供应链安威胁的识别风险评价及控制措施策划.docVIP

供应链安全威胁的识别、风险评价和 控制措施策划初探 摘 要：提出供应链安全威胁的识别和风险评价的流程、范围和方法，根据所确定风险等级，策划供应链安全风险的控制措施， 控制和减轻供应链安全风险的后果。 关键词：供应链安全威胁 识别 评价 控制措施 策划 组织需要对其运作的供应链安全从物流、信息流、资金流及商业流通等环节进行识别和评价，并确定是否已经采取了最基本的安全措施、是否遵守了法律法规和其它要求及潜在的风险。本文根据《供应链安全管理体系 规范》（ISO28000:2007 ，IDT），参考《供应链安全风险识别及评价指导》(ISO/PAS28000)及《供应链风险管理指南》(GB/T24420-2009)等标准中风险的识别、评价方法，提出供应链安全风险识别、评价方法，为组织建立一套供应链安全管理体系提供风险识别及评价的思路，供建立供应链安全管理体系的组织和人员参考。 一、供应链及供应链安全的定义 供应链：生产及流通过程中，涉及讲产品提供到最终用户所形成的网络结构。可包括供应商、制造商、物流、内部配送中心、分销商、批发商以及联系最终用户的其他实体。 供应链安全：阻止了有意、未经授权而对供应链直接或间接造成损害和破坏行为的状态。 二、供应链安全威胁的识别与风险评价流程 （一）供应链关系： 供应商 ←→ 生产商←→ 分销商←→ 零售商 ←→ 终端用户 物流、信息流、资金流、商流 （二）识别与评价流程 确定供应链安全威胁和风险识别、评价范围—→成立识别、评价工作组—→确定业务活动范围—→识别安全威胁 —→ 分析和评价风险—→确定风险等级—→编制威胁和风险清单，确定优先控制秩序—→ 策划控制措施。 三、供应链安全威胁的识别 （一）供应链安全威胁的识别范围： 应包括组织供应链安全相关的所有过程 ，识别与各项活动有关的所有安全威胁，考虑显在的风险和潜在的风险 ；供应链安全相关的活动可包括（但不限于）：办公和工作场所、设施维修现场、人员和工作资质、资金管理、信息管理、商务活动等。例如：在物流方面的考虑主要针对组织中的：运输、制造、包装设施、储存、搬运装卸和配送等全过程的相关因素；在信息流方面主要针对组织中：信息管理的全过程的相关因素；在资金流方面考虑主要针对组织中金融等全过程的相关因素；商业流通过程包含接受订货、签订合同、网络销售、邮政销售等。识别应适时更新。 （二）供应链安全威胁的识别应考虑 按ISO28000标准第4.3.1条款的基本要求，供应链安全风险识别至少应考虑： 1.客观所引起失效的威胁 ； 2.各相关环节操作所引起的威胁 ； 3.自然环境事件(风暴、洪水、泥石流、地震等)致使安全措施和设备失效； 4.超出组织控制的因素，如外部供应的设备和服务失效； 5.相关方的威胁和风险； 6.安全设备的设计和安装包括更新、维护保养的影响等； 7.信息、数据管理和沟通影响； 8.对运行持续性或顺畅性构成某种威胁等方面。 （三）源于组织内部的供应链威胁 可能有（但不限于） 1.源于调度的组织与采购风险。 2.源于信息不确定，或因供应链各环节之间利益原因引起的信息阻塞等。 3.源于物流技术、手段及方法不成熟的风险。 4.源于分销商的选择或经营不确定性产生的风险。 5.源于人力资源、内部制度缺陷的风险等。 6.源于组织内的设备的购置和安装包括更新、维护保养中的风险等； （四）源于组织外部的供应链威胁 可能有（但不限于） 1.源于政策、法律要求变化的风险。 2.源于供应商因事故、罢工等影响产生的风险 3.源于自然灾害、意外灾祸风险。 4.源于社会冲突、恐怖事件、社会动荡、语言、习俗等的风险。 5.源于信息共享可能产生的商业机密泄露的风险。 6.源于市场的不确定性、社会环境、金融、地理、政治和道德等超出组织控制的风险等 （五）供应链安全威胁的识别方法简述 在《供应链安全风险识别及评价指导》（ISO/PAS28000）的第2章列出了供应商安全程序的所有细节要求。如供应链运输安全要求， 在委托方的资产或货物从一个操作到另一个的不同位点（可以说是从卡车到仓库，仓库到卡车，卡车到航线处理机，航线处理机到飞行器等）将全部视为风险区域。运输组织应确保有关的操作程序详细并与相关方进行了必要沟通，其要求的内容为运输组织的最低安全要求，相关内容至少包括：物理安全、安全系统、安全程序、人员安全、培训、附加的安全要求、选择的承运商或其他组织的管理等。ISO/PAS28000的第2章还包括了 制造安全要求、 包装安全要求、 储存安全要求、 配送安全要求、信息安全要求、资金安全要求、商业流通安全要求等。 组织可以在ISO/PAS28000最低要求的基础上 ，提出自身更高的安全要求。 对照ISO/PAS28000第2章列出的与组织