Łańcuch dostaw obecnie można zdefiniować jako „łańcuch wyzwań” związanych z rosnącymi kosztami, niedoborem kapitału ludzkiego, presją na skracanie czasów dostaw, automatyzacją i dostosowaniem systemów informatycznych, jak również z adekwatnym do zmiennych warunków zabezpieczeniem operacji.
W niniejszym artykule skupimy się na bezpieczeństwie łańcucha dostaw. Przedstawimy dobre praktyki, zasady które w naszej opinii należy wziąć pod uwagę przy identyfikacji zagrożeń i wdrażaniu zabezpieczeń w łańcuchu dostaw.
Zasady przestawione w tym artykule są poparte kilkunastoletnią praktyką w projektach z zakresu podnoszenia efektywności i bezpieczeństwa operacji w łańcuchu dostaw. Są one także ukierunkowane na zgodność z wytycznymi międzynarodowego standardu ISO 28000:2007 „Specyfikacja systemów zarządzania bezpieczeństwem dla łańcucha dostaw”.
Zakres działania systemu zarządzania bezpieczeństwem
Zakres działania systemu zarządzania bezpieczeństwem musi obejmować przepływ towarów, przepływ informacji i przepływy finansowe od momentu planowania dostaw zaopatrzeniowych do momentu dostarczenia wyrobu gotowego do Klienta. Należy tu uwzględnić (jeśli to możliwe) wszystkich uczestników łańcucha, którzy w sposób bezpośredni lub pośredni wpływają na niego.
Zalecanym przez nas narzędziem ułatwiającym określenie zakresu i formy zabezpieczeń są mapy i karty procesów. W zależności od potrzeb i poziomu skomplikowania procesów sporządzamy je z różnym poziomem szczegółowości dla procesów głównych (związanych bezpośrednio z przepływem towaru, informacji i środków pieniężnych) oraz wspierających (zapewniających wsparcie m.in.: procesy IT, HR, administracja, zarządzanie informacją i ochroną danych osobowych).
Cele i zadania systemu zarządzania bezpieczeństwem
Ustalone cele i zadania w zakresie zarządzania bezpieczeństwem muszą być powiązane
z celami biznesowymi stawianymi menedżerom oraz z zadaniami realizowanymi przez pracowników firmy.
Cele powinny być mierzalne. Stopień zaawansowania realizacji powinien być przeglądany cyklicznie aby zapewnić, że pozostają one w dalszym ciągu aktualne i zgodne z przyjętą polityką.
Zadania powinny wspierać osiągnięcie przyjętych celów w zakresie bezpieczeństwa łańcucha dostaw. Wykonawcy zadań powinni przyjąć je do realizacji, być za nie odpowiedzialni, ale także mieć odpowiednie uprawnienia do ich wykonania.
Analiza ryzyka
Na proces analizy ryzyka składa się identyfikacja, szacowanie oraz ocena ryzyka. Dla wybranych ryzyk (spełniających kryteria ważności) ustalany jest plan postępowania z ryzykiem.
W ramach identyfikacji określony jest katalog zagrożeń – scenariusze ryzyka z podziałem na obszary występowania. Definiuje się słabe punkty zasobów i procesów oraz ich podatności. Określa się też właścicieli ryzyk oraz inne role i odpowiedzialności.
Szacowanie zawiera przybliżona ocenę wpływu danego zagrożenia na biznes oraz przybliżoną ocenę prawdopodobieństwa (materializacji) wystąpienia danego zagrożenia.
Ocena ryzyka wykorzystuje zebrane, ustalone parametry i ustala wartość ryzyka. W zależności od wyniku oceny ryzyka dla każdego scenariusza wystąpienia należy zaplanować i podjąć stosowne działania ujęte w planie postępowania z ryzykiem.
Istotne dla procesu analizy ryzyka jest określenie metodyki. Wartości prawdopodobieństwa wystąpienia zdarzenia i jego wpływu na biznes powinny zostać określone adekwatnie do prowadzonego biznesu i skupiać się na zasobach oraz procesach krytycznych dla organizacji. Wpływ na organizację może dotyczyć m.in. potencjalnych strat finansowych, braków osobowych, zatrzymania krytycznych operacji, strat wizerunkowych. Określenie parametrów oceny umożliwi wykonywanie analizy ryzyka w sposób systematyczny i zapewnieni porównywalność wyników przy każdym kolejnym przeglądzie.
