供应链安威胁的识别、风险评价及控制措施策划.docxVIP

供应链安全威胁的识别、风险评价和控制措施策划初探 摘要：提出供应链安全威胁的识别和风险评价的流程、范围和方法，根据所确定风险等级，策划供应链安全风险的控制措施，控制和减轻供应链安全风险的后果。 关键词：供应链安全威胁识别评价控制措施策划 组织需要对其运作的供应链安全从物流、信息流、资金流及商业流通等环节进行识别和评价，并确定是否已经采取了最基本的安全措施、是否遵守了法律法规和其它要求及潜在的风险。本文根据《供应链安全管理体系规范》（ISO28000：2007，IDT），参考《供应链安全风险识别及评价指导》（ISO/PAS28000）及《供应链风险管理指南》（GB/T24420-2009）等标准中风险的识别、评价方法，提出供应链安全风险识别、评价方法，为组织建立一套供应链安全管理体系提供风险识别及评价的思路，供建立供应链安全管理体系的组织和人员参考。 一、供应链及供应链安全的定义供应链：生产及流通过程中，涉及讲产品提供到最终用户所形成的网络结构。可包括供应商、制造商、物流、内部配送中心、分销商、批发商以及联系最终用户的其他实体。 供应链安全：阻止了有意、未经授权而对供应链直接或间接造成损害和破坏行为的状态。 二、供应链安全威胁的识别与风险评价流程（一）供应链关系： 供应商^--^生产商--^分销商--^零售商^--^终端用户 物流、信息流、资金流、商流（二）识别与评价流程 确定供应链安全威胁和风险识别、评价范围一-成立识别、评价工作组一-确定业务活动范围一-识别安全威胁一-分析和评价风险一-确定风险等级一-编制威胁和风险清单，确定优先控制秩序一-策划控制措施. 三、供应链安全威胁的识别（一）供应链安全威胁的识别范围： 应包括组织供应链安全相关的所有过程，识别与各项活动有关的所有安全威胁，考虑显在的风险和潜在的风险；供应链安全相关的活动可包括（但不限于）：办公和工作场所、设施维修现场、人员和工作资质、资金管理、信息管理、商务活动等。例如：在物流方面的考虑主要针对组织中的：运输、制造、包装设施、储存、搬运装卸和配送等全过程的相关因素；在信息流方面主要针对组织中：信息管理的全过程的相关因素；在资金流方面考虑主要针对组织中金融等全过程的相关因素；商业流通过程包含接受订货、签订合同、网络销售、邮政销售等.识别应适时更新。 （二）供应链安全威胁的识别应考虑按ISO28000标准第4。3。1条款的基本要求，供应链安全风险识别至少应考虑： 1。客观所引起失效的威胁；2。各相关环节操作所引起的威胁；3。自然环境事件（风暴、洪水、泥石流、地震等）致使安全措施和设备失效；4。超出组织控制的因素，如外部供应的设备和服务失效；5。相关方的威胁和风险；6。安全设备的设计和安装包括更新、维护保养的影响等；7。信息、数据管理和沟通影响；8。对运行持续性或顺畅性构成某种威胁等方面。 （三）源于组织内部的供应链威胁可能有（但不限于）源于调度的组织与采购风险。 源于信息不确定，或因供应链各环节之间利益原因引起的信息阻塞等。 3。源于物流技术、手段及方法不成熟的风险。 4。源于分销商的选择或经营不确定性产生的风险. 源于人力资源、内部制度缺陷的风险等. 6。源于组织内的设备的购置和安装包括更新、维护保养中的风险等；（四）源于组织外部的供应链威胁可能有（但不限于）源于政策、法律要求变化的风险。 源于供应商因事故、罢工等影响产生的风险源于自然灾害、意外灾祸风险。 源于社会冲突、恐怖事件、社会动荡、语言、习俗等的风险. 源于信息共享可能产生的商业机密泄露的风险。 源于市场的不确定性、社会环境、金融、地理、政治和道德等超出组织控制的风险等（五）供应链安全威胁的识别方法简述 在《供应链安全风险识别及评价指导》（ISO/PAS28000）的第2章列出了供应商安全程序的所有细节要求。如供应链运输安全要求，在委托方的资产或货物从一个操作到另一个的不同位点（可以说是从卡车到仓库，仓库到卡车，卡车到航线处理机，航线处理机到飞行器等）将全部视为风险区域。运输组织应确保有关的操作程序详细并与相关方进行了必要沟通，其要求的内容为运输组织的最低安全要求，相关内容至少包括：物理安全、安全系统、安全程序、人员安全、培训、附加的安全要求、选择的承运商或其他组织的管理等。ISO/PAS28000的第2章还包括了制造安全要求、包装安全要求、储存安全要求、配送安全要求、信息安全要求、资金安全要求、商业流通安全要求等。 组织可以在ISO/PAS28000最低要求的基础上，提出自身更高的安全要求。 对照ISO/PAS28000第2章列出的与组织供应链有关的最低安全要求或组织修订的安全要求,对供应链所有的活动进行逐项检查、比对、评价，确定是否满足要求，参考表1。 表1供应链运输安全要求检查表（部分）（参考ISO