供应链-风险管理 --全球供应链安全管理的统一路径

供应链-风险管理

--全球供应链安全管理的统一路径

LRQA ISO 28000资深经理Peter Boyce先生向我们介绍目前国际上用于改善供应链安全的主要倡议，并论述ISO 28000作为一个新的国际安全管理体系标准如何媲美这些倡议，从而改善供应链的可靠性。

所有货物买卖都必须经由一定的供应链，这使在途货物的安全问题成为影响所有人的问题。

如果说恐怖主义的威胁可能是潜在的，那么盗窃的危害则是明确且现实的。盗窃降低了企业的盈利能力，并破坏了供应链的连续性。

盗窃造成的损失是安全性必须提高的主要动力—单在荷兰这样一个国内生产总值（GDP）不及世界1%的国家，每年货物失窃损失已达3亿欧元。

在食品行业，食品假冒和食品中毒无疑是一个重大风险。美国国土安全部和其他政府机构已把食品生产经营单位列为恐怖袭击的潜在“目标”，因为这将破坏食品供应，从而破坏经济，而且还有可能对广大市民造成身心伤害。

对某些行业尤其是药品行业，安全问题就包括冒牌产品及用次品充当正品（即假冒伪劣产品）。

目前供应链安全倡议除了实现打击恐怖主义和减少盗窃的主要功能外，也着重于解决销售假冒伪劣产品产生的安全问题。这类相关的例子包括：

• 重修过的飞机零部件没有经过适当的压力检测和X射线测试就重新进入供应链，对大众构成即时危险

• 2008年8月，香港海关在某集装箱里发现一万两千多条香烟，而这个集装箱标示是装载其它货物的。如果这些香烟没有被查出是假烟，它们将会被

当做正品来销售，也将使香港政府蒙受大额的税收损失

目前国际上已采用许多国际性倡议来改善供应链安全，以防止非法截取在途货物，并防止运输非法货物。

各种安全倡议

美国911恐怖袭击事件发生后的很短时间内，国际海事组织（IMO）就制定了国际船舶和港口设施安全（ISPS）代码，要求港口以及总吨位达500吨以上且在国际水域航行的所有船只持有安全证书。

这一举措使正式的安全管理体系成为必要。这样的体系立足于风险管理，且处于动态改善之中，还要求每三年进行重新认证。

美国在911事件两个月后制定并实施了海关贸易伙伴反恐计划（C-TPAT）。在货物进口到美国之前，身为C-TPAT成员的进口商必须满足供应链安全要求。

为了获得C-TPAT认可，进口商必须提供证据证明已建立安全管理体系，如已进行风险评估并制定了相应的补救措施。

一般来说，持有C-TPAT证书的公司会要求其业务伙伴实施C-TPAT安全标准。至今有10000多家公司申请了C-TPAT认证。

与其他倡议不同的是，TAPA（运输资产保护协会）倡议制定的目的是为了限制盗窃。该协会最初由高价值产品的制造商团体发起，要求物流服务供应商为其团体成员的货物提供安全保障。至今为止，TAPA已经制定了有关在途仓储安全及卡车运输安全的两套标准。目前正在进行停车时和空运时的安全标准的制定工作。

物流供应商要获得TAPA认证，就必须实施组织安全保障措施及人身安全保障措施，还要经过第三方审核。

除实施上述倡议外，WCO还制定了实施AEO（获授权的合格经济运营商）方案的“基准线方针”，以应对由于不同国家的要求倍增而导致符合各项要求的成本倍增并造成重大延误的问题。这些基准线的标准支持WCO于2005年通过的全球贸易安全与便捷之标准框架（SAFE框架）。此框架采用的正是AEO的理念。AEO是一种证明方法，用于表明企业符合WCO供应链安全要求。至今已有157个国家签署同意参与该计划。AEO的相关规定刺激企业不断提高安全性，从而提高效率，降低成本。

AEO身份可以使企业直接受益，不管是从财务出发还是对于他们的品牌声誉而言。WCO认为AEO可以带来的好处有： • 地域边界限制更少 • 报告更方便

• 风险得以降低

• 待检验货物可获优先处理

• 保险费用更低（没有AEO认证的保险费要更高）

AEO倡议受欧委会法规(EC)第648/2005号的官方公报驱动，自2008年1月1日起正式生效。申请AEO身份认证必须根据SAFE框架中列明的指导方针进行安全和风险审核。申请企业需证明自己完全了解他们的供应链。每一个风险都要进行评估，而重大风险须采取适当措施进行应对。

AEO的申请方式参照了管理体系标准如ISO 9001（质量管理体系），ISO 27001（信息安全管理体系）以及ISO 28000（供应链安全管理体系）。因此符合这些标准（尤其是ISO 28000）可以简化申请过程。

ISO 28000供应链安全管理标准

ISO 28000:2007是专门为涉及供应链运作的企业和组织制定的管理体系标准。2005年被国际标准组织以“可公开提供之规范（PAS）”的形式发布。尔后在2007年，ISO 28000:2007作为完整标准替代了PAS版。

开发ISO 28000标准的目的在于，通过实施安全程序，减少来自盗窃、走私和恶意破坏的风险并对罪犯袭击、恐怖袭击及其他袭击做出反应，总的来说是方便识别供应链上的安全风险，从而采取相应措施降低这些风险。

ISO 28000是ISO技术委员会ISO/TC8和其他技术委员会共同的劳动成果。14个国家以及国际性组织和区域性机构参与了标准的制定工作，包括国际海事组织、国际港埠协会、国际航运商会、世界海关组织、波罗的海国际海事理事会，国际船级社协会，国际创新贸易网络，世界海运理事会，安全技术战略委员会（此委员会已和ISO/TC 8签署了谅解备忘录（MoU））以及美以两国科学技术基金会。

该标准规定了安全管理体系要求，以及对供应链安全起关键作用的要素。它适用于各种规模（小型或跨国）的企业，不管其是在制造业、服务业、仓储业或运输业，也不管其处于生产或供应链的哪个阶段。

ISO 28000适用于整个组织的安全，不仅只是物流或安全部门的安全。它以风险为基础，具有灵活性，因此组织可以运用管理体系完善的原则“策划、实施、检查、纠正”（PDCA循环）来管理风险。PDCA循环可以帮助企业对能降低安全威胁的所有过程进行识别、准备、管理及回顾。

由于安全管理体系跟上述列举的倡议是共通的，我们显然可以好好利用这个为各方接纳认可的共同架构。这将减少重复工作，节省时间和金钱，更好地降低风险和改善供应链安全。

通过ISO 28000认证的企业能够向其利益相关方证明其具备更高的安全保障水平，有信心表明其体系符合国际通用的安全管理体系标准。

此外，由行业内备受尊重的第三方进行认证可以增强品牌声誉，简化程序，并节省成本。

许多国家表示有兴趣把ISO 28000认证列为企业AEO身份要求的一部分，因为这将有助于两者的相互承认，从而避免不必要的重复。然而，要实现这一目标，至关重要的是，认证必须是严格可靠的，且是由声誉及信誉良好的国际机构进行的，这对于这个在政治和经济上 都很重要的问题来说是很基本的。

展望未来

ISO 28000获得更广泛的官方认可将给政府行政部门带来极大的好处。最大的好处莫过于责任得到更好的分担。政府机构负责执法和守法管理事务，而保证行业可以提供独立的核查、认证和维持认证所需的后续监督。这是目前许多欧盟指令的惯常做法，即通过指定机构(NB)进行符合性审核。NB是指由政府指定的受认可委认可的提供符合性审核服务的认证机构。

第二个好处是可以节省大量资源。因为作为一个政府机构，跟由政府机构直接执行和实施安全标准相比，指定信得过的独立认证机构来进行工作将会动用更少资源。

给政府带来的其他好处还在于这引入了一个更加注重风险和有目的性的监控，且不受国家边界的限制。认可ISO 28000证书能满足政府计划的要求的同时，也可能减轻企业遇到的法律法规方面的压力，使交易更轻松并减少企业和政府间的成本。

随着ISO 28000越来越受到有关当局的接纳和认可，ISO 28000将成为降低法律法规复杂性及降低全面安全风险的载体。此外同样重要的是，ISO 28000将成为得到高价值货物行业广泛接受的用来打击供应链犯罪的支持性体系。

ISO 28000不断得到认可也将有助于建立管理安全要求的共同框架，推动海关互认倡议的发展。

为提高供应链安全性并减少供应链内的非法活动，作为全球经济的一部分，企业应将目光逐渐转向获得ISO 28000认证的供应商，作为降低风险和符合不同安全法律要求的一种保障，从而实现更快、更安全、更可靠的货物往来。