Capítulo 9.    Sistemas de gestión de la seguridad operacional (SMS)                         9-33


              9.7.3.6    Sobre  la  base  de  los  riesgos  de  seguridad  operacional  identificados,  el  proveedor  de  servicios  puede
              considerar trabajar conjuntamente con la otra organización para determinar y definir una estrategia apropiada de control
              de riesgos de seguridad operacional. Mediante la participación de la otra organización, pueden estar en condiciones de
              contribuir a identificar peligros, evaluar riesgos de seguridad operacional y determinar el control apropiado para dichos
              riesgos. Es necesario una actividad en colaboración debido a que la percepción de los riesgos de seguridad operacional
              no  puede  ser  la  misma  para  cada  organización.  El  control  de  riesgos  debería  ser  ejecutado  por  el  proveedor  de
              servicios o la organización externa.

              9.7.3.7    También  es  importante  reconocer  que  cada  organización  involucrada  es  responsable  y  de  identificar  y
              gestionar los peligros que afectan a su propia organización. Esto puede significar que el carácter crítico de la interfaz es
              diferente para cada organización dado que estas pueden aplicar diferentes clasificaciones de riesgos y tener diferentes
              prioridades para los mismos (en términos de rendimiento en materia de seguridad operacional, recursos, tiempo, etc.).


              Gestión y vigilancia de las interfaces

              9.7.3.8    El proveedor de servicios es responsable de gestionar y observar las interfaces para garantizar el seguro
              suministro  de  sus  productos  y  servicios.  Esto  garantizará,  a  su  vez,  que  las  interfaces  se  gestionan  eficazmente  y
              permanecen actualizadas y pertinentes. Los acuerdos formales son una forma eficaz de lograr lo anterior dado que las
              interfaces y responsabilidades conexas pueden definirse claramente en los mismos. Todo cambio en las interfaces y las
              consecuencias conexas deberían comunicarse a las organizaciones pertinentes.

              9.7.3.9    Entre los retos relacionados con la capacidad del proveedor de servicios para gestionar los riesgos de
              seguridad operacional de las interfaces figuran los siguientes:

                         a)  los controles de riesgos de seguridad operacional de una organización no son compatibles con los de
                             otras organizaciones;

                         b)  la  disposición  de  ambas  organizaciones  para  aceptar  cambios  a  sus  propios  procesos  y
                             procedimientos;

                         c)  insuficiencia de recursos o conocimientos técnicos disponibles para gestionar y observar la interfaz; y

                         d)  el número y la ubicación de las interfaces.

              9.7.3.10   Es importante reconocer la necesidad de coordinación entre las organizaciones involucradas en la interfaz.
              La coordinación eficaz debería comprender:

                         a)  aclaración de las funciones y responsabilidades de cada organización;

                         b)  acuerdo  de  decisiones  sobre  las  medidas  que  han  de  adoptarse  (p. ej.,  medidas  de  control)  de
                             riesgos de seguridad operacional y cronogramas;

                         c)  identificación de las necesidades de información de seguridad operacional que deben compartirse y
                             comunicarse;

                         d)  cómo y cuándo debería tener lugar la coordinación (equipo especial, reuniones regulares, reuniones
                             ad hoc o especiales); y

                         e)  acuerdos  sobre  soluciones  que  beneficien  a  ambas  organizaciones  pero  que  no  afectan
                             negativamente la eficacia del SMS.