供应链安威胁的识别、风险评价及控制措施策划.docx

供应链安全威胁的识别、风险评价和控制措施策划初探摘要：提出供应链安全威胁的识别和风险评价的流程、范围和方法，根据所确定风险等级， 策划供应链安全风险的控制措施， 控制和减轻供应链安全风险的后果。关键词：供应链安全威胁 识别 评价 控制措施 策划组织需要对其运作的供应链安全从物流、信息流、资金流及商业流通等环节进行识别和评价，并确定是否已经采取了最基本的安全措施、是否遵守了法律法规和其它要求及潜在的风险。本文根据供应链安全管理体系 规范（ISO28000:2007 ，IDT），参考供应链安全风险识别及评价指导(ISO/PAS28000)及供应链风险管理指南(GB/T24420-2009)等标准中风险的识别、评价方法，提出供应链安全风险识别、评价方法，为组织建立一套供应链安全管理体系提供风险识别及评价的思路，供建立供应链安全管理体系的组织和人员参考。一、供应链及供应链安全的定义供应链：生产及流通过程中，涉及讲产品提供到最终用户所形成的网络结构。可包括供应商、制造商、物流、内部配送中心、分销商、批发商以及联系最终用户的其他实体。供应链安全：阻止了有意、未经授权而对供应链直接或间接造成损害和破坏行为的状态。二、供应链安全威胁的识别与风险评价流程（一）供应链关系：供应商 生产商 分销商零售商 终端用户 物流、信息流、资金流、商流 （二）识别与评价流程确定供应链安全威胁和风险识别、评价范围成立识别、评价工作组确定业务活动范围识别安全威胁 分析和评价风险确定风险等级编制威胁和风险清单，确定优先控制秩序 策划控制措施。三、供应链安全威胁的识别（一）供应链安全威胁的识别范围：应包括组织供应链安全相关的所有过程 ，识别与各项活动有关的所有安全威胁，考虑显在的风险和潜在的风险 ；供应链安全相关的活动可包括（但不限于）：办公和工作场所、设施维修现场、人员和工作资质、资金管理、信息管理、商务活动等。例如：在物流方面的考虑主要针对组织中的：运输、制造、包装设施、储存、搬运装卸和配送等全过程的相关因素；在信息流方面主要针对组织中：信息管理的全过程的相关因素；在资金流方面考虑主要针对组织中金融等全过程的相关因素；商业流通过程包含接受订货、签订合同、网络销售、邮政销售等。识别应适时更新。（二）供应链安全威胁的识别应考虑按 ISO28000 标准第 4.3.1 条款的基本要求，供应链安全风险识别至少应考虑：1. 客观所引起失效的威胁 ；2. 各相关环节操作所引起的威胁 ；3. 自然环境事件(风暴、洪水、泥石流、地震等)致使安全措施和设备失效；4. 超出组织控制的因素，如外部供应的设备和服务失效；5. 相关方的威胁和风险；6. 安全设备的设计和安装包括更新、维护保养的影响等；7. 信息、数据管理和沟通影响；8. 对运行持续性或顺畅性构成某种威胁等方面。（三）源于组织内部的供应链威胁可能有（但不限于）1. 源于调度的组织与采购风险。2. 源于信息不确定，或因供应链各环节之间利益原因引起的信息阻塞等。3. 源于物流技术、手段及方法不成熟的风险。4. 源于分销商的选择或经营不确定性产生的风险。5. 源于人力资源、内部制度缺陷的风险等。6. 源于组织内的设备的购置和安装包括更新、维护保养中的风险等；（四）源于组织外部的供应链威胁可能有（但不限于）1. 源于政策、法律要求变化的风险。2. 源于供应商因事故、罢工等影响产生的风险3. 源于自然灾害、意外灾祸风险。4. 源于社会冲突、恐怖事件、社会动荡、语言、习俗等的风险。5. 源于信息共享可能产生的商业机密泄露的风险。6. 源于市场的不确定性、社会环境、金融、地理、政治和道德等超出组织控制的风险等（五）供应链安全威胁的识别方法简述在供应链安全风险识别及评价指导（ISO/PAS28000）的第 2 章列出了供应商安全程序的所有细节要求。如供应链运输安全要求， 在委托方的资产或货物从一个操作到另一个的不同位点（可以说是从卡车到仓库，仓库到卡车，卡车到航线处理机，航线处理机到飞行器等）将全部视为风险区域。运输组织应确保有关的操作程序详细并与相关方进行了必要沟通，其要求的内容为运输组织的最低安全要求，相关内容至少包括：物理安全、安全系统、安全程序、人员安全、培训、附加的安全要求、选择的承运商或其他组织的管理等。ISO/PAS28000 的第 2 章还包括了 制造安全要求、 包装安全要求、 储存安全要求、配送安全要求、信息安全要求、资金安全要求、商业流通安全要求等。组织可以在 ISO/PAS28000 最低要求的基础上 ，提出自身更高的安全要求。对照ISO/PAS28000 第 2 章列出的与组织供应链有关的最低安全要求或组织修订的安全要求， 对供应链所有的活动进行逐项检查、比对、评价，确定是否满足要求，参考表 1。表 1供应链运输安全要求检查表（部分）（参考 ISO/PAS28000供应链运输安全要求ü=要求ü M=要求并强制通过检查验收所涉及的场所检查结果时限分类管理现有控等级制措施符合不符合待完善可性1 物理安全1.1 卡车安全1.1.1 带锁的卡车车门设施。1.1.2 燃料盖锁完好保证。现场现场ü Mü M1.2拖车安全1.2.11.2.2硬侧/硬门拖车。使用结实和完整的货物防护布，并捆有绳索和紧固装置。使用高安全度挂锁。现场现场ü Mü M1.2.3现场ü表 1 供应链运输安全要求检查表填写说明：ü=要求ü M=要求并强制通过检查（1） “强制要求”：根据风险和威胁的控制程度，若违反下列情况时： 是属于本行业法律法规和其他要求所需遵循的； 与货物委托方签署的合同条款必须的要求，对下游组织可能造成严重影响的； 若违反则可能造成货物重大损失或资金发生较大损失， 如经济损失在一定数额以上（组织自定）； 可能造成信息发生重大失密的； 可能造成不良社会影响的，如剧毒品、危险化学品运输中可能发生的事件其余情况为“非强制要求”内容要求。（2） 在风险识别和评价自查自评结果的规定，是内部检查小组在企业建立供应链安全管理体系时， 检查组织现有的活动实际达到的情况来判定，在相应栏处可以用 “ü”或简单的文字表达即可。（3） 通过检查发现的“不符合及待完善”的事项，责任部门应进行整改，整改后经验证评价达到“符合”，方可对四、分析和评价供应链的安全风险，确定风险等级（一）风险分析要考虑供应链风险的原因和风险源、风险发生的可能性及影响 后果。如表 2 供应链风险后果和影响评价示例、表 3 供应链风险的可能性评价示例。等 级表 2供应链风险的后果和影响评价 示例风险的影响或后果风险高低的表现形式风险高低对所评价事项的风险高低对所评价事计划进度影响项的经济损失影响1极低极小或没有影响极小或没有影响极小或没有影响2低可接受但会降低正面绩需要更多资源，但能按时C<5%效表现（如盈利等）完成计划3中可接受但会大大降低正关键计划目标的轻微延5%C<7%面绩效表现（如盈利等） 误，不能按时完成计划4高可接受但导致无正面绩关键计划目标的较大延误，或效表现关键实施路径收到影响7%C<10%5极高不可接受不能实现主要项目的关键C10%计划指标注：(1）企业也可以自己界定损失的高低比例(2）“表现、计划进度、损失”三者，对于评价的事项而言可以表现为1 项或同时 2 项或同时 3 项，选择其中的最高等级未评价结果(3）风险高低对所评价事项的经济损失影响：分母为：卡车安全（带锁的卡车车门设施完好、燃料盖锁完好保证）在运输环节中无损失，运输货物的总价值；分子为：卡车缺乏安全性可能造成的货物损失345可能（考虑公司实际情况，以及社会上和其它组织的经验，该风险频繁发生， 如每月发生，且公司的控制措施效果不佳）非常可能（考虑公司实际情况，以及社会上和其它组织的经验，该风险频繁发生， 如每周发生，且公司的控制措施效果不佳）确定（考虑公司实际情况，以及社会上和其它组织的经验，该风险频繁发生， 如每周内可能发生 2 次及以上，且公司的控制措施效果不佳）表 3供应链风险的可能性评价 示例等级风险事件发生的可能性1不可能2不太可能（考虑公司实际情况，以及社会上和其它组织的经验，该风险频繁发生，如每年发生，且公司的控制措施效果不佳）（二）对检查表（表 1）中的所有活动有关的事项，按照表 2、表 3 评价其影响后果及可能性，填入表 1 的“风险评价栏”（三）根据 3.2 的结果，按照表 4 进行风险等级分类极高可容许风险中度风险重大风险不可容许风险不可容许风险表 4风险等级分类表采取安全措施可 能 性分 类1 不可能2 不太可能3 可能4 非常可能5 确定后极低可忽略风险可忽略风险可忽略风险可忽略风险可容许风险果低可忽略风险可忽略风险可忽略风险可容许风险中度风险分中可忽略风险可忽略风险可容许风险中度风险重大风险类高可忽略风险可容许风险中度风险重大风险不可容许风险(四) 编制供应链安全风险清单编制供应链安全风险清单的目的 ：综合考虑风险产生的原因、风险等级、影响或危害、风险位置或部门，从而策划控制措施需求以及措施后期望。依次列入不可容许风险、重大风险、中度风险，给出风险控制的优先顺序。供应链安全风险描述示例如表 5。表 5供应链安全风险清单 示例学 品 运重 大运 输故障或损境、影响输辆 的 资 质风险月输 途 中风险部 、坏、夏季附近居民部管理、GPS的泄漏、运 输环境度过生活线 路 及 定火 灾 等途中高、路面影响附近位监控、制引 起 环颠簸、交车辆正常定预案、车境 污 染通事故如行进等辆 配 置 应与赔偿撞车等急设施及编号安 全 威胁 的 描述风 险等级威 胁所 在位 置或 部门威胁产生 影响或危 责原 因 害 任部门措 施 需 求（现有的、需 要 补 充的）措施后期望备注风险时限等级1危 险 化包装容器污 染 环运人 员 和 车中 度1 个（五）供应链安全风险的更新遇到以下情况，组织应更新或补充威胁的识别及风险评估1. 增加了大量新的业务或高风险业务；2. 业务过程、区域、物理和网络环境发生了重大的变化；3. 发生了重大货物、资金等损失；4. 政策及法规变化5. 风险控制措施完成后等五、供应链安全风险控制措施的策划（一） 控制措施策划的原则1. 可忽略：不需采取措施且不必保留文件记录2. 可允许风险 ：不需另外的控制措施，可考虑不增加额外成本的改进措施，需要监视来确保控制措施的维持。3. 中度风险：应降低风险，在规定时间期限内实施降低风险措施。在中度风险与严重伤害后果相关的场合，应进一步评价，以更准确地确定伤害的可能性，以确定是否需要改进措施4. 重大风险：直至风险降低后才能开始工作。当风险涉及正在进行中的工作时，就应建立应急措施5. 不可允许风险：只有当风险已降低时，才能开始或继续工作。如果无限的资源投入也不能降低风险，就禁止该项活动（二）选择风险控制措施时应考虑下列因素1. 风险降低：对于重大风险采用适当的控制措施，按要求降至中度风险；对于中度风险尽量采取措施将至更低风险；如果暂时不能采取措施降低风险程度的，制定控制计划， 在一定时限内降至低风险；2. 风险接受：对于可忽略风险、可容许风险，在明显满足组织方针策略和不违反相关法律法规和合同要求的情况下，接受风险；3. 风险避免：积极采取措施规避风险造成影响；4. 风险转移：采取适当手段将相关业务风险转移到其他方，如：保险，供应商等。注：本文只是供应链安全威胁识别与风险评价的粗浅方法之一，仅供参考；在供应链的信息流风险识别、评价中，也可以参考ISO27000 信息安全管理体系的方法 。参考文献：1供应链安全管理体系 规范（ISO28000:2007 ，IDT） 2供应链安全风险识别及评价指导(ISO/PAS28000) 3供应链风险管理指南(GB/T24420-2009)