificación y retiro de personas o vehículos no autorizados.

El recinto fiscalizado estratégico debe contar con procedimientos documentados que especifiquen cómo identificar, enfrentar o reportar a personas y/o vehículos no autorizados o identificados, dicho procedimiento debe ser comunicado al personal responsable mediante capacitación. La capacitación debe estar documentada.

Respuesta:

Notas Explicativas:

Anexar el procedimiento documentado para identificar, enfrentar o reportar personas y/o vehículos no autorizados o identificados.

El procedimiento deberá incluir:

I.           Personal responsable.

II.          Designar a una persona o área responsable para ser informado de los incidentes de seguridad.

III.         Indicaciones para enfrentar y dirigirse al personal no identificado.

IV.        Señalar en qué casos deberá reportarse a las autoridades correspondientes.

V.         Cómo se lleva a cabo el registro de los incidentes de seguridad y las medidas adoptadas en cada caso.

3.5 Entregas de mensajería y paquetería.

La mensajería y paquetería destinada al personal del recinto fiscalizado estratégico debe ser examinada a su llegada y antes de ser distribuida a las áreas correspondientes. Asimismo, el recinto deberá de tener un procedimiento documentado para la recepción y revisión de mensajería y paquetería, el cual debe ser comunicado al personal responsable mediante capacitación. La capacitación debe estar documentada.

Respuesta:

Notas Explicativas:

Describir el procedimiento para la recepción y revisión de mensajería y paquetería y asegúrese de incluir lo siguiente:

I.           Personal encargado de llevar a cabo el procedimiento.

II.          Indicar cómo se identifica al proveedor del servicio de mensajería y paquetería (señale si requiere de procedimiento adicional al de acceso a proveedores).

III.         Señalar cómo se lleva a cabo la revisión de la mensajería y/o paquetes, que mecanismo utiliza, los registros que se llevan a cabo, y en su caso, los incidentes detectados.

IV.        Describir las características o elementos para determinar qué mensajería y/o paquetería es sospechosa.

V.         Señalar qué acción realiza en el caso de detectar un paquete sospechoso.

4. Socios comerciales.

El recinto fiscalizado estratégico debe contar con procedimientos escritos y verificables para la selección y contratación de nuevos socios comerciales y monitoreo de los socios con los que ya se encuentra trabajando, como: transportistas, proveedores de materiales, proveedores de servicios como limpieza, seguridad, contratación de personal, colocación y mantenimiento de los sistemas de alarma y de circuito cerrado de televisión y video vigilancia; prestadores de servicios de carga, descarga y maniobra de mercancías; proveedores de sistemas de Tecnologías de la Información; proveedores de sellos de alta seguridad, recolección y reciclaje, contratistas, líneas navieras o aéreas, entre otros), y de acuerdo a su análisis de riesgo, exigir que cumplan con las medidas de seguridad para fortalecer la cadena de suministros internacional.

El análisis de riesgo que realice el recinto respecto a sus socios comerciales (clientes y proveedores), deberá incluir riesgos relacionados con la identificación de actividades relacionadas con el lavado de dinero y la financiación del terrorismo. Adicionalmente, el recinto debe de tener una política y un programa de cumplimiento social documentado entre sus empleados y socios comerciales que, como mínimo, aborde cómo la empresa garantiza que los bienes, insumos o mercancías nacionales e importadas a México para la elaboración de su producto final, no fueron extraídos, producidos o fabricados, total o parcialmente, con formas prohibidas de trabajo, es decir, forzoso u obligado, incluido el trabajo infantil forzoso u obligatorio al amparo del artículo 23.6 del T-MEC y el Acuerdo que establece las mercancías cuya importación está sujeta a regulación a cargo de la Secretaría del Trabajo y Previsión Social, publicado en el DOF el 17 de febrero de 2023.

4.1 Criterios de selección.

Deben existir procedimientos documentados para la selección, seguimiento y renovación de relaciones comerciales con los asociados de negocio o proveedores, que incluyan entrevistas, verificación de referencias, métodos de evaluación y uso de la información proporcionada. La información derivada de la investigación y/o evaluación de los asociados de negocio y/o proveedores deberá documentarse y estar integrada en un expediente (físico o electrónico). El procedimiento para la selección de socios comerciales deberá incluir, indicadores para detectar clientes o proveedores que podrían no ser legítimos o con domicilios no localizados, además de investigaciones, revisiones o evaluaciones de dichos socios para la identificación y control de las actividades relacionadas con el lavado de dinero y la financiación del terrorismo. Si la investigación y/o evaluación de algún socio comercial conduce a dudas sustanciales sobre la veracidad de sus operaciones o servicios, el recinto deberá evitar su contratación y, en su caso, notificar a su especialista de seguridad o contacto del Programa Operador Económico Autorizado y a la autoridad correspondiente sobre sus sospechas.

Respuesta:

Notas Explicativas:

Anexar el procedimiento documentado para la selección y contratación de nuevos socios comerciales y monitoreo de los socios con los que ya se encuentra trabajando, esto comprende cualquier tipo de proveedor, esto comprende cualquier tipo de proveedor que tenga una relación comercial con el recinto (con su proceso logístico, con la cadena de suministros, asimismo con clientes potenciales y preponderantes de contratar su servicio de manera frecuente y/o aquellos que tengan relación comercial con su empresa), asegúrese que de incluir los siguientes puntos:

I.           Qué información es requerida a su socio comercial.

II.          Qué aspectos son revisados e investigados.

             Los indicadores para identificar clientes o proveedores que podrían no ser legítimos (pagos por encima de la tarifa estándar, en efectivo; tener poco conocimiento de la mercancía que se va a enviar; ser evasivo; información de contacto mínima (teléfono celular, puntos de contacto, correos electrónicos, entre otros); empresas de reciente creación o negocios sin historial comercial, etcétera) o con domicilios no localizados. Este punto refiere a señalar todas aquellas alertas para determinar que un socio comercial no es confiable y así, realizar una investigación más profunda y evaluar si se debe trabajar con él.

III.         Indicar si mantiene un expediente físico o electrónico de cada uno de sus socios comerciales, así como la información que debe contener.

IV.        Señalar de qué manera se evalúan los servicios de su socio comercial y qué puntos revisa.

El expediente debe incluir como mínimo lo siguiente:

I.           Datos de la empresa (nombre, clave en el RFC, actividad, etcétera).

II.          Datos del representante legal.

III.         Comprobante de domicilio.

IV.        Referencias comerciales (en su caso).

V.         Contratos, acuerdos y/o convenios de confidencialidad, políticas de seguridad.

VI.        En su caso, certificado o número de certificación en los programas de seguridad a los que pertenezca.

4.2 Requerimientos en seguridad.

El recinto fiscalizado estratégico debe contar con un procedimiento documentado en el que, de acuerdo a su análisis de riesgo, solicite requisitos adicionales en materia de seguridad a aquellos socios comerciales que intervengan, en el servicio prestado por el recinto fiscalizado estratégico, así como de los proveedores de servicios que de igual forma intervengan en el control, manipulación, traslado y/o coordinación de las mercancías objeto de comercio exterior cómo: Transporte almacenes proveedores de servicios de limpieza, seguridad privada, contratación de personal, colocación y mantenimiento de los sistemas de alarma y de circuito cerrado de televisión y video vigilancia, proveedores de sistemas y Tecnologías de la Información, prestadores de servicios de carga, descarga y maniobra de mercancías, recolección y reciclaje, contratistas, entre otros).

Los requisitos deberán estar basados en el “Perfil del Recinto Fiscalizado Estratégico” establecido por la AGACE, o en caso de existir, el Perfil específico para cada actor de la cadena de suministros que le corresponda.

La empresa debe solicitar a sus socios comerciales la documentación que acredite y compruebe que cumple con los estándares mínimos de seguridad establecidos en este “Perfil del Recinto Fiscalizado Estratégico”, ya sea a través de una declaración escrita emitida por el representante legal del socio, convenios o cláusulas contractuales, respaldado con documentación que avale el cumplimiento de los requisitos establecidos en el Programa Operador Económico Autorizado. De igual manera, el recinto debe tener en cuenta y conocer los requisitos específicos del Programa Operador Económico Autorizado que serán aplicables a cada uno de sus socios comerciales, en función de su actividad dentro de la cadena de suministro.

En el caso de los socios comerciales del recinto que presten sus servicios en el interior de las instalaciones, deberán estar obligados al cumplimiento de estos requerimientos de seguridad en la cadena de suministro.

Respuesta:

Notas Explicativas:

Describir el procedimiento que indique cómo lleva a cabo la identificación de socios comerciales que requieran el cumplimiento de estándares mínimos de seguridad. Asegúrese de incluir los siguientes puntos:

I.           Indicar si cuenta con un registro de los socios comerciales que deben cumplir con requisitos en materia de seguridad, y mencione que tipo de proveedores son estos (transportistas, almacenes, empresa de seguridad, agentes aduanales, empresas autorizadas para prestar los servicios de carga, descarga y manejo de mercancías, etcétera).

II.          Indicar de qué forma documental (convenios, acuerdos, cláusulas contractuales, y/o adendas asegura que sus socios comerciales cumplan con los requisitos en materia de seguridad).

III.         Indicar si existen convenios, acuerdos, cláusulas contractuales y/o adendas, respecto a la implementación de medidas de seguridad con sus proveedores de servicios al interior del recinto, tales como: seguridad privada, comedor, jardinería, servicios de limpieza y mantenimiento, proveedores de Tecnologías de la Información, etcétera.

IV.        Indicar si cuenta con socios comerciales que se les exija pertenecer a un programa de seguridad de la cadena de suministros, (por ejemplo: CTPAT, o algún otro Programa Operador Económico Autorizado de la OMA) así como la información y documentación que le son solicitadas.

4.3 Revisiones del socio comercial.

El recinto fiscalizado estratégico a través del Comité de Seguridad debe realizar evaluaciones periódicas de seguridad (así como derivadas de situaciones de riesgo), de los procesos e instalaciones de los asociados de negocios con base a un análisis de riesgo, para garantizar que cuentan con estándares mínimos en materia de seguridad requeridos por el recinto basados en el Programa Operador Económico Autorizado, mantener registros de las mismas, que permitan constatar que los procesos y medidas de seguridad se están ejecutando, así como del seguimiento correspondiente.

Cuando se encuentren inconsistencias, la empresa deberá comunicarlo a su socio o proveedor y proporcionar un período justificado para atender las observaciones o áreas de oportunidad identificadas, o en caso contrario, tener las medidas necesarias para sancionarla.

Realizar evaluaciones de seguridad de los socios comerciales es importante para garantizar que exista un programa de seguridad sólido y funcione correctamente, es por eso que, además de un procedimiento documentado, debe existir un programa o calendario para la ejecución de dichas revisiones o evaluaciones de seguridad priorizando a los socios que son más críticos conforme a su análisis de riesgo. Si un miembro no es evaluado y la empresa desconoce si los procesos e instalaciones de sus socios comerciales funcionan correctamente, ponen en riesgo su cadena de suministro.

Respuesta:

Notas Explicativas:

Describir el procedimiento para realizar evaluaciones para la verificación de los requisitos en materia de seguridad (procesos e instalaciones) de sus socios comerciales, asegúrese de incluir los siguientes puntos:

I.           Periodicidad con la que se realiza las visitas al socio comercial (estas deben de ser por lo menos una vez al año y derivadas de situaciones de riesgo).

II.          Programa o calendario para la ejecución de las revisiones de seguridad.

III.         Registro o reporte de la verificación y en su caso del seguimiento correspondiente.

IV.        El o los formatos de verificación tendrán que estar debidamente requisitados, colocando la fecha, nombre y cargo de quienes participan en la revisión, firmas, etcétera.

V.         Señalar qué medidas de acción se toman cuando los socios comerciales no cumplan con los requisitos de seguridad establecidos.

VI.        En caso de contar con socios comerciales con la certificación de CTPAT u otro programa de certificación de seguridad en la cadena de suministros, indique la periodicidad con la que es revisado su estatus, cómo lo registran y las acciones que toma en caso de detectarse que este suspendida y/o cancelada, conforme a lo establecido en su procedimiento.

El procedimiento deberá incluir:

I.           Periodicidad de las visitas.

II.          Puntos de revisión en materia de seguridad.

III.         Elaboración de reportes.

IV.        Retroalimentación y acuerdos con el socio comercial.

V.         Seguimiento a los acuerdos.

VI.        Medidas en caso de la detección del incumplimiento de los requisitos.

VII.       Registro de evaluaciones.

VIII.      Área o responsable de llevar a cabo este procedimiento.

5. Seguridad de procesos.

Deben establecerse medidas de control para garantizar la integridad y seguridad de la mercancía, los procesos relacionados con el manejo, despacho aduanero y almacenaje de carga de la cadena de suministros. Estas medidas de control y procedimientos deben documentarse y asegurarse de mantener la integridad desde el punto de recepción hasta su entrega.

5.1 Mapeo de procesos.

Se deberá contar con un mapa que muestre paso a paso el proceso logístico del flujo de las mercancías y la documentación requerida a través de su cadena de suministros internacional.

El recinto fiscalizado estratégico debe tener en cuenta e incluir dentro de su mapeo todas las partes involucradas en su cadena de suministro, conteniendo aquellas que manejan la documentación de importación y exportación, como agentes aduanales, transportistas, proveedores de materiales, prestadores de servicios de carga, descarga y maniobra de mercancías, entre otros.

Respuesta:

Notas Explicativas:

Anexar el documento donde se ilustre y describa el mapeo de procesos por los que atraviesan las mercancías de importación y exportación, desde el punto de origen hasta su entrega con la finalidad de tener bien identificados cada uno de los pasos que involucran la elaboración y entrega del producto final.

Este mapeo debe contener por lo menos los siguientes aspectos:

I.           Origen de las mercancías:

a)      Mercancías nacionales o nacionalizadas.

b)      Mercancías extranjeras para su exposición, venta o distribución.

c)      Mercancías para su elaboración, transformación o reparación.

d)      Mercancías cuyo origen o destino sea la transferencia a empresas con programas de la SE.

II.          Aduanas de despacho.

III.         Transferencias de mercancía.

IV.        Entrega y/o recepción de las mercancías en territorio nacional o embarque de retorno al extranjero incluyendo el proceso de adquisición de bienes nacionales.

V.         Despacho aduanero que incluyan las disposiciones para destinar mercancías objeto de elaboración, transformación, reparación, manejo, almacenaje, custodia, exhibición, venta, distribución y mensajería para la introducción de mercancías extranjeras, nacionales o nacionalizadas en recintos fiscalizados estratégicos y en su caso del retorno de bienes procesados en su mismo estado.

VI.        Destrucción de desperdicios o destinarlos al mercado nacional.

VII.       Entrega al consignatario.

VIII.      Gestión y operación del “Aviso de traslado de mercancías de empresas con Programa IMMEX, RFE u Operador Económico Autorizado”.

IX.        Flujo de Información relacionado con la mercancía.

5.2 Almacenes y centros de distribución.

Cuando el recinto fiscalizado estratégico cuente con socios comerciales que presten algún servicio de almacén, centros de distribución u otros al interior de sus instalaciones deberán sujetarse de acuerdo a sus características, a lo establecido en este documento, con el objeto de mantener la integridad en su cadena de suministros.

Respuesta:

Notas Explicativas:

De acuerdo al mapeo de su proceso logístico, si las mercancías de comercio exterior son transferidas o trasladadas a otro almacén y/o centro de distribución alterno o diferente que opere bajo su autorización como recinto fiscalizado estratégico, deberá indicar, si están registrados ante su R.F.C. proporcionando sus datos generales (denominación y domicilio) y explicando brevemente que actividad se lleva a cabo en esa o esas instalaciones (cross dock, almacén temporal, etcétera).

Asimismo, indique si estos pertenecen a la empresa o es un servicio contratado a través de un tercero y/o sean parte de un grupo accionista. En este caso, conforme a los criterios de selección de proveedores que se mencionan en lo referente al apartado de “Socios Comerciales” del presente documento, indique de qué forma se cerciora que cumple con los requerimientos mínimos en materia de seguridad.

Las instalaciones que cuenten con autorización de Recinto Fiscalizado Estratégico, deberán coincidir con el número de Perfiles presentados, así como indicar todos los domicilios que se encuentren registrados ante el RFC.

5.3 Entrega y recepción de carga.

El recinto fiscalizado estratégico debe asegurarse de la identificación de los operadores de medios de transporte que efectúan la recolección, entrega o recepción de mercancía de comercio exterior dentro o fuera de sus instalaciones, almacenes y/o centros de distribución. Asimismo, el recinto debe designar al área responsable de supervisar la carga o descarga del embarque, inclusive conforme a las instrucciones que reciba de los clientes para su manejo y traslado. Por otro lado, la empresa debe verificar la descripción detallada de las mercancías, peso, etiquetas, marcas y cantidad, cotejando dicha información con documentación legal y aduanera correspondiente.

El recinto fiscalizado estratégico de conformidad a su análisis de riesgo, debe contar con un proceso de liberación y extracción de mercancía, establecer parámetros para inspeccionar y verificar mediante mecanismos, herramienta o tecnología no intrusiva que disponga, la mercancía de comercio exterior a despachar con independencia de las revisiones oficiales que las autoridades puedan realizar con la finalidad de identificar mercancía ilícita, prohibida, no declarada o con discrepancia, inclusive aquellas que, conforme a su naturaleza, esté sujeta a regulaciones o restricciones adicionales para el cumplimiento aduanero y traslado. De igual forma, debe garantizar que el conductor que transporta mercancías de comercio exterior, durante la entrega o recepción cuente con la información documental requerida para su traslado en el que incluya, destino, ruta que deberá mantener, datos de contacto y/o procedimiento en caso de ocurrir algún incidente o de la inspección por parte de alguna autoridad, entre otros.

Las áreas de preparación de la carga y las áreas circundantes inmediatas deben inspeccionarse regularmente para garantizar que estas áreas permanezcan libres de contaminación visible de plagas.

Durante el proceso de carga y descarga de mercancías, el área de seguridad de la empresa (supervisor o guardia de seguridad) deberá estar presente para validar que el proceso se está realizando de manera correcta, mitigar el riesgo de contaminación de embarques (mercancía prohibida, ilícita o plagas) y registrar dicha revisión (parte de novedades, registros, reportes, etcétera), cómo evidencia de que el sello y/o candado de alta seguridad fue colocado correctamente, se deben tomar fotografías digitales al momento de cargar los vehículos. En la medida de lo posible, estas imágenes enviarse electrónicamente al punto de contacto de destino o entrega de la mercancía con fines de verificación.

También, el personal responsable del área de embarques y/o recibos debe revisar la información incluida en los documentos de importación y/o exportación para identificar o reconocer envíos de carga sospechosos. Asimismo, se debe brindar capacitación específica sobre la identificación de errores comunes en la documentación de los embarques de exportación, con el objetivo de prevenir que estos deriven en incidentes de seguridad o mercancía sospechosa.

Respuesta:

Notas Explicativas:

Anexar el procedimiento documentado en el que indique el procedimiento para la entrega y recepción de carga y asegúrese que se incluyan los siguientes puntos:

I.           Método para identificar a los operadores de transporte.

II.          Documentación que se entrega a los operadores.

III.         Responsable de la supervisión de la carga o descarga de la mercancía y cotejo de la información. Además de los documentos de transporte y los documentos de aduanas (Bill Of Lading, manifiestos, etcétera, debiéndose presentar ante la autoridad de manera oportuna), debe de haber un registro que acompañe la entrada y salida de las mercancías, que incluya:

a)      Fecha.

b)      Nombre del conductor.

c)      Número de identificación con foto (documentos oficiales como: licencia de manejo, pasaporte, INE, etcétera).

d)      Número de sello o candado de alta seguridad.

e)      Hora de entrada y de salida (el registro de carga debe mantenerse asegurado y los conductores no deben tener acceso a él).

f)       En el caso de acceso vehicular, el formato deberá incluir los datos del vehículo de carga (modelo, placa, número de remolque, etcétera). Este registro debe mantenerse asegurado y los conductores no deben tener acceso a él. La entrega y recepción de la carga debería ser con cita previa, siempre que la operación de la empresa lo permita y en un área o lugar específico para que se encuentre monitoreado por personal de seguridad, algún empleado o sistemas de alarma y de circuito cerrado de televisión y video vigilancia.

IV.        Gestión y operación del “Aviso de traslado de mercancías de empresas con Programa IMMEX, RFE u Operador Económico Autorizado”.

V.         Cómo verifica y garantiza que las áreas de preparación de la carga y las áreas circundantes inmediatas permanecen libres de contaminación visible de plagas. En caso de identificar algún tipo de plaga visible, contaminación, basura, insectos, pasto, hierba o zacate crecido, cómo se reporta y que acciones realizan al respecto.

VI.        Indicar quién es el responsable de tomar fotografías digitales del lugar y la colocación del sello y/o candado de alta seguridad, así como del proceso de carga de la mercancía y, en su caso, cómo las envía al punto de contacto de destino o entrega de la carga (incluido el o los números de sello y/o candado).

VII.       Indicar cómo controla o qué medidas de seguridad tiene implementadas para mitigar el riesgo de colusión o complicidad entre los empleados, como el conductor y el personal de las áreas despacho o embarques, recibos, almacén, guardias de seguridad, etcétera.

VIII.      Indicar si realiza revisiones permanentes o aleatorias al equipaje de los operadores de transporte que ingresan a sus instalaciones a entregar o recoger carga. En caso de identificar alguna anomalía o tener una sospecha, describa las acciones que realiza al respecto.

IX.        Cómo valida que los vehículos de carga, contenedores, remolques y semirremolques utilizados como Instrumentos de Tráfico Internacional, que transportan sus mercancías cumplen con las condiciones físico mecánicas necesarias para su traslado y cruce.

El procedimiento de entrega y recepción de la mercancía deberá incluir:

I.           Método de inspección en el punto de acceso a la empresa.

II.          Designación del personal responsable de recibir al conductor y las mercancías en la llegada.

III.         Registro de la introducción al recinto fiscalizado estratégico de las mercancías recibidas.

Anexar el procedimiento documentado para detectar y reportar discrepancias en la entrega o recepción de las mercancías y asegúrese que incluya los siguientes puntos:

I.           Responsables de llevar a cabo la revisión.

II.          Documentos a cotejar.

III.         Áreas a las que se reporta la información.

Este procedimiento, deberá llevarse a cabo a mercancía que recibe de importación, exportación; y en caso de aplicar, en la revisión en puntos intermedios.

5.4 Procedimiento de seguimiento de la mercancía.

De conformidad a su análisis de riesgo, el recinto fiscalizado estratégico debe monitorear el movimiento de mercancías de comercio exterior en su instalación a través de un diario de seguimiento y supervisión de actividades o una tecnología durante el arribo, guarda, custodia y liberación de mercancías de comercio exterior para cumplir con las formalidades del despacho aduanero, garantizando en todo momento contar con la siguiente información: número e información del conocimiento de embarque, lista de empaque, guía o demás documentos de transporte, según corresponda, nombre y dirección del consignatario o remitente, descripción, valor, origen de la mercancía y la ubicación física en el recinto. Lo anterior debe acreditarse conforme a los lineamientos de un procedimiento documentado.

Los datos de supervisión y registro de todas las maniobras en el recinto fiscalizado, deben preservarse durante un año cuando la autoridad deba realizar una evaluación debido a un incidente de seguridad o con fines de auditoría.

Respuesta:

Notas Explicativas:

Anexar el procedimiento documentado para monitorear los traslados internos en el recinto fiscalizado estratégico de mercancía de comercio exterior.

Este procedimiento debe incluir, entre otros aspectos de acuerdo a su operación:

I.           Contar con GPS cuyo hardware externo se encuentre oculto y que pueda resistir los intentos de quitarlo indicar el tipo de sistema que tiene implementado en su caso las herramientas de consulta que dispone para monitorear la mercancía.

II.          Identificación de tiempos estimados de traslado y maniobras en recintos fiscalizados estratégicos conforme al transporte que se trate.

III.         Detalle los medios de comunicación que dispone.

IV.        Cuando el seguimiento lo realice un tercero, indique quien es el responsable y como se verifica que se esté llevando a cabo correctamente, conforme a los procedimientos que la empresa le señale.

5.5 Reporte de discrepancias en la carga.

Deben existir procedimientos documentados que describan medidas y acciones para identificar, detectar y reportar medidas y/o acciones a realizar en caso de mercancía faltante, sobrante, prohibida, mercancía ilícita, no declaradas durante el manejo y traslado en el recinto fiscalizado o de cualquier otra discrepancia en la entrega o recepción de las mercancías contenerizadas, consolidadas y/o des-consolidados de forma previa a cumplir las formalidades del despacho aduanero o aquellas que por su naturaleza pongan en riesgo la seguridad de los usuarios pudiendo ser estos durante los siguientes procesos: recepción, entrega, almacenaje, reconocimientos previos, consolidados, des-consolidados, patios de medios de transporte y en su caso conforme a los servicios que ofrezca con la finalidad de disponer de información que coadyuve a las investigaciones correspondientes por parte de los consignatarios autorizados y en su caso por las autoridades competentes.

Respuesta:

Notas Explicativas:

Anexar el procedimiento documentado para detectar y reportar discrepancias en la entrega o recepción de las mercancías y asegúrese que incluya los siguientes puntos:

I.           Responsables de llevar a cabo la revisión.

II.          Documentos a cotejar.

III.         Áreas a las que se reporta la información.

Este procedimiento, deberá aplicarse tanto a la mercancía que se recibe de importación; en caso de aplicar, en la revisión en puntos intermedios; así como en la entrega final de las mercancías a su cliente.

5.6 Procesamiento de la información y documentación de la carga.

El recinto fiscalizado estratégico debe contar con procedimientos documentados para asegurar que la información electrónica y/o documental utilizada durante el movimiento, guarda, custodia, maniobras y despacho de la carga, así como la información recibida por los asociados de negocio sea legible, completa, exacta, reportada en tiempo y protegida contra cambios, pérdidas o introducción de información errónea.

De igual manera, los formularios y la documentación relacionada con la importación y/o exportación deberían asegurarse para evitar el uso no autorizado.

Respuesta:

Notas Explicativas:

Describir el procedimiento para el procesamiento de la información y documentación de la carga, asegúrese de incluir los siguientes puntos:

I.           Detallar cómo transmite la información y documentación relevante al traslado de su carga con todos los que intervienen en su cadena de suministro (indique si utiliza un sistema informático de control específico y explique brevemente su función). Asimismo, detalle cómo valida que la información proporcionada sea legible, completa, exacta, reportada en tiempo y protegida contra cambios, pérdidas o introducción de información errónea.

II.          De igual manera, los formularios y la documentación relacionada con la importación y/o exportación deberían asegurarse para evitar el uso no autorizado.

III.         Señalar de qué forma los asociados de negocio transmiten información con el recinto fiscalizado estratégico y aseguran la protección de la misma.

5.7 Gestión de inventarios, control de material de empaque, envase y embalaje.

El recinto fiscalizado estratégico debe contar con procedimientos documentados para el control de inventarios automatizado, conforme a su autorización para prestar servicios de manejo, almacenaje y custodia de mercancías de comercio exterior, asimismo deben incluir los abandonos, destrucciones entre otros conforme a la normatividad aplicable y conducir revisiones de forma periódica. Asimismo, debe tener un procedimiento documentado para el control de los materiales de empaque, envase, embalaje de las mercancías, en el que también se incluya el procedimiento de control, diseminación y prevención de la contaminación visible de plagas, en el caso de uso de materiales de embalaje de madera (como tarimas o pallets, cajas, cajones, jaulas, carretes, estiba, calzas, soportes o plataformas) para apilar la carga, moverla y protegerla a lo largo de toda su cadena de suministros.

Respuesta:

Notas Explicativas:

Anexar el procedimiento documentado para la gestión de inventarios. Este debe incluir, de acuerdo a su operación entre otros aspectos, lo siguiente:

I.           Mencionar que tipo de sistema utiliza para el intercambio de información con la autoridad para efectos de inventario y sus clientes.

II.          Quien es su proveedor.

III.         Indicar si cuenta con un plan contingente en caso de fallas en el sistema.

IV.        Mencionar donde está localizado físicamente y quienes son los responsables de su operación.

V.         La frecuencia con la que lleva a cabo la verificación de existencias (Inventario periódico). Indique si existe un calendario programado documentado para realizarlos o de conformidad a las disposiciones operativas de sus clientes.

VI.        Indicar que se realiza, en el caso de existir excedentes y faltantes en los inventarios y la comunicación con sus clientes.

VII.       Señalar el tratamiento que se brinda para el control y manejo del material de empaque, envase y embalaje en el que también se incluya el procedimiento de control, diseminación y prevención de la contaminación visible de plagas, en el caso de uso de materiales de embalaje de madera (como tarimas o pallets, cajas, cajones, jaulas, carretes, estiba, calzas, soportes o plataformas) para apilar la carga, moverla y protegerla.

VIII.      Este punto, también está enfocado a reducir el riesgo de introducción o diseminación de plagas de importancia cuarentenaria al país a través del embalaje (importaciones), por lo anterior, describa cómo cumple con las disposiciones señaladas por la SEMARNAT y la NOM-144-SEMARNAT-2017, en concordancia con la Norma Internacional de Medidas Fitosanitarias No.15 denominada “Reglamentación del embalaje de madera utilizado en el Comercio Internacional”, las cuales emanan de la Organización de las Naciones Unidas para la Alimentación y la Agricultura.

IX.        Señalar cómo es el proceso de fumigación para matar, inactivar, esterilizar, desvitalizar o eliminar plagas. Qué acciones realiza en caso de requerir cuarentena de los materiales de embalaje.

X.         Indicar el o área responsable de llevar a cabo este proceso, así como la documentación o certificados que se obtienen.

Los procedimientos del solicitante podrán incluir:

I.           Almacén solamente accesible a personal autorizado.

II.          Control de mercancías entrantes, transferencias a otros almacenes, consolidación o des-consolidación.

III.         Acciones que se toman si se identifican irregularidades, discrepancias, pérdidas o hurtos.

IV.        Tratamiento del deterioro o de la destrucción de las mercancías.

V.         Separación de los diversos tipos de mercancías por ejemplo de alto valor, peligrosas.

6. Gestión aduanera.

El recinto fiscalizado estratégico debe contar con procedimientos documentados en los que se establezcan políticas internas y de operación, así como de los controles necesarios para el debido cumplimiento de las obligaciones aduaneras.

6.1 Gestión del despacho aduanero.

El recinto fiscalizado estratégico debe contar con un procedimiento documentado en el que se establezcan los criterios para la selección de un agente aduanal o, en su caso, un apoderado aduanal, quienes, conforme a la legislación nacional, son autorizados para promover por cuenta ajena el despacho de las mercancías.

Respuesta:

Notas Explicativas:

Describir el procedimiento de selección y evaluación del agente apoderado aduanal y asegúrese que incluya los siguientes puntos:

I.           Criterios de selección.

II.          Métodos de evaluación y periodicidad.

III.         Describir los indicadores con los que evalúa el servicio de los agentes aduanales.

Indicar el nombre completo y el número de la patente y/o autorización del agente o apoderado aduanal autorizado para promover sus operaciones de comercio exterior.

6.2 Obligaciones aduaneras.

El recinto fiscalizado estratégico debe contar con un procedimiento documentado que establezca cómo mantiene actualizado el control de inventarios de las mercancías de comercio exterior automatizado y en línea con la autoridad de manera permanente e ininterrumpida, conforme a lo establecido en el artículo 59, fracción I, de la Ley y la información a que se refiere la regla 4.8.3. y el Anexo 24.

Además, debe incluir al menos lo siguiente: a) el proceso para dar cumplimiento a las medidas de seguridad, control vigilancia, vías de acceso, infraestructura, y equipamiento de la superficie; b) procesos relativos a los equipos para la agilización del despacho aduanero relativo a los sistemas electrónicos para el control de las mercancías personas o vehículos que ingresen o retiren del recinto. Lo anterior conforme a disposiciones propias de su autorización.

Por otro lado, debe incluir en el procedimiento el proceso de destrucción de desperdicios o destino en mercado nacional o extravío de mercancía conforme a la normatividad vigente, transferencias de mercancías a recintos fiscalizados y/o estratégicos, traslados para efectos de mantenimiento, reparación o calibración en maquinaria y/o equipo.

Respuesta:

Notas Explicativas:

Anexar el procedimiento para cumplir con sus obligaciones aduaneras.

Anexar el (los) procedimiento(s) para el cumplimiento de las reglas 1.5.3., 1.6.13. y 1.6.17., según corresponda.

6.3 Comprobación aduanera.

El recinto fiscalizado estratégico, con el objeto de verificar la veracidad de la información declarada a su nombre ante las autoridades competentes, debe tener procedimientos documentados para que el personal que designa la empresa, verifique periódicamente que los pedimentos que tiene registrados en su contabilidad coinciden con lo que aparece registrado en el SAAI Web y, en su caso, reportar a la autoridad aduanera cualquier discrepancia en dicha información. La empresa, de igual forma, debe contar con un procedimiento para el archivo de los pedimentos para su adecuado control.

Respuesta:

Notas Explicativas:

Anexar el procedimiento establecido para verificar la información que aparece registrada en el SAAI Web, y cotejar con los pedimentos y documentación solicitados al agente aduanal y/o representante aduanal.

7. Seguridad de los vehículos de carga, contenedores, remolques y/o semirremolques.

Se debe mantener la seguridad de los medios de transporte, tractores, contenedores, remolques y semirremolques (incluyendo vehículos de carga tipo camioneta pick up, furgoneta o van, entre otros) para protegerlos de la introducción de personas y/o materiales no autorizados. Por lo anterior, es necesario tener procedimientos documentados para revisar, sellar y mantener la integridad de los mismos. De igual manera, el proceso de inspección dichos medios de transporte, contenedores, carros de tren, remolques y semirremolques utilizados como Instrumentos de Tráfico Internacional, debe de incluir un procedimiento de inspecciones agrícolas para buscar plagas visibles y deficiencias estructurales graves. La contaminación por plagas se define como formas visibles de animales, insectos u otros invertebrados (vivos o muertos, en cualquier etapa del ciclo de vida, incluidos huevos, etcétera), o cualquier material orgánico de origen animal (incluidos sangre, huesos, cabello, carne, secreciones, excreciones, etcétera); plantas o productos vegetales (incluidas frutas, semillas, hojas, ramitas, raíces, corteza, etcétera); u otro material orgánico, incluidos los hongos, tierra o agua; cuando dichos productos no sean la carga declarada dentro de los Instrumentos de Tráfico Internacional.

En caso de utilizar sellos de alta seguridad, es necesario que contar con procedimientos para sellar correctamente y mantener la integridad de los contenedores y remolques desde el momento en que salen de sus instalaciones. Se debe aplicar un sello de alta seguridad a todos los contenedores y remolques a los embarques de comercio exterior, los cuales deben cumplir o exceder la Norma ISO 17712 para sellos de alta seguridad.

Con el objetivo de mantener la seguridad de la cadena de suministros, el recinto fiscalizado debe inspeccionar todos los vehículos de carga de forma sistemática a la entrada y salida de sus instalaciones (domésticos y de tráfico internacional), además de llevar un registro.

7.1 Uso de sellos y/o candados en contenedores.

El recinto fiscalizado estratégico, en su caso, debe identificar los medios de transporte de carga propios o sub contratados que transportan mercancías de comercio exterior que pueden ser: marítimos, aéreos, terrestres nacionales, transfronterizos, ferroviarios y/o multimodales que estén sujetos a la colocación de sellos y/o candados para que cumplan o excedan la Norma ISO 17712 con la finalidad de garantizar en todo momento la integridad de la carga.

Por lo anterior, como uno de los mecanismos de seguridad, el recinto fiscalizado estratégico, en su caso debe utilizar los candados o sellos de alta seguridad que cumplan o excedan la Norma ISO 17712 en todos los contenedores y remolques cargados que sean objeto de comercio exterior y mantener su integridad hasta la entrega en el destino final. Para ello, el recinto debe tener procedimientos documentados para colocar y verificar la correcta aplicación de los sellos, su inspección en puntos intermedios, destino final y de su reemplazo cuando sean abiertos por alguna autoridad. En caso de una inspección de este tipo, los conductores deben notificar y registrar cualquier anomalía o modificación estructural inusual que se encuentre en el medio de transporte derivado de dicha revisión. Los procedimientos deben incluir los pasos a seguir si se descubre que un sello está alterado, manipulado o hay un número de sello incorrecto en la documentación, los protocolos de comunicación a los socios comerciales involucrados en la cadena de suministros y la investigación del incidente de seguridad, estas deben notificarse al personal de seguridad, socios comerciales que pueden ser parte de la cadena de suministro afectada, especialista de seguridad o contacto del Programa Operador Económico Autorizado.

Asimismo, es necesario contar con un procedimiento documentado para la administración de los mismos donde se incluya el control, asignación, resguardo, manejo de discrepancias y destrucción de sellos y candados (este último es obligatorio siempre y cuando rompan sellos en sus instalaciones). Respecto al proveedor de los sellos y/o candados, se deberá demostrar de qué forma estos cumplen con la Norma ISO 17712. La gerencia de la empresa o un supervisor de seguridad debe realizar auditorías periódicas y documentadas de los sellos y/o candados de alta seguridad, estas revisiones deben incluir la verificación del inventario de sellos y/o candados almacenados y la compulsa con los registros de inventario y los documentos de envío. También, los supervisores del área de embarques y/o los gerentes de almacén deben verificar periódicamente los números de sello utilizados en los medios de transporte e Instrumentos de Tráfico Internacional para corroborar que la información sea correcta.

Para este caso, el recinto fiscalizado estratégico debe contar con un procedimiento documentado en el que de conformidad a su análisis de riesgo supervise la colocación de sellos y/o candados a los medios de transporte que trasladan mercancía de comercio exterior de conformidad a su proceso logístico y en aquellos tráficos que lo requieran por su alta probabilidad de ocurrencia e impacto del riesgo identificado y durante las maniobras en el recinto. En él, debe evidenciar controles que permitan acreditar que supervisa la portabilidad de sellos y/o candados derivado de entradas o salidas del recinto fiscalizado estratégico en los medios de transporte. En todos los casos, debe utilizar el método de inspección VVTT para mitigar manipulaciones indebidas conforme a lo siguiente:

I.           V- Ver el sello y mecanismos de las cerraduras del contenedor.

II.          V- Verificar el número de sello.

III.         T- Tirar del sello para asegurarse que está correctamente puesto.

IV.        T- Torcer y girar el sello para asegurarse.

Respuesta:

Notas Explicativas:

Enlistar de acuerdo a su análisis de riesgo y su proceso logístico, los medios de transporte que están sujetos a la colocación de sellos y/o candados de alta seguridad.

Anexar el procedimiento documentado para la supervisión de colocación y revisión de sellos y/o candados en los vehículos, medios de transporte, contenedores, remolques y/o semirremolques que transportan mercancía de comercio exterior. Este debe incluir, entre otros aspectos de acuerdo a su operación:

I.           El uso de sellos y/o candados que cumplan o excedan la norma ISO17712.

II.          Si aplica, utilizar el método de inspección de VVTT.

III.         Revisar y cotejar la documentación que contenga el número del sello o candado original para efectos de entradas o salidas de recintos fiscalizados estratégicos. En caso de utilizar el sello y/o candado de reemplazo, deberá de registrarse dicho número dentro del control del recinto fiscalizado estratégico. Si se identifican sellos y/o candados alterados se deben guardar para ayudar a realizar la investigación de dicho incidente o discrepancia.

IV.        Indicar cómo asignan y remplazan los candados de alta seguridad, en el caso de maniobras como reconocimiento previo, reemplazo, entre otros.

En su caso, anexe el procedimiento documentado para el control y manejo de los sellos y/o candados, este debe incluir, entre otros aspectos de acuerdo a su operación:

I.           Qué tipo de sellos y/o candados utiliza en sus operaciones (comercio exterior, tránsito, almacenaje, etcétera).

II.          Quién tiene acceso y cómo se resguardan los candados y/o sellos. La gestión de los sellos y/o candados debe estar restringida solo al personal autorizado; almacenarse en un lugar seguro, tener un inventario, control de su distribución y seguimiento (registro de sellos que se utilizan, así como de la recepción de nuevos sellos y/o candados.

III.         Describir cómo la gerencia de la empresa o el supervisor de seguridad participan en las auditorías de los sellos y/o candados de alta seguridad, las revisiones que realizan, los registros que generan y las acciones que realizan en caso de identificar discrepancias. También, cómo los supervisores del área de embarques y/o los gerentes de almacén verifican números de sello utilizados en los medios de transporte e Instrumentos de Tráfico Internacional para corroborar que la información sea correcta (este proceso también puede estar incluido dentro de las auditorías internas a que refiere el sub-estándar 1.3 del presente documento).

IV.        Cómo se atienden las discrepancias en los números de sellos y/o candados.

V.         Indicar quién es el proveedor(es) y cómo se comprueba que las especificaciones de los sellos y/o candados cumplan con la Norma ISO 17712 (anexar certificado expedido por la empresa certificadora encargada de verificar el cumplimiento de la ISO correspondiente).

Todos los procedimientos escritos deben difundirse y mantenerse a nivel operativo para que sean de fácil acceso para los empleados encargados de ejecutar las tareas arriba descritas, revisarse al menos una vez al año y actualizarse según sea necesario.

7.2 Inspección de los medios de transporte, contenedores, remolques y semirremolques.

Debe haber procedimientos establecidos para verificar la integridad física de la estructura de los medios de transporte contenedor, carros de tren, remolques y/o semirremolques utilizados como Instrumentos de Tráfico Internacional, conforme a su naturaleza, incluso la confiabilidad de los mecanismos de cerradura en los mismos con la finalidad de identificar compartimientos naturales u ocultos, según sea el caso.

Las inspecciones de los medios de transporte o vehículos de carga, contenedores y remolques deben ser sistemáticas y efectuarse a la entrada y salida de la empresa y, en su caso, en el punto de carga de las mercancías; y si la infraestructura lo permite, antes de llegar a la aduana de despacho utilizando el método de inspección de VVTT deberá llevarse un registro de estas inspecciones, en un área de acceso controlado y realizarse en un lugar monitoreado por los sistemas de alarma y de circuito cerrado de televisión y video vigilancia, dicho sistema debe cubrir el proceso de inspección en su totalidad.

El procedimiento documentado para su inspección debe incluir de manera enunciativa, más no limitativa, los siguientes puntos de revisión:

Para los medios de transporte con remolque o compartimiento de carga integrado, deberá adicionarse a los puntos de medios de transporte, lo indicado en el apartado de Remolques.

De igual manera, antes de cargar los medios de transporte, contenedores, carros de tren, remolques y semirremolques utilizados como Instrumentos de Tráfico Internacional, deben pasar por inspecciones agrícolas y de seguridad para garantizar que sus estructuras no hayan sido modificadas para ocultar contrabando o que hayan sido contaminadas con plagas agrícolas visibles, mantener un registro y estar respaldadas por un procedimiento documentado. Si se encuentra contaminación visible de plagas durante la inspección o transporte de mercancías objeto de comercio exterior, se debe limpiar (lavar, aspirar, etcétera) para eliminar dicha contaminación.

Respuesta:

Notas Explicativas:

Anexar el procedimiento documentado para llevar a cabo la inspección de seguridad y agrícola de los medios de transporte conforme a su naturaleza y proceso logístico que se trate en las entradas y salidas del recinto fiscalizado. Este debe incluir, entre otros aspectos de acuerdo a su operación:

I.           Responsables de llevar a cabo la inspección.

II.          Definición del(los) lugar(es) donde se lleva a cabo la inspección e indicar cómo es el monitoreo realizado por los sistemas de alarma y de circuito cerrado de televisión y video vigilancia.

III.         Los puntos de revisión de seguridad para medios de transporte, remolques, semirremolques, contenedores transportación ferroviaria y/o multimodal conforme a las disposiciones oficiales e inspecciones agrícolas con cuya finalidad es buscar plagas visibles.

Anexar el formato para la inspección de medios de transporte o vehículos de carga, contenedores, carros de tren, remolques y/o semirremolques. Si utiliza otro tipo de vehículos de. carga para el transporte de sus mercancías (camionetas tipo van, pickup, 3.5 toneladas, pipas, etcétera), su procedimiento y formato de inspección deberán de incluir el proceso y puntos de revisión.

Asimismo, el formato de inspección de seguridad y agrícola deberá incluir la siguiente información:

I.           Fecha de inspección;

II.          Hora de la inspección;

III.         Placas del vehículo (tractor y remolque);

IV.        Número de contenedor/remolque;

V.         Áreas específicas de los vehículos de carga que fueron inspeccionadas; y,

VI.        Nombre del empleado que realiza la inspección y del supervisor.

Los formatos de inspección de seguridad y agrícola podrán estar firmados por el supervisor para corroborar su información y ser parte de la documentación de importación y exportación.

La documentación debe conservarse durante un año para una investigación en caso de ocurrir algún incidente de seguridad, así como para demostrar el cumplimiento continuo de estos requisitos de inspección.

En caso de considerarlo necesario, el formato de inspección de los vehículos de carga podría ser parte de la documentación de envío. Adicionalmente, y conforme al análisis de riesgo, la empresa debería realizar revisiones aleatorias de medios de transporte después de que el personal de transporte haya realizado inspecciones de medios de transporte para verificar que se hayan realizado de forma correcta, contrarrestar las conspiraciones internas y prevenir incidentes de seguridad.

Las revisiones deben realizarse al azar, sin previo aviso, para que no se vuelvan predecibles, además de llevarse a cabo en distintos lugares donde el medio de transporte pueda ser susceptible de contaminación.

7.3 Almacenaje de vehículos, medios de transporte, contenedores, carros de tren, remolques y semirremolques.

Cuando los medios de transporte, contenedores, remolques y/o semirremolques que serán destinados a transportar mercancías de comercio exterior se encuentren vacíos y deban almacenarse en las áreas de estacionamiento, deberán ser asegurados con un candado y/o sello indicativo, o en su caso, en un área segura que se encuentre resguardada y/o monitoreada.

Cuando se tenga que almacenar algún contenedor, remolque y/o semirremolque cargado, este debe encontrarse en un área segura que tenga barreras físicas y monitoreada por los sistemas de alarma y de circuito cerrado de televisión y video vigilancia, para impedir el acceso no autorizado y la manipulación de la mercancía por lo que debe estar cerrado con un candado de alta seguridad de acuerdo a la Norma ISO 17712.

Respuesta:

Notas Explicativas:

Indicar si la empresa almacena los contenedores, remolques y/o semirremolques para su posterior despacho, o en su caso los que se encuentren vacíos y de qué manera mantiene la integridad de los mismos dentro de sus instalaciones.

I.           En caso de utilizar candado y/o sellos, indique qué tipo utiliza.

II.          En caso de utilizar algún contenedor, remolques y/o semirremolques como almacén de materia prima y/o algún otro tipo de mercancías, señale como mantiene la integridad y seguridad de las mismas.

8. Seguridad del personal.

Se debe contar con procedimientos documentados para el registro y evaluación de personas que desean obtener un empleo dentro del recinto fiscalizado y establecer métodos para realizar verificaciones periódicas de los empleados actuales.

También, deben existir programas de capacitación continuos para el personal que se difundan las políticas de seguridad del recinto, así como las consecuencias y acciones a tomar en caso de cualquier falta o incidente de seguridad.

8.1 Verificación de antecedentes laborales.

El recinto fiscalizado estratégico debe tener procedimientos documentados para investigar y verificar la información asentada en el currículo, antecedentes criminales (si la legislación y las políticas de la empresa lo permiten) y solicitud de los candidatos con posibilidad de empleo, de conformidad con la legislación local, ya sea por cuenta propia o por medio de una empresa externa.

De igual forma, para los cargos que por su sensibilidad así lo requieran y afecten la seguridad de los embarques que sean objeto de comercio exterior, de conformidad con su análisis de riesgo efectuado previamente, deberán considerar solicitar requisitos más estrictos para su contratación, los cuales se deberán realizar de manera periódica. Respecto al personal que ya labora en la compañía, se deben realizar investigaciones periódicas en función de las actividades y/o la sensibilidad del puesto del empleado.

Toda la información referente al personal deberá mantenerse en expedientes personales, mismos que deberán tener un acceso restringido.

Respuesta:

Notas Explicativas:

Describir el procedimiento documentado para la contratación del personal, y asegúrese de incluir lo siguiente:

I.           Requisitos y documentación exigida.

II.          Pruebas y exámenes solicitados.

Indicar las áreas y/o puestos críticos que se hayan identificado como de riesgo, conforme a su análisis y señale lo siguiente:

I.           Indicar cuales son los requerimientos adicionales para áreas y/o puestos de trabajo específicos como antecedentes criminales (si la legislación y las políticas de la empresa lo permiten), carta de antecedentes no penales, estudios socioeconómicos, estudios clínicos, toxicológicos (uso de drogas), etcétera. En su caso, señale los puestos o áreas de trabajo en que se requieren y con qué periodicidad se llevan a cabo.

II.          Indicar si previo a la contratación, el candidato debe firmar un acuerdo de confidencialidad o un documento similar.

En caso de contratar una agencia de servicios para la contratación de personal, indique si esta cuenta con procedimientos documentados para la contratación de personal y cómo se asegura de que cumplan con el mismo. Explique brevemente en qué consisten.

Los procedimientos para la contratación del personal y contratistas podrán incluir:

I.           Investigaciones exhaustivas de los antecedentes laborales y personales de los nuevos empleados.

II.          Cláusulas de confidencialidad y responsabilidad en los contratos de los empleados.

III.         Requerimientos específicos para puestos críticos.

IV.        En su caso, la actualización periódica del estudio socioeconómico y físico/médico de los empleados que trabajen en áreas críticas y/o sensibles.

V.         Proceso de contratación y requisitos que solicitan para los empleados temporales y contratistas.

El recinto puede considerar los resultados de las verificaciones de antecedentes de los candidatos, según lo permita la legislación vigente para tomar decisiones de contratación. Las verificaciones de antecedentes no se limitan a la verificación de identidad y antecedentes penales. En áreas de mayor riesgo, puede justificar investigaciones más profundas.

8.2 Procedimiento para baja del personal.

Deben existir procedimientos documentados para la baja del personal, en los que se incluya la entrega de identificaciones, y cualquier otro artículo que se le haya proporcionado para realizar sus funciones (llaves, uniformes, gafetes y/o credenciales equipos informáticos, contraseñas, herramientas, etcétera). Asimismo, este procedimiento debe incluir la baja en sistemas informáticos y de accesos, entre otros que pudieran existir.

Respuesta:

Notas Explicativas:

Describir el procedimiento para la baja del personal, y asegúrese de incluir lo siguiente:

I.           Quién es el responsable de llevar a cabo y dar seguimiento a este procedimiento.

II.          Cómo se realiza y confirma la entrega de identificaciones, controles de acceso y demás equipo.

III.         Indicar el control registro y/o formato, en que se identifique y asegure la entrega de material y baja en sistemas informáticos (en su caso, anexar).

IV.        Señalar el tipo registros del personal que finalizó su relación laboral con la empresa, para que cuando haya sido por motivos de seguridad, se prevenga a sus proveedores de servicios y/o asociados de negocio.

8.3 Administración de personal.

El recinto fiscalizado estratégico debe mantener un sistema, control o base de datos de empleados activos actualizada. Asimismo, debe realizar y mantener actualizados los registros de afiliación a instituciones de seguridad social y demás registros legales de orden laboral.

En el caso de que la empresa cuente con personal contratado por sus socios comerciales y labore dentro de las instalaciones, deberá asegurarse de que cumplan con los requerimientos establecidos para el resto de sus empleados.

Respuesta:

Notas Explicativas:

Indicar si el recinto cuenta con un sistema, control o base de datos actualizada, tanto del personal empleado directamente, como aquel contratado a través de una empresa proveedora de servicios y asegúrese que incluya de forma enunciativa mas no limitativa los siguientes puntos:

I.           Nombre completo.

II.          Fotografía actualizada mínimo cada cinco años.

III.         Datos personales (edad, nombre, fecha de nacimiento, número telefónico, domicilio, CURP, número de seguridad social, tipo sanguíneo, alergias, etcétera).

IV.        Filiación.

V.         Antecedentes laborales.

VI.        Enfermedades.

VII.       Exámenes médicos.

VIII.      Capacitación.

IX.        Resultados de evaluaciones periódicas.

X.         Observaciones.

Este personal, deberá estar contratado de acuerdo con las leyes y reglamentos de orden laboral vigentes.

9. Seguridad de la información y documentación.

Deben existir medidas de prevención para mantener la confidencialidad e integridad de la información y documentación, relativa a las operaciones de comercio exterior, incluyendo aquellos utilizados para el intercambio de información con otros integrantes de la cadena de suministros. Asimismo, deben existir políticas y/o procedimientos integrales documentados para proteger los sistemas de Tecnologías de la Información, que incluyan las medidas contra su mal uso, además de identificar y priorizar acciones para reducir el riesgo de la ciberseguridad. También, podrían abordar cómo un miembro comparte información sobre amenazas de seguridad cibernética con el gobierno y otros socios comerciales.

9.1 Clasificación y manejo de documentos.

Deben existir procedimientos para clasificar documentos de acuerdo a su sensibilidad y/o importancia. La documentación sensible e importante debe ser almacenada en un área segura que solamente permita el acceso a personal autorizado. Se debe identificar el tiempo de vida útil de la documentación y establecer procedimientos para su destrucción.

La empresa deberá conducir revisiones de forma regular para verificar los accesos a la información y asegurarse de que no sean utilizados de manera indebida.

Respuesta:

Notas Explicativas:

Anexar el procedimiento documentado para el registro, control y almacenamiento de documentación impresa (clasificación y archivo de documentos) debiendo incluir:

I.           Registro de control para entrega, préstamo, entre otros documentos.

II.          Acceso restringido al área de archivos.

III.         Políticas de almacenamiento y clasificación.

IV.        Un plan de seguridad actualizado que describa las medidas en vigor relativas a la protección de los documentos contra accesos no autorizados, así como contra la destrucción deliberada o la pérdida de los mismos.

V.         Para el caso de información electrónica o digital, deberá apegarse a los criterios de seguridad del sub-estándar 9.2 Seguridad de la tecnología de la información.

9.2 Seguridad de la tecnología de la información.

Para proteger los sistemas de Tecnologías de la Información contra amenazas comunes de ciberseguridad, una empresa debe contar con suficiente protección que impulse la seguridad en la infraestructura de Tecnologías de la Información (software y hardware) contra malware (virus, spyware, gusanos, troyanos, etcétera), baiting, phishing e intrusiones internas/externas (firewalls) en los sistemas informáticos de las compañías. De igual manera, las empresas deben asegurarse de que su software de seguridad esté activo y reciba actualizaciones periódicas.

En el caso de los sistemas automatizados y equipos de cómputo, se deben utilizar cuentas individuales que exijan un cambio periódico de la contraseña. Con el fin de proteger la confidencialidad, integridad y disposición de la información, la empresa debe tener políticas, procedimientos y normas de tecnología de informática establecidas, que se deben comunicar mediante un programa de capacitación para todos los empleados que manejan equipos de cómputo y sistemas, que incluya temas para prevenir ataques a través de la ingeniería social y todas aquellas amenazas a los que están expuestos (malware, baiting, phishing, etcétera). Las empresas que permiten a sus empleados conectarse de forma remota a una red, deben emplear tecnologías seguras, como redes privadas virtuales (VPN), para permitir que los empleados accedan a la intranet de la empresa de forma segura cuando se encuentran fuera de la oficina, así como procedimientos diseñados para evitar el acceso remoto de usuarios no autorizados.

Por lo anterior, debe existir procedimientos escritos e infraestructura para proteger a la empresa contra pérdidas, robo, fuga, hackeo y/o secuestro de información, esto incluye el procedimiento para la recuperación (o reemplazo) de los sistemas y/o datos de tecnología de la información, así como un sistema o software establecido para identificar el abuso de los sistemas de tecnologías de la información y detectar el acceso inapropiado y/o la manipulación indebida o alteración de los datos comerciales y del negocio, así como un procedimiento escrito para la aplicación de medidas disciplinarias apropiadas a todos los infractores. El acceso a los sistemas de Tecnologías de la Información debe protegerse contra la infiltración mediante el uso de contraseñas seguras, que incluyan frases u otras formas de autenticación. Los usuarios de dichos sistemas de Tecnologías de la Información, deben salvaguardar y no compartir sus claves de accesos o contraseñas. Toda la infraestructura de Tecnologías de la Información debe estar protegida físicamente contra el acceso no autorizado.

Si se produce una filtración de datos u otro evento inesperado que derive en la pérdida de datos y/o equipos, los procedimientos deben incluir la recuperación o reemplazo de los sistemas y/o datos de Tecnologías de la Información.

Respuesta:

Notas Explicativas:

Anexar el procedimiento para la recuperación o reemplazo de los sistemas y/o datos de tecnologías de la información, que incluya cómo respalda y garantiza la seguridad de su información, además de protegerla de posibles pérdidas. Asegúrese de incluir los siguientes puntos:

I.           Señalar la frecuencia con que se llevan a cabo las copias de respaldo de la información.

II.          Quien tiene acceso a las mismas y quién autoriza la recuperación de la información.

III.         Indicar que tipo de pruebas realiza y cada cuando, para verificar la seguridad de la red, los sistemas y la infraestructura.

IV.        Mencionar si para realizar este tipo de pruebas o escaneos de vulnerabilidad, lo hace a través de un software, un tercero o proveedor y, en su caso indique el nombre o razón social.

V.         En caso de encontrar vulnerabilidades, describa las acciones correctivas que deben implementarse.

VI.        Indicar si comparte información sobre las amenazas a la seguridad cibernética con sus socios comerciales que participan dentro de su cadena de suministro (por ejemplo: comunicados, boletines, correos electrónicos, etcétera).

VII.       Los sistemas deben estar protegidos bajo contraseñas y con frecuencia deben ser modificadas, por lo anterior indique el procedimiento para cambiarlas.

VIII.      Señalar si existen políticas de seguridad de la información para su protección.

IX.        Debe existir un sistema o software para detectar e identificar el abuso, intrusión o acceso de personas no autorizadas a sus sistemas y/o datos de Tecnologías de la Información (cualquier sistema que sea utilizado por el recinto), así como el abuso de las políticas y procedimientos establecidos por la empresa, incluido el acceso indebido a sistemas internos, sitios web externos y la manipulación o alteración de datos comerciales por parte de empleados o contratistas.

X.         Todos los infractores deben estar sujetos a la aplicación de medidas disciplinarias, por lo anterior, indique las políticas correctivas y/o sanciones en caso de la detección de alguna violación a los sistemas y políticas de seguridad de Tecnologías de la Información.

Las políticas y los procedimientos de Tecnologías de la Información y seguridad cibernética deben revisarse anualmente y actualizarse derivado de algún ataque o de acuerdo a situaciones que puedan poner en riesgo los sistemas del recinto.

Describir las medidas de seguridad que utiliza para permitir a sus empleados conectarse de forma remota a una red (VPN), para permitir que los empleados accedan a la intranet del recinto de forma remota cuando se encuentran fuera de la oficina.

En caso de permitir que los empleados usen dispositivos personales para realizar el trabajo de la empresa, dichos dispositivos deben cumplir con las políticas y procedimientos de seguridad cibernética del recinto, las actualizaciones de seguridad deben ser periódicas y contar con un método para acceder de forma segura a la red del recinto.

Señalar si los socios comerciales tienen acceso a los sistemas informáticos del recinto. En su caso, indique que programas y como aseguran el control de acceso a los mismos.

Indicar si el equipo de cómputo cuenta con un sistema de respaldo de suministro eléctrico que permita la continuidad del negocio.

Los procedimientos referentes al respaldo de la información del recinto también deberán incluir:

I.           Cómo y por cuánto tiempo se almacenan los datos (los datos deberían respaldarse una vez a la semana o según corresponda).

II.          Plan de continuidad del negocio en caso de incidente y de cómo recuperar la información.

III.         Frecuencia y localización de las copias de seguridad y de la información archivada.

IV.        Si las copias de seguridad se almacenan en sitios alternativos a las instalaciones donde se encuentra el centro de proceso de datos.

V.         Pruebas de la validez de la recuperación de los datos a partir de copias de seguridad.

Los procedimientos referentes a la protección de la información del recinto también deberán incluir como mínimo lo siguiente:

I.           Una política actualizada y documentada de protección de los sistemas informáticos del recinto de accesos no autorizados y destrucción deliberada o pérdida de la información. Todos los datos sensibles y confidenciales deben almacenarse en un formato cifrado o encriptado.

II.          Detallar si opera con sistemas múltiples (sedes/sitios) y cómo se controlan dichos sistemas.

III.         Quién es responsable de la protección del sistema informático del recinto (la responsabilidad no debería estar limitada a una persona, sino a varias, de forma que cada uno pueda controlar las acciones del resto).

IV.        El acceso de cada usuario debe asignarse a través de cuentas individuales y estar restringido según la descripción del trabajo o las tareas asignadas. Por lo anterior, describa cómo se conceden autorizaciones de acceso y nivel de acceso a los sistemas informáticos (el acceso a la información sensible debe estar limitado al personal autorizado a realizar modificaciones y uso de la información). El acceso autorizado debe monitorearse por parte del área responsable de concederlo, para verificar o en su caso reportar que el acceso a los sistemas confidenciales se basa en los requisitos del trabajo.

V.         Indicar los elementos o formato que deben tener las contraseñas para el acceso a sistemas de Tecnologías de la Información y equipos de cómputo, frecuencia de cambios, si existen otros métodos de autenticación y quién o qué área proporciona esas contraseñas.

VI.        Indicar el nombre del cortafuego “firewall” y anti-virus utilizados (incluir lo relacionado al licenciamiento), debiendo evidenciar que este software de seguridad está activo y recibe actualizaciones periódicas.

             Por lo anterior, las políticas y procedimientos de ciberseguridad deberían incluir medidas para prevenir el uso de productos tecnológicos falsificados o con licencias incorrectas (software y hardware).

             Todos los equipos de cómputo, medios electrónicos (discos duros, teléfonos celulares, etcétera) y hardware de Tecnologías de la Información que contengan información confidencial relacionada con el proceso de importación y exportación, deben contabilizarse mediante inventarios periódicos y contar con dicha evidencia. Cuando estos equipos tecnológicos se tengan que desechar, debe existir un procedimiento documentado que incluya como deben formatearse, desinfectarse o destruirse adecuadamente para evitar fuga de información.

VII.       En caso de baja de personal, el acceso a equipos de cómputo, telecomunicaciones y red debe eliminarse al momento de la separación del empleado, esto incluye cuentas de correo electrónico, cuentas de accesos a sistemas, software, programas, etcétera.

VIII.      Medidas previstas para tratar incidentes cuando el sistema se vea comprometido.

10. Capacitación en seguridad y concientización.

Debe haber un programa documentado de concientización sobre amenazas establecido y mantenido por el Comité de Seguridad para reconocer y crear conciencia sobre las amenazas de terroristas y contrabandistas en cada punto de la cadena de suministros. El programa de capacitación debe ser integral y cubrir todos los requisitos de seguridad del Programa Operador Económico Autorizado.

Los empleados administrativos y operativos deben conocer los procedimientos establecidos de la compañía para considerar una situación de riesgo y saber cómo denunciarla. Se debe brindar capacitación específica a los empleados que por sus funciones se encuentran en contacto directo con las mercancías y/o los medios de transporte, así como a los empleados que se encuentren en áreas críticas y/o sensibles determinadas bajo su análisis de riesgo (áreas de seguridad, carga y descarga, así como también, aquellos que reciben y abren mensajería y paquetería, entre otros).

10.1 Capacitación y concientización sobre amenazas.

El recinto fiscalizado estratégico debe contar con un programa de capacitación y concientización de las políticas de seguridad en la cadena de suministros dirigido a todos sus empleados (operativos y administrativos) y, adicionalmente, poner a su disposición material informativo respecto de los procedimientos establecidos en la compañía para considerar una situación que amenace su seguridad y saber cómo denunciarla.

De igual forma, se debe ofrecer capacitación específica conforme a sus funciones para ayudar a los empleados a mantener la integridad de la carga, realizar la revisión de contenedores, remolques y/o semirremolques, con fines agrícolas y de seguridad, recepción y revisión de mensajería y paquetería, prevención de operaciones con recursos de procedencia ilícita (lavado dinero, financiamiento al terrorismo, etcétera), cómo reconocer y reportar conspiraciones internas, proteger los controles de acceso, así como capacitación referente a contrabando, robo de mercancía, colocación de sellos y candados de alta seguridad (método de inspección VVTT), prevención sobre contaminación visible de plagas, etcétera. Estos temas deben establecerse como parte de la inducción de nuevos empleados y mantener periódicamente programas de actualización. La capacitación de actualización debe realizarse periódicamente, después de un incidente de seguridad y cuando haya cambios en los procedimientos del recinto.

Aunado a los programas de capacitación en seguridad, se debe incluir un programa de concientización sobre consumo de alcohol y drogas. También, difundir y capacitar al personal sobre las políticas, procedimientos y normas de ciberseguridad de la empresa (robo, fuga, hackeo y/o secuestro de información), incluyendo el acceso al equipo de cómputo y sistemas mediante contraseñas o frases. El personal que opera y administra los sistemas de tecnología de seguridad debe recibir capacitación relacionada a su operación y mantenimiento, incluyendo autoformación a través de manuales operativos y otros métodos. Estos temas deben establecerse como parte de la inducción de nuevos empleados y mantener periódicamente programas de actualización.

Los programas de capacitación deben fomentar la participación activa de los empleados en los controles y mecanismos de seguridad, así como mantener registros de todos los esfuerzos de capacitación que haya brindado la empresa y la relación de quienes participaron en ellos (videos, fotografías, minutas, listas de asistencia, intranet u otro sistema, material didáctico, presentaciones en PowerPoint, folletos, etcétera). Los registros deben incluir la fecha de la capacitación, los nombres de los asistentes, los temas impartidos, además de tener medidas para verificar que la capacitación brindada cumplió con todos los objetivos de capacitación.

Respuesta:

Notas Explicativas:

Debe contar con un programa de capacitación en materia de seguridad y prevención en la cadena de suministros para todos los empleados que laboren para la empresa (administrativos, operativos, directos e indirectos).

Explicar brevemente en qué consiste el programa de capacitación y asegúrese de incluir lo siguiente:

I.           Breve descripción de los temas que se imparten en el programa.

II.          En qué momento se imparten (inducción, períodos específicos, derivado de auditorías, incidentes de seguridad, etcétera).

III.         Periodicidad de las capacitaciones, así como las actualizaciones y reforzamiento.

IV.        Indicar de qué forma se documentan la participación en las capacitaciones de seguridad en la cadena de suministros videos, fotografías, minutas, listas de asistencias, intranet u otro sistema, material didáctico, presentaciones en PowerPoint, folletos, etcétera). Los registros de capacitación deben incluir la fecha, los nombres de los asistentes, los temas impartidos, además de tener medidas para verificar que la capacitación brindada cumplió con todos los objetivos de la misma.

V.         Explicar cómo se fomenta la participación de los empleados en cuestiones de seguridad en la cadena de suministros.

La capacitación para realizar la revisión de los vehículos de carga, contenedores, remolques y/o semirremolques con fines agrícolas y de seguridad debe incluir los siguientes temas:

I.           Signos de compartimentos ocultos.

II.          Contrabando oculto en compartimentos naturales.

III.         Señales de contaminación por plagas.

IV.        Procedimientos a seguir si se encuentra algo durante una inspección del medio de transporte o si ocurre un incidente de seguridad durante el tránsito.

V.         La capacitación sobre revisiones agrícolas debe abarcar las medidas de prevención de plagas, los requisitos reglamentarios aplicables a los materiales de embalaje de madera en concordancia con la Norma Internacional de Medidas Fitosanitarias denominada “Reglamentación del embalaje de madera utilizado en el Comercio Internacional”, las cuales emanan de la Organización de las Naciones Unidas para la Alimentación y la Agricultura y la identificación de la madera infestada.

10.2 Concientización a los operadores de los medios de transporte.

El recinto fiscalizado estratégico debe dar a conocer a los operadores de los medios de transporte que utiliza para el traslado de las mercancías que se destinarán al comercio exterior, las políticas de seguridad respecto de procedimientos de inspección agrícola y de seguridad de medios de transporte, de carga y descarga, manejo de incidentes de seguridad, cambio de candados en caso de inspección por otras autoridades, entre otros, que se tengan implementados. Los operadores y el personal que realiza inspecciones agrícolas y de seguridad de medios de transporte, deben estar capacitados para inspeccionar los vehículos de carga con dichos fines.

En el caso de que el servicio de transporte sea proporcionado por un socio comercial, deberá asegurarse de que los operadores conozcan todas las políticas de seguridad y procedimientos establecidos.

Respuesta:

Notas Explicativas:

Describir el programa de difusión en materia de seguridad en la cadena de suministros enfocada a los operadores de los medios de transporte y asegúrese de incluir lo siguiente:

I.           Indicar cómo se lleva a cabo esta difusión.

II.          Señalar los temas que se cubren.

III.         En caso de utilizar los servicios de un socio comercial para el traslado de sus mercancías, indique de qué manera se informa a los operadores las políticas de seguridad y procedimientos del recinto.

IV.        Indicar de qué forma se documenta la participación en las capacitaciones de seguridad en la cadena de suministros de los operadores de los medios de transporte (videos, listas de asistencia, folletos, etcétera).

Los temas que deberán incluir, de manera enunciativa mas no limitativa, son:

I.           Políticas de acceso y seguridad en las instalaciones.

II.          Entrega-recepción de mercancía (que incluya envíos de carga sospechosos).

III.         Confidencialidad de la información de la carga.

IV.        Instrucciones de traslado.

V.         Reportes de accidentes y emergencias.

VI.        Instrucciones para la colocación de candados y/o sellos de alta seguridad en tránsito (colocación de uno nuevo, revisión después de alguna parada autorizada, etcétera).

VII.       Instalación y prueba de alarmas de seguridad y de rastreo de unidades, cuando aplique.

VIII.      Identificación de los formatos autorizados y documentos que utilizará.

IX.        Signos de compartimentos ocultos.

X.         Contrabando oculto en compartimentos naturales.

XI.        Señales de contaminación por plagas.

XII.       Procedimientos a seguir si se encuentra algo durante una inspección del medio de transporte o si ocurre un incidente de seguridad durante el tránsito.

11. Manejo e investigación de incidentes.

Deben existir procedimientos documentados para reportar e investigar incidentes en la cadena de suministros, las acciones a tomar para evitar su recurrencia, así como notificarse al personal de seguridad, socios comerciales que pueden ser parte de la cadena de suministro afectada, especialista de seguridad o contacto del Programa Operador Económico Autorizado y demás autoridades competentes. Los procedimientos de reporte e investigación deben incluir la información de contacto o directorio actualizado que enumere los nombres y números de teléfono del personal que requiere notificación. La investigación y análisis de incidentes deberá estar documentada (expediente físico y/o electrónico), así como acciones correctivas para evitar que vuelvan a ocurrir, mismas que deben implementarse lo más rápido posible.

En el caso de que la empresa identifique que alguno de sus embarques de comercio exterior, se encuentra involucrado en alguna situación que ponga en riesgo la seguridad de la cadena de suministro, debido a la sospecha de algún socio comercial o persona, deberá de informar al personal de seguridad, socios comerciales que pueden ser parte de la cadena de suministro afectada, especialista de seguridad o contacto del Programa Operador Económico Autorizado, así como a la autoridad competente y, de ser posible, antes del cruce fronterizo salida o despacho aduanero (importación y exportación). Los procedimientos deben incluir los pasos a seguir si se descubre que un sello está alterado, manipulado o hay un número de sello incorrecto en la documentación, los protocolos de comunicación a los socios comerciales involucrados en la cadena de suministros y la investigación del incidente. Todos los procedimientos anteriormente señalados deben revisarse periódicamente o mínimo una vez al año para garantizar que la información de contacto y los protocolos de actuación sean correctos.

11.1 Reporte de anomalías y/o actividades sospechosas.

En caso de detección de anomalías y/o actividades sospechosas relacionadas con la seguridad de la cadena de suministros y de conformidad con sus procesos logísticos, (relacionadas al control de accesos, entrega, recepción y almacenamiento de mercancía, inspecciones de seguridad de los vehículos de carga y operadores de transporte, etcétera), estas deben notificarse al personal de seguridad, socios comerciales que pueden ser parte de la cadena de suministro afectada, especialista de seguridad o contacto del Programa Operador Económico Autorizado y las demás autoridades competentes, llevando un registro de dichas anomalías y/o actividades inusuales.

Respuesta:

Notas Explicativas:

Describir el procedimiento para denunciar o reportar anomalías y/o actividades sospechosas, así como los contenga los mecanismos para informar de forma anónima los problemas relacionados con la seguridad y asegúrese de incluir lo siguiente:

I.           Quien es el responsable de reportar los incidentes.

II.          Detallar como determina e identifica con qué autoridad comunicarse en distintos supuestos o presunción de actividades sospechosas.

III.         Mencionar si lleva un registro de reporte de anomalías y/o actividades sospechas y describa brevemente en que consiste.

11.2 Investigación y análisis.

Deben existir procedimientos escritos para denunciar o reportar anomalías y/o actividades sospechosas, así como el análisis e investigación de incidentes de seguridad en la cadena de suministros para determinar su causa, así como acciones correctivas para evitar que vuelvan a ocurrir, mismas que deben implementarse lo más rápido posible. La información derivada de esta investigación deberá documentarse y estar disponible en todo momento para las autoridades que así lo requieran.

Esta información deberá incluir la documentación generada para llevar a cabo la operación de comercio exterior de las mercancías afectadas que permita identificar cada uno de los procesos por los que atravesó la mercancía hasta el punto en que se detectó la incidencia y que permita reconocer la vulnerabilidad de la cadena.

Respuesta:

Notas Explicativas:

Describir el procedimiento documentado para iniciar una investigación en caso de ocurrir algún incidente de seguridad y asegúrese de incluir lo siguiente:

I.           Responsable de llevar a cabo la investigación.

II.          Documentación que integra el expediente de la investigación.

Los documentos a incluir en el expediente derivado de la investigación, de manera enunciativa más no limitativa, podrán ser:

I.           Información general del embarque, orden de servicio.

II.          Solicitud de transporte; confirmación de medio de transporte; identificación del operador de transporte (registros de acceso, salida, registro de las inspecciones de seguridad, etcétera).

III.         Formatos de Inspección de medios de transporte; órdenes de salida; registros de recolección, entrega y recepción de mercancía de comercio exterior.

IV.        Videos de los sistemas de alarma y de circuito cerrado de televisión y video vigilancia.

V.         Documentación generada para el transportista (lista de empaque, carta porte, hoja de instrucciones).

VI.        Documentación generada por y para socios comerciales y autoridades aduaneras.

Perfil del Transportista Ferroviario

Acuse de Recibo

Primera Vez: £

Renovación:

£

Adición:

£

Modificación:

£

Los datos que proporcione sustituirán los que proporcionó cuando solicitó su autorización.

Información General

El objetivo de este Perfil, es el de asegurar que la empresa concesionaria de transporte ferroviario, desarrolle e implemente prácticas y procesos de seguridad que aseguren su cadena de suministro mitigando el riesgo de contaminación en sus equipos tractivos y de arrastre (furgones, góndolas, tolvas, carros tanque, contenedores, chasises, remolques, plataformas, etcétera, que no tienen tracción propia que circulan en las vías férreas y que utilizan para transportar mercancía en su interior y en contenedores) con productos ilícitos, así como de pérdida o robo de mercancía y/o cualquier otro factor que pueda vulnerar la seguridad de la cadena de suministro.

Las empresas concesionarias de transporte ferroviario interesadas en obtener la autorización a que se refiere la regla 7.1.5., deberán tener procesos documentados y verificables. Asimismo, que la empresa concesionaria del transporte ferroviario que se encuentre interesada en la autorización que se mencionó anteriormente deberá integrar los criterios exigidos en el presente documento al modelo o diseño empresarial que tenga establecido, buscando durante la implementación de los estándares en materia de seguridad la aplicación de una cultura de análisis que soporte la toma de decisiones acorde a los valores, misión, visión, códigos de ética y conducta de la propia empresa.

Durante el llenado de este documento, los interesados en obtener la certificación analizarán sus procesos logísticos, identificando riesgos que afecten la cadena de suministro y a su vez brindando un tratamiento para reducir estos riesgos. Principalmente aquellos relacionados con los puntos de origen y destino, rutas, instalaciones, volumen de operaciones, seguridad en patios, incidentes previos de seguridad e interacción con socios comerciales.

Instrucciones de llenado:

I.           Deberá llenar un “Perfil de Transportista Ferroviario” de la instalación principal y/o terminal donde se generen servicios para la exportación e importación, se utilice, resguarde equipo ferroviario y patios para el almacenaje de contenedores con mercancías de comercio exterior.

II.          Describir detalladamente cómo el transportista ferroviario cumple o excede con lo establecido en cada uno de los numerales conforme a lo que se indica.

III.         El formato de este documento, se encuentra dividido, en dos secciones, como se detalla a continuación:

1. Estándar.

Descripción del estándar.

IV.        Indicar cómo cumple con lo establecido en cada uno de los sub-estándares, por lo que deberá anexar los procedimientos en idioma español, estos procedimientos deben caracterizarse por describir o definir el objetivo que persigue el documento, el inicio y fin del proceso, indicadores de medición, requisitos, documentos o formatos a utilizar, responsables, por mencionar algunos.

             El apartado referente a las “Notas Explicativas” es una guía respecto a los puntos que se deben incluir en la “Respuesta” de cada sub-estándar, señalando de manera indicativa aquellos puntos que no deben excluirse de su respuesta.

V.         Una vez contestado este “Perfil del Transportista Ferroviario”, deberá anexarlo a la Solicitud de inscripción en el registro de Socio Comercial Certificado a que se refiere el primer párrafo de la regla 7.1.5., fracción I, inciso c).

VI.        Para efectos de verificar lo manifestado en el párrafo anterior, el SAT a través de la AGACE, podrá realizar una inspección a la instalación aquí señalada, con el exclusivo propósito de verificar lo señalado en este documento.

VII.       Cualquier “Perfil del Transportista Ferroviario” incompleto no será procesado.

VIII.      Cualquier pregunta relativa a la Solicitud de inscripción y el “Perfil del Transportista Ferroviario”, dirigirla a los contactos que aparecen en el Portal del SAT.

IX.        En el caso de ser autorizado como Socio Comercial Certificado, este formato deberá mantenerse actualizado y dar aviso cuando las circunstancias por las cuales se les otorgó el registro hayan variado y derivado de estas se requieran cambios o modificaciones en la información vertida y proporcionada en este “Perfil de Transportista Ferroviario” a la autoridad y presentarse para su renovación, de conformidad con lo establecido en la regla 7.2.1., cuarto párrafo, fracciones I, II y VII.

X.         Cuando derivado de la visita de inspección resulten incumplimientos relacionados con los estándares mínimos en materia de seguridad, la solicitante podrá subsanarlos antes de la emisión de la resolución establecida en la regla 7.1.6., para lo cual tendrá un plazo máximo de tres meses contados a partir de la notificación de los incumplimientos señalados.

Datos de la instalación

Deberá llenar un “Perfil de Transportista Ferroviario” de la instalación principal y/o terminal donde se generen servicios para la exportación e importación, se utilice, resguarde equipo ferroviario y patios para el almacenaje de contenedores con mercancías de comercio exterior.

Información de la Instalación

Número de “Perfil del Transportista Ferroviario”:

de

Clave en el RFC

Nombre y/o Razón Social:

Nombre y/o Denominación de la Instalación

Tipo de Instalación

Calle

Número y/o letra exterior

Número y/o letra interior

Colonia

Código Postal

Municipio/Delegación

Entidad Federativa

Antigüedad de la Instalación (años de operación)

Actividad preponderante

Tipo de servicio (Carga General/Especializada):

No. de embarques promedio mensual (EXP):

No. de embarques promedio mensual (IMP):

No. de empleados total de esta instalación:

 Superficie de la instalación (m²):

Certificaciones en programas de seguridad: (Indicar si esta instalación cuenta con una certificación por alguno de los siguientes programas)

CTPAT

Si

£

No £

CTPAT

Account

Number

(8 dígitos): ______________________________

Fecha de la Última

Visita: ____________________

Nivel: Pre-Aplicante: £ Aplicante: £ Certificado: £ Certificado/Validado: £

Operador Económico Autorizado de otros países (OEA)

Si

£

No £

Programa: ______________________________________________________________

Otros Programas de Seguridad en la Cadena de Suministros

Si

£

No £

Certificaciones: (Indicar si cuenta con certificaciones que consideren que impactan en el proceso de su cadena de suministros, por ejemplo: ISO 9000; Procesos Logísticos Confiables, entre otros)

Nombre:

Categoría:

Vigencia:

Nombre:

Categoría:

Vigencia:

1. Planeación de la seguridad en la cadena de suministros.

La empresa concesionaria de transporte ferroviario deberá llevar a cabo una gestión del riesgo que permita la identificación, el análisis, la evaluación y el tratamiento de riesgos y debilidades en su cadena de suministros y en sus instalaciones, con el objeto de que la alta dirección de la empresa implemente estrategias, que ayuden a mitigar y disuadir dichos riesgos y por ende aporte elementos que fortalezcan a la seguridad de la cadena de suministros.

Asimismo, para construir un programa sólido de seguridad de la cadena de suministro, la empresa debe de contar con un Comité de Seguridad que incorpore representantes de todos los departamentos relevantes, formando un equipo multifuncional que identifique áreas de oportunidad y proponga acciones de mejora continua a lo largo de la cadena de suministro e instalaciones de la compañía.

De igual manera, la empresa debe tener designados puntos de contacto para el Programa Operador Económico Autorizado, dicho personal debe involucrarse, conocer los requisitos del Programa Operador Económico Autorizado, pertenecer a la compañía y acreditar su relación con la misma, así como responder a su especialista en seguridad de la cadena de suministro (este es asignado una vez que la empresa ya cuenta con el Programa Operador Económico Autorizado).

Derivado del análisis de riesgo, surgen nuevas medidas de seguridad para incorporarse dentro de la empresa, estas deben incluirse en los procedimientos existentes de la empresa y, en su caso, elaborar procedimientos nuevos, lo que crea una estructura más sostenible y enfatiza que la seguridad de la cadena de suministro es responsabilidad de todos.

1.1 Análisis de riesgo.

La empresa concesionaria de transporte ferroviario debe tener medidas para identificar, analizar y mitigar los riesgos de seguridad a lo largo de la cadena de suministro, incluyendo sus instalaciones. Por lo anterior, debe desarrollar un procedimiento escrito en el que se determinen riesgos con base en el modelo de su organización (ejemplo: volumen, unidades, patios, rutas, amenazas potenciales, etcétera) que le permita implementar y mantener medidas de seguridad apropiadas.

Conforme a lo anterior, la empresa ferroviaria también debe tener un proceso escrito basado en su análisis de riesgo para seleccionar nuevos socios comerciales y monitorear a los socios con los que ya se encuentra trabajando.

Este procedimiento debe realizarse por lo menos una vez al año, de manera que permita identificar otros riesgos o amenazas en la operación que se puedan dar por el resultado de algún incidente o que se originen por cambios en las condiciones iniciales de la empresa, así como para identificar que las políticas, procedimientos y otros mecanismos de control y seguridad se estén cumpliendo. Es importante señalar, que el Comité de Seguridad de la compañía debe de participar en la elaboración y actualización del análisis de riesgo y el mantenimiento del Programa Operador Económico Autorizado.

Respuesta:

Notas Explicativas:

Anexar la matriz de riesgos y el procedimiento documentado que utiliza para identificar riesgos en sus operaciones diarias a lo largo de la cadena de suministro y sus instalaciones, debe incluir como mínimo los siguientes puntos:

I.           Periodicidad con que lleva a cabo este procedimiento.

II.          Indicar qué tramos, rutas y/o áreas de la empresa concesionaria de transporte ferroviario se incorporan al análisis de riesgo.

III.         Tipo de servicio: Tránsito interno e internacional.

Asimismo, el procedimiento documentado para identificar riesgos en la cadena de suministro y sus instalaciones, deberá contemplar el proceso de apreciación y gestión del riesgo, e incluir los siguientes aspectos:

I.           Establecimiento de un contexto (cultural, político, legal, económico, geográfico, social, etcétera).

II.          Identificación de los riesgos en su cadena de suministros y sus instalaciones.

III.         Análisis del riesgo (causas, consecuencias, probabilidades y controles existentes para determinar el nivel de riesgo como “alto”, “medio” y “bajo”).

IV.        Evaluación del riesgo (toma de decisiones para determinar los riesgos a tratar y prioridad para implementar el tratamiento).

V.         Tratamiento del riesgo (aplicación de alternativas para cambiar la probabilidad de que los riesgos ocurran).

VI.        Seguimiento y revisión del riesgo (monitoreo de los resultados del análisis de riesgo y verificación de la eficacia de su tratamiento).

Se sugiere utilizar las técnicas de administración, gestión y evaluación de riesgos de acuerdo a las normas internacionales ISO 31000, ISO 31010 e ISO 28000 que, de acuerdo a su modelo de negocio, deban implementar.

1.2 Políticas de seguridad.

La Empresa Concesionaria de Transporte Ferroviario debe contar con políticas orientadas a prevenir, asegurar y reconocer amenazas en la seguridad de la cadena de suministro e instalaciones de la compañía, como lo son el tráfico de drogas, tráfico de armas, contrabando de personas, mercancías prohibidas, actos de terrorismo, así como en el intercambio de información, reflejadas y soportadas en los procedimientos que aplican.

Para promover una cultura de seguridad, las compañías deben demostrar su compromiso con la seguridad de la cadena de suministro y el Programa Operador Económico Autorizado a través de una declaración que resalte la importancia de proteger el flujo del comercio nacional e internacional de actividades delictivas, establecida por medio de la política de seguridad.

Los altos funcionarios o directivos de la empresa que deben respaldar y firmar la política de seguridad pueden incluir al presidente de la compañía, al director ejecutivo, al gerente general, al director de seguridad o personal con cargo homólogo con facultad para toma de decisiones.

Respuesta:

Notas Explicativas:

Enunciar la política del transportista ferroviario en materia de seguridad orientada a prevenir, asegurar y reconocer amenazas en la cadena de suministros y de todas sus instalaciones de la compañía, indique quién es el responsable de su revisión, firma y difusión hacía los empleados, así como la periodicidad con la que se lleva a cabo su actualización.

La política de seguridad debe estar firmada por un alto funcionario de la compañía y estar exhibida en diversas áreas de la empresa, incluyendo el sitio web, carteles en áreas clave (recepción, embarques, recibos, almacén, etcétera), y como parte de la capacitación inicial y de reforzamiento.

1.3 Auditorías internas en la cadena de suministros.

Además del monitoreo de rutina en control y seguridad, es necesario programar y realizar auditorías por lo menos una vez al año que permita evaluar todos los procesos en materia de seguridad en la cadena de suministros de una manera más crítica y profunda, así como garantizar que sus empleados sigan los procedimientos de seguridad de la empresa.

Las auditorías deben ser realizadas por el Comité de Seguridad de la compañía y se debe establecer un procedimiento documentado, así como un programa o calendario para su realización. Si bien es necesario que las auditorías estén enfocadas en la seguridad de la cadena de suministro y basadas en la evaluación, revisión y ejecución de los estándares mínimos en materia de seguridad, su enfoque se debe ajustar al tamaño de la organización, nivel de riesgos, modelo de negocio y variaciones entre instalaciones. Las auditorías pueden ser generales o centrarse en áreas o procesos específicos conforme a su programa de trabajo.

El objetivo de una auditoría interna enfocada al Programa Operador Económico Autorizado, es verificar y garantizar que los empleados sigan los procedimientos de seguridad de la empresa. El proceso de revisión no tiene que ser complejo, sin embargo, los formatos y registros que se utilicen para la aplicación de dichas revisiones deben de evidenciar que se validó la aplicación y ejecución de los procesos evaluados, además del seguimiento y cierre de acciones preventivas, correctivas y de mejora identificadas.

La alta gerencia de la organización debe revisar los resultados de las auditorías, y emprender las acciones correctivas o preventivas requeridas. El proceso auditoría de revisión debe garantizar que se recoja la información necesaria para permitir que la gerencia realice está evaluación. La revisión debe estar documentada además de que el Comité de Seguridad de la empresa deben proporcionar y registrar las actualizaciones periódicas sobre el progreso o los resultados de cualquier auditoría, ejercicio o validación.

Respuesta:

Notas Explicativas:

Describir el procedimiento documentado para llevar a cabo una auditoría interna, enfocada en la seguridad en la cadena de suministros, asegúrese de no excluir los siguientes puntos:

I.           Señalar cómo la empresa lleva acabo la programación o calendarización para realizar una auditoría interna, en materia de seguridad en la cadena de suministros.

II.          Indicar quienes participan en ellas, y los registros que se efectúan del mismo, así como periodicidad con la que se llevan a cabo.

III.         Indicar cómo es que la gerencia de la empresa verifica el resultado de las auditorías en materia de seguridad, cómo realiza y/o implementa acciones preventivas, correctivas y de mejora, además del seguimiento y cierre de las mismas.

IV.        Los formatos utilizados durante las auditorías internas deberán de estar debidamente requisitados, y a través de ellos, evidenciar que los procedimientos y medidas de seguridad se están poniendo en práctica.

1.4 Planes de contingencia y/o emergencia.

Debe existir un plan de contingencia y/o emergencia documentado, dicho plan debe de abordar la gestión de crisis, los planes de recuperación de la seguridad y la reanudación del negocio, para asegurar la continuidad del negocio, incidentes de cualquier índole que afecten el desarrollo normal de las operaciones de la empresa concesionaria de transporte ferroviario. Una crisis o contingencia puede incluir la interrupción del movimiento de datos comerciales debido a un ataque cibernético, un incendio, el secuestro de un conductor de transporte por personas armadas, un cierre de aduanas, una amenaza de bombas, la detección de paquetes sospechosos, el corte de energía eléctrica, el robo y/o daño de mercancías, amenazas o extorsiones, bloqueos o cierre de carreteras, entre otros. Dichos planes deben ser comunicados al personal administrativo y operativo mediante capacitaciones periódicas, así como realizar pruebas, ejercicios prácticos y simulacros anuales de los planes de contingencia y emergencia para constatar su efectividad, mismos de los cuales se deberá mantener un registro debidamente requisitado y firmado (por ejemplo: reportes de resultados, minutas o informes, los cuales deberán ir respaldados de videograbaciones, fotografías, etcétera, que demuestren su ejecución).

El plan de contingencia y/o emergencia debe actualizarse según sea necesario, en función de los cambios en las operaciones y el nivel de riesgo de la organización.

Respuesta:

Notas Explicativas:

Anexar el procedimiento o plan de contingencia y/o emergencia enfocado a la cadena de suministros y sus instalaciones, relacionando aquellos eventos de riesgo que pueden afectar el funcionamiento del transportista como accidentes durante la ruta (descarrilamientos, incendios, arrollamientos, bloqueos, robos, accidentes, fallas mecánicas, cierre de aduanas, etcétera) para asegurar la continuidad del negocio.

Este procedimiento debe incluir, de manera enunciativa mas no limitativa, lo siguiente:

I.           Qué situaciones contempla, describiendo el plan de acción y pasos que hay que seguir en caso de crisis, así como las tareas que el personal tenga asignadas durante el manejo de dichas contingencias.

II.          Qué mecanismos utiliza para difundir y asegurarse que estos planes sean efectivos.

III.         Contemplar la programación y realización de pruebas, ejercicios prácticos y simulacros anuales y cómo se documentan (por ejemplo: reportes de resultados, minutas o informes, mismos que deberán ir acompañados de videograbaciones, fotografías, etcétera, que demuestren su ejecución).

En el caso de que trasladen Materiales y Residuos Peligrosos, se deberá anexar una hoja de emergencia que indique las acciones a seguir para casos de incidente o accidente (fugas, derrames, explosiones, incendios, etcétera).

2. Seguridad física.

La empresa concesionaria de transporte ferroviario debe contar con mecanismos establecidos para impedir, detectar o disuadir la entrada de personal no autorizado a sus instalaciones, terminales, patios, donde resguardan los equipos tractivos y de arrastre (furgones, góndolas, tolvas, carros tanque, chasises, remolques, plataformas que no tienen tracción propia que circulan en las vías férreas y que utilizan para transportar mercancía en su interior y en contenedores). Todas las áreas sensibles de la empresa, deberán tener barreras físicas, elementos de control y disuasión contra el acceso no autorizado.

2.1 Instalaciones.

Las instalaciones deben estar construidas con materiales que puedan resistir accesos no autorizados. Se deben realizar inspecciones periódicas documentadas para mantener la integridad de las estructuras, y en el caso de haberse detectado una irregularidad, efectuar la reparación correspondiente y lo antes posible por parte del personal designado para estas tareas. Asimismo, se deben tener identificados plenamente los límites territoriales, así como los diversos accesos, rutas internas y la ubicación de los edificios.

Respuesta:

Notas Explicativas:

Indicar los materiales predominantes con los que se encuentran construidas las instalaciones (por ejemplo, de estructura de metal y paredes de lámina, paredes de ladrillo, de madera, entre otros) y señale de qué forma se lleva a cabo la revisión y mantenimiento de la integridad de las estructuras.

Indicar el personal o área responsable para realizar las tareas de inspección, mantenimiento y reparación de daños de las instalaciones.

Anexar un plano de distribución o arquitectónico de conjunto, donde se puedan identificar los límites, rutas de acceso, estacionamientos, áreas críticas, colindancias y la ubicación de las oficinas, patios de clasificación de la terminal ferroviaria.

2.2 Accesos en puertas y casetas.

Las puertas de entrada o salida de vehículos y/o personal de accesos a los patios de operación ferroviaria y/o a las oficinas administrativas, deben ser atendidas y/o supervisadas ya sea por medio de personal propio o de empresa privada de seguridad. La cantidad de puertas de acceso debe mantenerse al mínimo necesario.

El acceso a las áreas sensibles debe estar restringido según la descripción del trabajo o las tareas asignadas.

Respuesta:

Notas Explicativas:

Indicar cuantas puertas y/o accesos existen en las instalaciones, así como el horario de operación de cada una, e indique de qué forma son monitoreadas (en caso de tener personal asignado, indicar la cantidad).

Detallar si existen puertas y/o accesos bloqueados, o permanentemente cerradas.

Describir cómo asegura que el acceso a las áreas sensibles este restringido según la descripción del trabajo o las tareas asignadas (incluya el tipo de registros y controles que utiliza).

2.3 Bardas perimetrales.

Las bardas perimetrales y/o barreras periféricas deben instalarse para asegurar los parámetros de la empresa, con base en un análisis de riesgo.

Estas deben ser inspeccionadas regularmente y llevar un registro de la revisión con la finalidad de asegurar su integridad e identificar daños, mismos que deben repararse lo antes posible por parte del personal designado para estas tareas.

En el caso de prestar servicios de almacenaje carros de ferrocarril, esta zona deberá estar claramente delimitada, identificada y monitoreada de acuerdo al servicio requerido (nacional o internacional, así como la de alto valor y peligrosa) para prevenir ingresos no autorizados.

Respuesta:

Notas Explicativas:

Describir el tipo de cerca, barrera periférica y/o bardas con las que cuenta la empresa, asegúrese de no excluir los siguientes puntos:

I.           Señalar las características de las mismas (material, dimensiones, etcétera).

II.          En caso de no contar con bardas, justificar detalladamente la razón.

III.         Periodicidad con la que se verifica la integridad de las bardas perimétricas, y los registros que se llevan a cabo con la finalidad de asegurar su integridad e identificar daños, mismos que deben repararse lo antes posible.

IV.        Indicar el personal o área responsable para realizar las tareas de inspección y reparación de daños.

V.         Indicar cómo están divididos sus patios operativos ferroviarios.

VI.        Describir brevemente, de qué forma separan los carros de ferrocarril o contenedores de carga doméstica y/o internacional, vacíos, en reparación y/o mantenimiento, talleres, entre otros.

El procedimiento para la inspección de las bardas perimétricas podría incluir:

I.           Personal responsable para llevar a cabo el proceso.

II.          Cómo y con qué frecuencia se llevan a cabo las inspecciones de las cercas, bardas perimétricas y/o periféricas y los edificios.

III.         Cómo se lleva el registro de la inspección.

IV.        Quién es el responsable de verificar que las reparaciones y/o modificaciones cumplan con las especificaciones técnicas y requisitos de seguridad necesarias.

2.4 Estacionamientos.

El acceso a los estacionamientos de las instalaciones debe ser controlado y monitoreado por el personal de seguridad o designado para esta tarea. Se debe prohibir que los vehículos privados (de empleados, visitantes, proveedores y contratistas, entre otros) se estacionen dentro de las áreas operativas de manejo y almacenaje los equipos tractivos y de arrastre, (furgones, góndolas, tolvas, carros tanque, chasises, remolques, plataformas que no tienen tracción propia que circulan en las vías férreas y que utilizan para transportar mercancía en su interior y en contenedores), así como en áreas adyacentes.

Respuesta:

Notas Explicativas:

Describir el procedimiento para el control y monitoreo de los estacionamientos, asegúrese de no excluir los siguientes puntos:

I.           Responsables de controlar y monitorear el acceso a los estacionamientos.

II.          Identificación de los estacionamientos (especificar si el estacionamiento de empleados, visitantes, se encuentra separado de los equipos tractivos y de arrastre, (furgones, góndolas, tolvas, carros tanque, chasises, remolques, plataformas que no tienen tracción propia que circulan en las vías férreas y que utilizan para transportar mercancía en su interior y en contenedores) y manejo de mercancías.

III.         Cómo se lleva el control de entrada y salida de vehículos a las instalaciones. Indicar los registros que se realizan para el control del estacionamiento y los mecanismos de control existentes, (por ejemplo: tarjetones, tarjetas lectoras, corbatines, etcétera), cómo se asignan y el área responsable de hacerlo.

IV.        Políticas o mecanismos para no permitir el ingreso de vehículos privados a las áreas de almacenaje de medios de transporte y en su caso manejo de mercancía.

2.5 Control de llaves y dispositivos de cerraduras.

De acuerdo al análisis de riesgo las ventanas, puertas y cercas interiores y exteriores deberán asegurarse con dispositivos de cierre. El transportista ferroviario deberá contar con procedimientos documentados para el manejo, resguardo, asignación y control de las llaves en las instalaciones de las áreas interiores que se hayan considerado como críticas, llevando un registro y establecer cartas responsivas firmadas de las personas que cuentan con llaves o accesos autorizados conforme a su nivel de responsabilidad y labores dentro su área de trabajo.

La dirección de la empresa concesionaria de transporte ferroviario será la responsable de controlar las llaves de las áreas sensibles o restringidas de sus instalaciones.

Respuesta:

Notas Explicativas:

Indicar si todas las puertas, ventanas, entradas interiores y exteriores disponen de mecanismos de cierre o seguridad.

Anexar el o los procedimientos documentados para el control, resguardo, asignación y manejo de las llaves de las instalaciones, oficinas y áreas interiores.

Asegúrese que dichos procedimientos no excluyan los siguientes puntos:

I.           Responsables de administrar y controlar la seguridad de las llaves.

II.          Formato y/o registro de control para el préstamo de llaves.

III.         Tratamiento de pérdida o no devolución de llaves.

IV.        Señalar si existen áreas en las que se acceda con dispositivos electrónicos y/o algún otro mecanismo de acceso.

2.6 Alumbrado.

El alumbrado dentro y fuera de las instalaciones debe permitir una clara identificación de personas, material y/o equipo que ahí se encuentre, incluyendo las siguientes áreas: entradas, salidas, áreas de estacionamiento, patios de reparación y mantenimiento, equipos rodantes, bardas perimetrales y/o periféricas, cercas interiores, carga y descarga, etcétera. Se debe contar con un sistema de emergencia y/o respaldo en las áreas sensibles.

Respuesta:

Notas Explicativas:

Describir el procedimiento para la operación y mantenimiento del sistema de iluminación. Asegúrese de incluir los siguientes puntos:

I.           Señalar qué áreas se encuentran iluminadas y cuáles cuentan con sistema de respaldo (indique si cuenta con una planta de poder auxiliar) o algún otro mecanismo para suministrar energía eléctrica en caso de alguna contingencia.

II.          De qué manera se cerciora que el sistema de iluminación sea el apropiado en cada una de las áreas de la empresa, de manera que permita una clara identificación del personal, material y/o equipo que abarca.

III.         Responsable del control y mantenimiento de los sistemas de iluminación.

IV.        Programa de mantenimiento y revisión (en caso de coincidir con otro proceso, indicarlo).

El procedimiento podrá incluir:

I.           Cómo se controla el sistema de iluminación.

II.          Horarios de funcionamiento.

III.         Identificación de áreas con iluminación permanente.

2.7 Aparatos de comunicación.

La empresa concesionaria de transporte ferroviario deberá contar con dispositivos y/o sistemas de comunicación con la finalidad de tener un contacto inmediato con el personal de seguridad y/o con las autoridades de emergencia y seguridad cuando se requieran. Adicionalmente, se debe contar con un sistema de respaldo de comunicación y verificar su buen funcionamiento de manera periódica.

Respuesta:

Notas Explicativas:

Describir el procedimiento que el personal debe realizar para contactar al personal de seguridad o, en su caso, con la autoridad correspondiente en caso de algún incidente.

Indicar si el personal operativo y administrativo cuenta o dispone de aparatos (teléfonos fijos, móviles, botones de alerta y/o emergencia) para comunicarse con el personal de seguridad y/o con quien corresponda (estos deberán estar accesibles a los usuarios, para poder tener una pronta reacción).

Indicar qué aparatos de comunicación utiliza el personal de seguridad de la empresa concesionaria de transporte ferroviario (teléfonos fijos, celulares, radios, sistema de alarma, etcétera).

Describir el procedimiento para el control y mantenimiento de los aparatos de comunicación, asegúrese de no excluir los siguientes puntos:

I.           Políticas de asignación de aparatos de comunicación móvil.

II.          Programa de mantenimiento o reemplazo de aparatos de comunicación fija y móvil.

III.         Indicar si cuenta con aparatos de comunicación de respaldo cuando el sistema fallara permanente, y en su caso, detalle brevemente.

IV.        Indicar si la tripulación de la empresa utiliza teléfonos, radios, celulares, banda civil (CB), o algún otro medio para su comunicación interna y las políticas de asignación de los mismos.

El procedimiento podrá incluir:

I.           Responsable del buen funcionamiento y mantenimiento de los aparatos de comunicación.

II.          Registro de verificación y mantenimiento de los aparatos.

III.         Forma de asignación de los aparatos de comunicación.

2.8 Sistemas de alarma y de circuito cerrado de televisión y video vigilancia.

Los sistemas de alarma y de circuito cerrado de televisión y video vigilancia y las tecnologías de seguridad, se deben utilizar para vigilar, notificar o disuadir accesos no autorizados y actividades prohibidas en las instalaciones y demás áreas consideradas sensibles, notificar al área correspondiente, además de utilizarse como herramienta de prueba en investigaciones derivadas de algún incidente.

Estos sistemas y tecnologías de seguridad deben colocarse, vigilarse y monitorearse de acuerdo a un análisis de riesgo previo de tal forma que se mantengan vigiladas y monitoreadas las áreas que impliquen el acceso de personal, visitantes, proveedores, carga, descarga y vehículos de carga, y además áreas consideradas sensibles asimismo, las áreas en las que se ubiquen normalmente los equipos tractivos y de arrastre (furgones, góndolas, tolvas, carros tanque, chasises, remolques, plataformas que no tienen tracción propia que circulan en las vías férreas y que utilizan para transportar mercancía en su interior y en contenedores).

Dichos sistemas deben permitir una clara identificación del área o ambiente que vigila, estar permanentemente grabando y mantener un respaldo de las grabaciones por lo menos de un mes, considerando que, en el caso de que sus procesos logísticos excedan este período, deberá aumentar el período del mantenimiento de estos respaldos, con la finalidad de tener los elementos necesarios para deslindar las responsabilidades correspondientes en caso de un incidente de seguridad.

Los sistemas de alarma y de circuito cerrado de televisión y video vigilancia y las tecnologías de seguridad, deben contar con un procedimiento documentado de operación que incluya la supervisión del buen estado del equipo y la verificación de la correcta posición de las cámaras, indicando la frecuencia con la que debe realizar el respaldo de las grabaciones, así como los responsables de su operación. Dicho sistema y toda la infraestructura de tecnología de seguridad deberá tener un acceso restringido.

Respuesta:

Notas Explicativas:

Mencionar el procedimiento en el que indique el funcionamiento del sistema central de alarmas externo o sensores, y en su caso, describa los siguientes puntos:

I.           Indicar si las puertas y ventanas tienen sensores de alarma o sensores de movimiento.

II.          Procedimiento a seguir en caso de activarse una alarma.

Describir el procedimiento documentado para la operación de los sistemas de alarma y de circuito cerrado de televisión y video vigilancia y las tecnologías de seguridad, (este debe revisarse y actualizarse anualmente y de acuerdo con el análisis de riesgo o las circunstancias), asegúrese de incluir los siguientes puntos:

I.           Indicar el número de cámaras de los sistemas de alarma y de circuito cerrado de televisión y video vigilancia instaladas, características técnicas y su ubicación (detalle si cubre los puntos de entrada y salida de las instalaciones, para cubrir el movimiento de vehículos e individuos, así como el lugar de almacenajes de los vehículos).

II.          Señalar la ubicación de los sistemas de alarma y de circuito cerrado de televisión y video vigilancia y las tecnologías de seguridad dónde se localizan los monitores, quién los revisa, así como los horarios de operación, y en su caso, si existen estaciones de monitoreo remoto. Toda la infraestructura de tecnología de seguridad debe estar protegida físicamente contra el acceso no autorizado.

III.         Se deben realizar revisiones periódicas y aleatorias de las grabaciones. Indique de qué forma se revisan (aleatoria, cada semana, eventos especiales, áreas restringidas), quién es el personal designado y si la gerencia se involucra en las revisiones. Los resultados de las revisiones deben documentarse para incluir acciones correctivas para fines de auditoría.

IV.        Indicar por cuánto tiempo se mantienen estas grabaciones (debiendo ser por lo menos de un mes).

V.         Los sistemas de alarma y de circuito cerrado de televisión y video vigilancia y las tecnologías de seguridad deben de contar con una fuente de energía alternativa que permita que estos continúen funcionando en caso de una pérdida inesperada de energía directa. Por lo anterior, indique si el sistema de alarma y de circuito cerrado de televisión y video vigilancia y las tecnologías de seguridad se encuentran respaldadas por una planta de poder eléctrica, que garantice su funcionamiento. Estos sistemas deberían de tener una función de alarma/notificación, que indique una condición de falla en el funcionamiento y/o grabación, señale si sus sistemas tienen dicha función.

VI.        Indicar si adicionalmente a los sistemas de alarma y de circuito cerrado de televisión y video vigilancia, utiliza algún otro tipo de tecnología para robustecer las medidas de seguridad con las que ya cuenta.

VII.       Describir el procedimiento que se ha implementado para probar e inspeccionar de manera regular los sistemas de alarma y de circuito cerrado de televisión y video vigilancia y las tecnologías de seguridad y asegurar su buen funcionamiento. Los resultados de las inspecciones y las pruebas de funcionamiento estén documentados, al igual que las acciones correctivas necesarias (estas se deben implementar lo antes posible). Adicionalmente, que los resultados documentados de estas inspecciones se mantengan durante un tiempo suficiente para fines de auditoría.

VIII.      Indicar si el proveedor de sistemas de alarma y de circuito cerrado de televisión y video vigilancia, tiene acceso a las cámaras de seguridad, si es el encargado de realizar el monitoreo de las mismas, de qué forma se controlan los accesos y quién es el responsable de dicho monitoreo.

3. Controles de acceso físico.

Los controles de acceso físico son mecanismos o procedimientos que previenen e impiden la entrada no autorizada a las instalaciones (oficinas administrativas, patios de operación ferroviaria de los carros de ferrocarril), asimismo, mantienen el control de ingreso al personal operativo y/o administrativo y protegen los bienes de la empresa.

Los controles de acceso deben incluir la identificación de todos los empleados, visitantes y proveedores en todos los puntos de entrada. Asimismo, se deben mantener registros y evaluar permanentemente los mecanismos o procedimientos documentados de ingreso a las instalaciones, siendo la base para comenzar a integrar la seguridad como una de las funciones primordiales dentro de cualquier empresa.

3.1 Personal de seguridad.

La empresa concesionaria de transporte ferroviario debe contar con personal de seguridad y vigilancia. Este personal desempeña un rol importante en la protección física de las instalaciones, de los patios y/o el lugar donde se resguardan los equipos tractivos y de arrastre (furgones, góndolas, tolvas, carros tanque, contenedores chasises, remolques, plataformas que no tienen tracción propia que circulan en las vías férreas y que utilizan para transportar mercancía en su interior y en contenedores, así como para controlar el acceso de todas las personas al inmueble. El personal de seguridad, deberá contar con un procedimiento documentado para llevar a cabo sus funciones, y tener pleno conocimiento de los mecanismos y procedimientos en situaciones de emergencia, detección de personas no autorizadas, o cualquier incidente en las instalaciones. La gerencia debe verificar periódicamente el cumplimiento de los procedimientos, políticas y funciones a través de auditorías internas con el objetivo de verificar su correcta ejecución.

Respuesta:

Notas Explicativas:

Describir el procedimiento documentado para la operación del personal de seguridad, y asegúrese de no excluir los siguientes puntos:

I.           Indicar el número de personal de seguridad que labora en la empresa.

II.          Señalar los cargos y/o funciones del personal, y horarios de operación.

III.         En caso de contratarse un servicio externo, especificar número de personal empleado, detalles de operación, registros, reportes, etcétera.

IV.        En caso de contar con personal armado, describa el procedimiento para el control y resguardo de las armas.

3.2 Identificación de los empleados, visitantes y proveedores.

Debe existir un sistema de identificación de empleados, visitantes y proveedores con fines de acceso a las instalaciones. Los empleados sólo deben tener acceso a aquellas áreas que necesiten para desempeñar sus funciones. Los visitantes y proveedores deberán presentar identificación oficial con fotografía a su llegada y se deberá llevar un registro. Todos los visitantes y proveedores deben recibir una identificación temporal, estar acompañados por personal de la empresa durante su permanencia en las instalaciones y asegurarse que el visitante/proveedor porte siempre en un lugar visible la identificación provisional proporcionada. Este procedimiento deberá estar documentado.

La gerencia o el personal de seguridad de la empresa concesionaria de transporte ferroviario deben controlar adecuadamente la entrega y devolución de insignias de identificación de empleados, visitantes y proveedores y asegurarse que porten siempre en un lugar visible la identificación proporcionada. Este procedimiento deberá estar documentado, así como los procedimientos para la entrega, devolución y cambio de dispositivos de acceso (por ejemplo, llaves, tarjetas de proximidad, etcétera). El acceso a las áreas sensibles debe estar restringido según la descripción del trabajo o las tareas asignadas.

Respuesta:

Notas Explicativas:

Anexar el procedimiento documentado para el control de las identificaciones.

Describir el procedimiento para la identificación de los empleados, y asegúrese de no excluir los siguientes puntos:

I.           Mecanismos de identificación (Credencial con foto, uniforme, etcétera).

II.          Indicar si los empleados utilizan uniformes, cómo son asignados (por puesto, área, funciones, etcétera) y retirados (en su caso).

III.         Indicar cómo se identifica al personal contratado por un socio comercial, que labore dentro de las instalaciones (contratistas, Sub-contratados, etcétera).

El procedimiento, también debe describir cómo la empresa entrega, cambia y retira las identificaciones y controles de acceso del empleado y asegúrese de incluir las áreas responsables de autorizarlas y administrar.

Indicar cómo asegura que el acceso a las áreas sensibles este restringido según la descripción del trabajo o las tareas asignadas (incluya el tipo de registros y controles que utiliza).

Describir el procedimiento para el control de acceso de los visitantes y proveedores, asegúrese de incluir los siguientes puntos:

I.           Señalar qué registros se llevan a cabo (formatos personales por cada visita, bitácoras).

II.          El registro de visitantes y proveedores debe incluir lo siguiente:

a)      Fecha de la visita;

b)      Nombre del visitante;

c)      Número de identificación con foto (documentos oficiales como: licencia de manejo, pasaporte, INE, etcétera);

d)      Hora de entrada y de salida.

e)      En el caso de acceso vehicular, el formato deberá incluir los datos del vehículo particular o de carga (modelo, placa, número de remolque, etcétera).

III.         Señalar quién es la persona responsable de acompañar al visitante y/o proveedor, y si existen áreas restringidas para su ingreso.

3.3 Procedimiento de identificación y retiro de personas o vehículos no autorizados.

La empresa concesionaria de transporte ferroviario debe contar con procedimientos documentados que especifiquen cómo identificar, enfrentar o reportar a personas y/o vehículos no autorizados o identificados.

Respuesta:

Notas Explicativas:

Anexar el procedimiento documentado para identificar, enfrentar o reportar personas y/o vehículo no autorizados o identificados.

El procedimiento deberá incluir:

I.           Personal responsable.

II.          Designar a una persona o área responsable para ser informado de los incidentes.

III.         Indicaciones para enfrentar y dirigirse al personal no identificado.

IV.        Señalar en qué casos deberá reportarse a las autoridades correspondientes.

V.         Cómo se lleva a cabo el registro de los incidentes y las medidas adoptadas en cada caso.

3.4 Entregas de mensajería y paquetería.

La mensajería y paquetería destinada a personal de la empresa concesionaria de transporte ferroviario debe ser examinada a su llegada y antes de ser distribuida al área correspondiente. Asimismo, la empresa deberá de tener un procedimiento documentado para la recepción y revisión de mensajería y paquetería, el cual debe ser comunicado al personal responsable mediante capacitación. La capacitación debe estar documentada.

Respuesta:

Notas Explicativas:

Describir el procedimiento para la recepción y revisión de mensajería y paquetería y asegúrese de no excluir lo siguiente:

I.           Personal encargado de llevar a cabo el procedimiento.

II.          Indicar cómo se identifica al personal o proveedor del servicio de mensajería y paquetería (señale si requiere de procedimiento adicional al de acceso a proveedores).

III.         Señalar de qué forma se revisan los paquetes y/o que mecanismo utiliza, así como los registros que se llevan a cabo y, en su caso, los incidentes detectados.

IV.        Señalar qué acción realiza en el caso de detectar un paquete sospechoso.

V.         Indicar cómo se lleva a cabo el registro de la inspección y en su caso de los incidentes detectados.

4. Socios comerciales.

La empresa concesionaria de transporte ferroviario debe contar con procedimientos escritos y verificables para la selección y contratación de nuevos socios comerciales y monitoreo de los socios con los que ya se encuentra trabajando, como empresas que brinden el servicio de operación en terminales, proveedores de partes y/o refacciones, proveedores mecánicos o de cualquier otro servicio, agentes aduanales, transportistas terrestres, seguridad privada, empresas que brinden el servicio de reparación a los medios de transporte, prestadoras de servicio para carga y descarga de mercancía, proveedores de sistemas y Tecnologías de la Información, colocación y mantenimiento de los sistemas de alarma y de circuito cerrado de televisión y video vigilancia y de acuerdo a su análisis de riesgo exigir que cumplan con medidas de seguridad para fortalecer en la cadena de suministros internacional.

El análisis de riesgo que realice la empresa respecto a sus socios comerciales (clientes y proveedores), deberá incluir riesgos relacionados con la identificación de actividades relacionadas con el lavado de dinero y la financiación del terrorismo. Adicionalmente, la empresa de transporte ferroviario debe fomentar una política y un programa de cumplimiento social documentado que, como mínimo, aborde cómo entre sus empleados y socios comerciales podrían garantizar que los bienes, insumos o mercancías nacionales e importadas a México para la elaboración de productos o mercancías no provienen de la extracción, producción o fabricación, total o parcialmente, con formas prohibidas de trabajo, es decir, forzoso u obligado incluido el trabajo infantil forzoso u obligado, al amparo del artículo 23.6 del T-MEC y el Acuerdo que establece las mercancías cuya importación está sujeta a regulación a cargo de la Secretaría del Trabajo y Previsión Social, publicado en el DOF el 17 de febrero de 2023.

4.1 Criterios de selección.

Deben existir procedimientos documentados para la selección, seguimiento o renovación de relaciones comerciales con los asociados de negocio o proveedores, que incluyan entrevistas, verificación de referencias, métodos de evaluación y uso de la información proporcionada. La información derivada de la investigación y/o evaluación de los asociados de negocio y/o proveedores deberá documentarse y estar integrada a un expediente (físico o electrónico). El procedimiento para la selección de socios comerciales deberá incluir, indicadores para detectar clientes o proveedores que podrían no ser legítimos o con domicilios no localizados, además de investigaciones, revisiones o evaluaciones de dichos socios para la identificación y control de las actividades relacionadas con el lavado de dinero y la financiación del terrorismo. Si la investigación y/o evaluación de algún socio comercial conduce a dudas sustanciales sobre la veracidad de sus operaciones o servicios, la empresa deberá evitar su contratación y, en su caso, notificar a su especialista de seguridad o contacto del Programa Operador Económico Autorizado y a la autoridad correspondiente sobre sus sospechas.

Respuesta:

Notas Explicativas:

Anexar el procedimiento documentado para la selección de nuevos socios comerciales y monitoreo de los socios con los que ya se encuentra trabajando, (esto comprende cualquier tipo de proveedor, que tenga una relación comercial con la empresa es en el siguiente sub-estándar donde se solicita diferenciar aquellos de riesgo en su cadena de suministros) y asegúrese de incluir los siguientes puntos:

I.           Qué información es requerida a su socio comercial.

II.          Qué aspectos son revisados e investigados.

III.         Los indicadores para identificar clientes o proveedores que podrían no ser legítimos (pagos por encima de la tarifa estándar, en efectivo; tener poco conocimiento de la mercancía que se va a enviar; ser evasivo; información de contacto mínima (teléfono celular, puntos de contacto, correos electrónicos, entre otros), empresas de reciente creación o negocios sin historial comercial, etcétera) o con domicilios no localizados. Este punto refiere a señalar todas aquellas alertas para determinar que un socio comercial no es confiable y así, realizar una investigación más profunda y evaluar si se debe trabajar con él.

IV.        Indicar si mantiene un expediente de cada uno de sus socios comerciales, así como la información que debe contener.

V.         Señalar de qué manera se evalúan los servicios de su socio comercial y qué puntos revisa.

El expediente debe incluir como mínimo lo siguiente:

I.           Datos de la empresa (nombre, clave en el RFC, actividad, etcétera).

II.          Datos del representante legal.

III.         Comprobante de domicilio.

IV.        Referencias comerciales (en su caso).

V.         Contratos, acuerdos y/o convenios de confidencialidad y políticas de seguridad.

VI.        Políticas de seguridad.

VII.       En su caso, certificado o número de certificación en los programas de seguridad a los que pertenezca.

4.2 Requerimientos en seguridad.

La empresa concesionaria de transporte ferroviario debe contar con un procedimiento documentado en el que, de acuerdo a su análisis de riesgo, solicite requisitos adicionales en materia de seguridad a aquellos socios comerciales que intervengan en su cadena de suministro tales como, empresas que brinden el servicio de operación en terminales, proveedores de partes y/o refacciones, proveedores mecánicos o de cualquier otro servicio, agentes aduanales, transportistas terrestres, seguridad privada, empresas que brinden el servicio de reparación a los medios de transporte, prestadoras de servicio para carga y descarga de mercancía, además de los que arroje el análisis efectuado.

Los requisitos deberán estar basados en los criterios y objetivos de este Perfil, o en caso de existir el Perfil específico para cada actor de la cadena de suministros que le corresponda.

La empresa concesionaria de transporte ferroviario debe solicitar a sus socios comerciales la documentación que acredite y compruebe que cumple con los estándares mínimos de seguridad establecidos en este “Perfil de Transportista Ferroviario”, ya sea a través de una declaración escrita emitida por el representante legal del socio, convenios o cláusulas contractuales respaldado con documentación que avale el cumplimiento de los requisitos establecidos de algún otro Programa Operador Económico Autorizado. De igual manera, la empresa debe tener en cuenta y conocer los requisitos específicos del Programa Operador Económico Autorizado que serán aplicables a cada uno de sus socios comerciales, en función de su actividad dentro de la cadena de suministro.

En el caso de los socios comerciales de la empresa que presten sus servicios en el interior de las instalaciones, deben estar obligados al cumplimiento de estos requerimientos de seguridad en la cadena de suministro.

Respuesta:

Notas Explicativas:

Describir el procedimiento que indique cómo lleva a cabo la identificación de socios comerciales que requieran el cumplimiento de estándares mínimos en materia de seguridad y de qué forma, estos cumplen dichos requerimientos. Asegúrese de incluir los siguientes puntos:

I.           Indicar un registro de los socios comerciales que deben cumplir con requisitos en materia de seguridad, y mencione qué tipo de proveedores son estos (Transportistas, Almacenes, Servicio de Custodios, Empresa de Seguridad, Servicios de Reparación de Medios de Transporte, Servicio de Carga y Descarga, Agentes Aduanales, etcétera).

II.          Indicar de qué forma documental (convenios, acuerdos, cláusulas contractuales y/o adendas) asegura que sus socios comerciales cumplan con los requisitos en materia de seguridad.

III.         Indicar si existen convenios, acuerdos contractuales, cláusulas contractuales y/o adendas respecto a la implementación de medidas de seguridad con sus proveedores de servicios al interior de su empresa, tales como: seguridad, privadas, comedor, jardinería, servicios de limpieza y mantenimiento proveedores de Tecnología de la Información, etcétera.

IV.        Indicar si cuenta con socios comerciales que se les exija pertenecer a un programa de seguridad de la cadena de suministro, (por ejemplo: CTPAT o algún otro Programa Operador Económico Autorizado de la OMA), así como la información y documentación que le son solicitadas.

4.3 Revisiones del socio comercial.

La empresa concesionaria del transporte ferroviario a través del Comité de Seguridad debe realizar evaluaciones periódicas de seguridad (así como derivadas situaciones de riesgo), de los procesos e instalaciones de los asociados de negocios con base a un análisis de riesgo para garantizar que cuentan con estándares mínimos en materia de seguridad requeridos por la empresa basados en el Programa Operador Económico Autorizado, mantener registros de las mismas, que permitan constatar que los procesos y medidas de seguridad se están ejecutando, así como del seguimiento correspondiente.

Cuando se encuentren inconsistencias, el transportista ferroviario deberá comunicarlo a su socio y/o proveedor y proporcionar un período justificado para atender las observaciones o áreas de oportunidad identificadas, o en caso contrario, tener las medidas necesarias para sancionarla.

Realizar evaluaciones de seguridad de los socios comerciales es importante para garantizar que exista un programa de seguridad sólido y que funcione correctamente, es por eso que, además de un procedimiento documentado, debe existir un programa o calendario para la ejecución de dichas revisiones o evaluaciones de seguridad priorizando a los socios que son más críticos conforme a su análisis de riesgo. Si un miembro no es evaluado y la empresa desconoce si los procesos e instalaciones de sus socios comerciales funcionan correctamente, ponen en riesgo su cadena de suministro.

Respuesta:

Notas Explicativas:

Describir el procedimiento para realizar evaluaciones para la verificación de los requisitos en materia de seguridad (procesos e instalaciones) de sus socios comerciales, asegúrese de no excluir los siguientes puntos:

I.           Periodicidad con la que realiza las visitas al socio comercial (estas deben de ser por lo menos una vez al año y derivadas de situaciones de riesgo).

II.          Programa o calendario para la ejecución de las revisiones de seguridad.

III.         Registro o reporte de la verificación y en su caso del seguimiento correspondiente.

IV.        El o los formatos de verificación tendrán que estar debidamente requisitados, colocando la fecha, nombre y cargo de quienes participan en la revisión de firmas, etcétera.

V.         Señalar qué medidas de acción se toman cuando los socios comerciales no cumplan con los requisitos de seguridad establecidos.

VI.        En caso de contar con socios comerciales con la certificación de CTPAT u otro programa de certificación de seguridad en la cadena de suministros, indique la periodicidad con la que es revisado su estatus, cómo lo registran y las acciones que toma en caso de detectarse que este suspendida y/o cancelado, conforme a lo establecido en su procedimiento.

El procedimiento deberá incluir:

I.           Periodicidad de las visitas;

II.          Puntos de revisión en materia de seguridad;

III.         Elaboración de reportes;

IV.        Retroalimentación y acuerdos con el socio comercial;

V.         Seguimiento a los acuerdos;

VI.        Medidas en caso de la detección del incumplimiento de los requisitos;

VII.       Registro de evaluaciones;

VIII.      Área o responsable de llevar a cabo este procedimiento.

5. Seguridad de procesos.

Deben establecerse medidas de control para garantizar la integridad y seguridad de la mercancía, los procesos relacionados con el transporte (en cualquiera de sus modalidades), la recepción, control, manejo, almacenaje, custodia y entrega de carros de ferrocarril con mercancía de comercio exterior, para garantizar la seguridad de la cadena de suministros. Estas medidas de control y procedimientos deben documentarse y asegurarse de mantener la integridad de los embarques de importación y exportación desde el punto de origen hasta su destino final.

Asimismo, deben existir procedimientos establecidos para impedir, detectar o disuadir que materiales no declarados o personal no autorizado tengan acceso a los equipos tractivos y de arrastre (furgones, góndolas, tolvas, carros tanque, chasises, remolques, plataformas que no tienen tracción propia que circulan en las vías férreas y que utilizan para transportar mercancía en su interior y en contenedores). Estas medidas de control y procedimientos deben documentarse con la intención y el objetivo de mantener en todo momento la integridad del medio de transporte y los embarques de importación y exportación desde el punto de origen hasta su destino final.

5.1 Mapeo de procesos.

Se debe contar con un mapeo de procesos que describa paso a paso el flujo operativo para el traslado de carros de ferrocarril con mercancías de comercio exterior a lo largo de la cadena de suministro que incluya de forma enunciativa mas no limitativa lo siguiente: solicitud del cliente, asignación de la tripulación, en su caso el ingreso a las instalaciones del cliente, proveedor o vendedor (espuela) que describa la entrega y retiro de los carros de ferrocarril, el traslado hacia las terminales, el proceso de clasificación de los carros, rutas, escapes o laderos.

Asimismo, el transportista ferroviario deberá contar con procedimientos por escrito para la designación de la tripulación (Maquinistas de Camino, Conductor de Trenes, Garrotero de camino, Maquinista de patio, Mayordomo, Garrotero de patio, Inspector de vía), despachadores de trenes, rutas previamente diseñadas, recolección o entrega de carros de ferrocarril cargados e intercambio de carros de ferrocarril con mercancía de comercio exterior al ferrocarril conectante; manejo de documentación propia del carro de ferrocarril; comunicación durante el trayecto de ruta del tren entre los puntos intermedios o finales, su relación con otros actores de la cadena de suministros tales como agentes aduanales, operadores logísticos, clientes contratantes, entre otros.

Respuesta:

Notas Explicativas:

I.           Anexar el procedimiento documentado donde describa detalladamente el flujo operativo de su servicio general de transporte y el tipo de servicio que prestan, que incluya la designación de la tripulación, vehículos rodantes/unidades rutas, recolección y entrega de carros de ferrocarril cargados, el manejo de documentación, la comunicación durante la operación con demás actores de la cadena de suministros incluyendo a sus contratantes. Este proceso deberá incluir por lo menos lo siguiente:

II.          Solicitud de servicio.

III.         Asignación de equipo tractivo (locomotoras).

IV.        Asignación de tripulación.

V.         Confirmación de servicio a la tripulación.

VI.        Instrucciones a la tripulación.

VII.       Recolección carros de ferrocarril cargados:

a)      Identificación ante la empresa;

b)      Cartas de Instrucciones para entrega.

VIII.      Sello del contenedor (si aplica).

IX.        Traslado al patio de clasificación de carros de ferrocarril.

X.         Creación de órdenes de trabajo y clasificación de trenes.

XI.        Confirmación de lo clasificado.

XII.       Asignación de tripulación para salida de terminal o patio de clasificación.

XIII.      Documentación generada para el servicio de traslado.

XIV.     Traslado de carros de ferrocarril cargados al puerto, frontera, aduana de salida.

XV.      Indicaciones para coordinarse con otros proveedores de servicios que intervienen en el despacho aduanero y cruce fronterizo (agentes aduanales).

a)      Documentación que se requiera presentar en la aduana.

b)      Equipo de protección personal.

XVI.     Lineamiento de carga y descarga de mercancía en la aduana y/o con el cliente.

XVII.    Medio de comunicación constante con la empresa concesionaria de transporte ferroviario.

XVIII.   Traslado a destino final.

XIX.     Flujo de información asociado con el embarque.

XX.      Proceso de gestión administrativa (proceso general de envío de información documental, y cobranza).

Para efectos del proceso de gestión administrativa y cobranza, la empresa concesionaria de transporte ferroviario debe contar con un procedimiento documentado para recibir y registrar la solicitud del servicio que va a requerir el usuario, debiendo contener, por lo menos lo siguiente:

I.           Solicitud de Servicio, que incluya de forma enunciativa más no limitativa al menos la siguiente información:

a)      Origen (recolección).

b)      Destino.

c)      Especificaciones de la carga (doméstica, internacional, peligrosa, de alto valor, etcétera).

d)      Hora y fecha de entrega.