供应链安威胁的识别、风险评价及控制措施策划.docVIP

供应链安全威胁的识别、风险评价和 控制措施策划初探 摘 要：提出供应链安全威胁的识别和风险评价的流程、范围和方法，根据所确定风险等级，策划供应链安全风险的控制措施， 控制和减轻供应链安全风险的后果。 关键词：供应链安全威胁 识别 评价 控制措施 策划 组织需要对其运作的供应链安全从物流、信息流、资金流及商业流通等环节进行识别和评价，并确定是否已经采取了最基本的安全措施、是否遵守了法律法规和其它要求及潜在的风险。本文根据《供应链安全管理体系 规范》（ISO28000:2007 ，IDT），参考《供应链安全风险识别及评价指导》(ISO/PAS28000)及《供应链风险管理指南》(GB/T24420-2009)等标准中风险的识别、评价方法，提出供应链安全风险识别、评价方法，为组织建立一套供应链安全管理体系提供风险识别及评价的思路，供建立供应链安全管理体系的组织和人员参考。 一、供应链及供应链安全的定义 供应链：生产及流通过程中，涉及讲产品提供到最终用户所形成的网络结构。可包括供应商、制造商、物流、内部配送中心、分销商、批发商以及联系最终用户的其他实体。 供应链安全：阻止了有意、未经授权而对供应链直接或间接造成损害和破坏行为的状态。 二、供应链安全威胁的识别与风险评价流程 （一）供应链关系： 供应商 ←→ 生产商←→ 分销商←→ 零售商 ←→ 终端用户 物流、信息流、资金流、商流 （二）识别与评价流程 确定供应链安全威胁和风险识别、评价范围—→成立识别、评价工作组—→确定业务活动范围—→识别安全威胁 —→ 分析和评价风险—→确定风险等级—→编制威胁和风险清单，确定优先控制秩序—→ 策划控制措施。 三、供应链安全威胁的识别 （一）供应链安全威胁的识别范围： 应包括组织供应链安全相关的所有过程 ，识别与各项活动有关的所有安全威胁，考虑显在的风险和潜在的风险 ；供应链安全相关的活动可包括（但不限于）：办公和工作场所、设施维修现场、人员和工作资质、资金管理、信息管理、商务活动等。例如：在物流方面的考虑主要针对组织中的：运输、制造、包装设施、储存、搬运装卸和配送等全过程的相关因素；在信息流方面主要针对组织中：信息管理的全过程的相关因素；在资金流方面考虑主要针对组织中金融等全过程的相关因素；商业流通过程包含接受订货、签订合同、网络销售、邮政销售等。识别应适时更新。 （二）供应链安全威胁的识别应考虑 按ISO28000标准第4.3.1条款的基本要求，供应链安全风险识别至少应考虑： 1.客观所引起失效的威胁 ； 2.各相关环节操作所引起的威胁 ； 3.自然环境事件(风暴、洪水、泥石流、地震等)致使安全措施和设备失效； 4.超出组织控制的因素，如外部供应的设备和服务失效； 5.相关方的威胁和风险； 6.安全设备的设计和安装包括更新、维护保养的影响等； 7.信息、数据管理和沟通影响； 8.对运行持续性或顺畅性构成某种威胁等方面。 （三）源于组织内部的供应链组织与采购风险。。。分销商的选择产生的风险。。供应链法律风险。风险意外灾祸风险。表1 供应链运输安全要求检查表（部分）（参考ISO/PAS28000第2章） 供应链运输安全要求 (=要求 ( M=要求并强制通过检查验收 所涉 及的 场所 时 限 分类 管理等级 现有控制措施 检查结果 风险评价 符 合 不 符 合 待完善 可能性 后果 风险 等级 物理安全 卡车安全 带锁的卡车车门设施。 现场 ( M 燃料盖锁完好保证。 现场 ( M 拖车安全 硬侧/硬门拖车。 现场 ( M 使用结实和完整的货物防护布，并捆有绳索和紧固装置。 现场 ( M 使用高安全度挂锁。 现场 ( 表1供应链运输安全要求检查表填写说明： (=要求 ( M=要求并强制通过检查 （1）“强制要求”：根据风险和威胁的控制程度，若违反下列情况时： ① 是属于本行业法律法规和其他要求所需遵循的； ② 与货物委托方签署的合同条款必须的要求，对下游组织可能造成严重影响的； ③ 若违反则可能造成货物重大损失或资金发生较大损失， 如经济损失在一定数额以上（组织自定）； ④ 可能造成信息发生重大失密的； ⑤ 可能造成不良社会影响的，如剧毒品、危险化学品运输中可能发生的事件 其余情况为“非强制要求”内容要求。 （2）在风险识别和评价自查自评结果的规定，是内部检查小组在企业建立供应链安全管理体系时， 检查组织现有的活动实际达到的情况来判定，在相应栏处可以用 “(”或简单的文字表