本技术规范在ISO22301和ISO22313之上,提供了为企业供应链建立适合的连续性管理的指南,并且假设企业已经了解,并建立或准备建立业务连续性管理体系(BCMS)
一家企业,如果任何一个供应商不能按时提供符合质量和成本要求的服务就可能触发严重的业务中断,那就要考虑实施供应链连续性管理(SCCM)。一方面要通过缩短供应周期、降低库存来压低供应链成本,一方面又要控制因单一供应源和快速供应等方式带来的供应链连中断的风险,这对矛盾必须得到合理的管控。
本技术规范适用于任何形式和规模的组织。适用于外部和内部供应链的连续性管理。适用于长期供应关系,也适用于一次性供应关系。
各供应商根据其对组织的业务和服务的连续性的影响程度而被分为不同“关键度”。也根据其与组织的关系而分为不同层级。第一层供应商与组织是直接合同关系,第二层供应商则是为第一层供应商提供服务或产品。各层供应关系都应考虑相同的供应商业务连续性考虑因素。第一层供应商也要对自己的供应链负责,并且客户需要的话,也要让客户能能看到自己的供应关系,这样既是为了更好保证整个供应链的弹性,有时也为了满足如社会责任等方面的需要。
本技术规范也要求供应商们满足ISO28000供应链安全管理系列的标准。
本技术规范是通用性的,适用于任何类型、规模和性质的组织(或其部分),也适用于内部或外部的供应关系。本技术规范应用的程度取决于组织的运营环境和复杂度。
《ISO 22300 公共安全-术语表》
《ISO 22301 公共安全-业务连续性管理体系-要求》
(略)
通常客户-供应商关系是由合同协议明确管理的,包括服务水平协议(SLA)用于外部供应协议,运营水平协议(OLA)用于内部服务。有时表现为一次性采购活动。
广义的供应链概览图包括产品和服务的生产与分配,外包与离岸外包等。适用于任何类型和规模的组织。图2是一个简单的供应链模型图。
只要产品或服务的交付是不受组织(运营主体)的直接管控的过程,那就存在供应链。与不同类型供应商间的关系在灵活性和组织的可控性上会有很大的不同。
客户关系的类型包括以下:
B2B,商务对商务(包括分销商、总代理等);
B2C,商务对消费者;
第三方服务(由分销商或代理商为客户直接服务或提供产品)。
供应关系类别包括以下:
循环反复的产品或服务的提供,如:零部件、原材料、财务服务、资产租赁、基础固定资产维护等;
一次性或偶尔的产品或服务提供;
外包、合同服务、或业务流程提供(支付、IT服务、联络中心、后勤、物流或分销等;
战略伙伴、联盟等(特许权、分销售、合营公司等);
供应商之间的合作或依存关系等。
除了客户和供应商,其它利益相关方也会受到供应链的影响。如:本地劳工社团、非正式的社区网络成员、交易实体、有关的合伙成员、及个别竞争对手等。
各种提高效率、降低成本的供应链管理措施,反过来也会令供应链中断的危害更加严重、迅猛和频繁。供应链的日益重要,既会带来风险也会带来机会。糟糕的供应链管理有时甚至会毁掉公司的品牌、声誉和价值。
供应链不断延伸和复杂,新的脆弱性和风险暴露不断产生,水平扫描识别风险更加有挑战。同时,供应链也更加整合和精细,任何环节都可能影响到其它环节。虽然业务影响分析(BIA)应识别出供应链中的依赖关系,但对于第一层以后的供应关系很难识别。
供应关系的生命周期包括采购、运维和中止等。组织在新建或更新合同、服务水平协议时,就有机会对供应关系施加影响。供应链连续性管理(SCCM)要在供应关系的生命周期管中进行。而供应链分析则有助于识别出SCCM的需求和机会。
企业要自己承担因为供应链中断而不能为客户提供产品和服务的风险,并且有责任采取准备措施来降低这些风险。供应链出了问题,是企业自己的声誉受影响,而不是供应商的。
极端情况下,供应链中断还会对行业、市场,甚至经济、政府、社会公众产生影响。
以下是有效的SCCM(供应链连续性管理)的基本要求:
高管对业务连续性管理(BCM)和供应链连续性管理(SCCM)整合规划的支持,
制定必要的优先级和标准;
指定资源来指导分析工作;
评估供应链或单一供应商失效对组织的重要活动和流程的影响;
分析梳理组织的供应链,以及供应链中断对组织的风险;
实施适合各个供应商的连续性策略;
用以确认各供应商已采取了恰当的业务连续性措施的核查过程;
规划建立供应商关系管理体系;
建立更加富有弹性的供应链的长期策略。
(略)
实施SCCM可能面对的挑战有以下:
组织的规模和复杂度,特别是有着上千供应商的巨型组织;
供应商的距离和可见度(地理位置及供应链的层数);
要求说服供应商更加公开透明地运营,SCCM可以为供应关系增值加分;
不灵活的合同关系限制了服务的灵活应变;
没成程式化的方法告诉我们怎么开始、怎么开展相关工作,如何克服组织、人员的惰性和抵触心理;
没成取得预期成效,失去高管层的支持和必要资源,包括相关专业人员;
将SCCM的职责植入组织内相关部门、及供应链上相关组织的职责中;
平衡降低供应链风险的成本与长期回报,在供应链资金和运营成本上降低短期财务投入;
区分个人、组织和文化上的风险容忍度和偏好;
根据组织库存能力和供应商能力实施更好的规划;
单点供应商;
文化差异,包括对各种问题的观点差异;
对组织和供应商的不同的监管差异;
小型组织面对大型的、为多客户服务的供应商时的实力悬殊;
对供应商的信任和信心,(比如当供货紧张时供应商是否只为其他客户服务,而放弃本组织?);
很多间接影响很难识别,比如一个供应商服务中断后,可能会使另一个供应商变成关键供应商;
很难评估全部的中断损失。
4.7 本节关键点小结
(略)
对各供应商实施一致的分析有利于理解和评估供应链中断的风险和潜在影响。供应商对组织的关键程度和他们的风险暴露程度决定了分析的深度。供应商有责任进一步拓展对自己的供应链的分析,并将结果与客户组织进行沟通。
以下是进行供应链分析时分考虑的方面:
分析的深度要能保证各依赖关系、风险、影响能够被识别和梳理出来;
选择一种统一的、可审计的、可维护的方法;
成本与效果;
确定组织的连续性框架,以及持续的采购和供应关系管理的需求;
将供应链风险管理纳入企业风险管理;
识别供应商的法律法规限制、要求;
业务影响分析(BIA)结果。
5.3 确定分析方法
组织应识别各类运营、环境的需求,确定一个统一、稳定的分析方法。
用分级法评估供应商的关键程度,例如,可以分成:
“关键”:如果不能准时、保质地,并且在成本控制内提供产品或服务,就会影响组织重要业务流程的供应商,甚至一旦供应中断,就会影响组织生存;
“非关键”:对其产品或服务的中断有一定容忍度,不会影响组织关键业务的供应商;
权衡供应商关键程度两级是否足够满足管理要求,或者可以采用三类分级:(战略级-业务伙伴,核心级-重要产品或服务提供,交易级-非关键产品的提供商);
分析提供同种产品的多个供应商同时发生中断的事件场景和影响;
确定供应商能接受的业务连续性要求:
组织对每类供应商的最低供应水平,包括最低业务连续性目标(MBCO)、恢复时间目标(RTOs)
供应商要提供的能证明其合规性、恢复能力的证明;
分析的广度和深度,确定分析工作是要覆盖所有供应商还是根据关键程度选取部分,以及要分析的供应链层级的深度;
供应链分析的频率如何;
如何将供应链连续性的需求融入当前供应关系管理中,以及未来的资源策略中。
组织应将分析方法充分地文档化,并获得高管层的批准。
可采用以下图中的框架进行SCCM。
收集相关的、可用的文档,包括BIA、风险评估、供应商列表等;
确定评估供应商关键程度的方法、业务连续性的安排,包括参数,并且文档化;
与每个供应商执行分析和风险评估;
审查各供应商各自的供应链分析结果;
评估每个供应商风险水平;
与供应商分享结论,提出改进建设,就行动计划和监控程序达成一致;
将SCCM纳入供应商关系管理过程,并明确定期审核的职责;
修订各供应商针对本组织的风险级别;
结合供应商业务连续性能力和关键程度,对供应链进行全面分析。
5.5 执行分析工作
组织应和供应商分享分析的基本原理和潜在利益,阐明对各供应商的需求和期望。
组织还应确定供应链的层级,从业务影响分析中识别高优先级的流程和业务活动,最小业务连续性目标(MBCO)和恢复时间目标(RTO),以及所依赖的供应商。当把BIA结果和供应链分析结合一起时,在供应链中断情况下企业应该做什么就显而易见了。
组织应评估每个供应商:
其所提供的产品或服务的关键程度
是否是唯一供应源
其供应能力中断时所带来的风险
供应商是否有有效的业务连续性措施
供应商自我评估的供应链风险程度
组织在供应商的客户列表中的供应优先级别
供应商的MBCO和RTO是否与组织的相关活动和流程的需求匹配。
通过证明文件来评估供应商可以是维护SCCM的一个方法,文件可以有:
供应商书面的业务影响分析、风险评估和业务连续性计划;
供应商书面的维护更新其业务连续性规划的文件;
供应商书面的演练计划、演练后报告和事件后报告等。
供应商的业务连续性措施,并且能证明这些措施可以保证他们满足所需的MBCO/RTO;
这些业务连续性措施是如何匹配组织的期望的;
供应商的供应链连续性是如何管理的;
有哪些会影响产品和服务供应的威胁;
改进的建议。
6.4 SCCM的责任人
由供应商中断引起的各种局限和变化对组织的自身的产品或服务的供应有什么程度影响;
供应商需要从组织获得什么支持;
组织立即影响的行动计划。
邀请供应商参与相关的业务连续性演练;
帮助供应商理解其产品或服务的正常提供对组织的关键性,并确保他们能识别出将供应渠道转移到备用方案时可能的问题;
参与供应商的相关演练,以确认供应商在中断事件中恢复供应的实际能力;
使用水平扫描的办法以提醒组织消除可能会影响供应链的风险;
考虑外部事件的非直接影响,如起能源缺引起的运输中断。
7.3 事件的发现与通知
及时的事件预警才能保证对事件响应处置的有效、及时、正确。这要求组织与供应商间拥有一个开放的关系,鼓励供应商们立即对事件进行通报,并识别相应问题和对供应可能的影响。
关系越不透明,供应商越不会主动向其客户通报突发事件和相应影响,反而会盲目乐观地认为自己可以解决问题而不会影响对客户的供应。耽误事件通知很可能会另一个小事件演变为严重的事件。特别是供应商不能充分认识到他们自己对于整个链条的重要性的时候。
7.5 恢复业务正常状态
(略)
组织要对供应商进行能力评估,并将其作为供应商关系管理的日常工作。能力评估覆盖现行的SCCM管理,包括监控、确认、批准和审核SCCM措施,以促进业务连续性的改进,保障供应链。
监控和复查有助于确认关键供应商的业务连续性措施的健康实施:
与供应商定期召开会议,以及时供应商运营或他们的业务连续性计划的变更情况;
监控供应能力,识别潜在问题;
建立供应商问题报告的机制和流程;
识别关键供应商遇到重大事件时,隐藏的那些风险;
协调供应商的MBCO和RTO与组织的需求保持一致。
组织通过以下方式与供应商保持对SCCM的持续经常地沟通:
供应商定期报告会上,把SCCM定为常规议程;
分享教育与培训工具;
建立资源策略;
监控相关能力指标;
演练事件处置计划;
预演事件触发和升级流程;
分享事件的指挥与报告体系的建立思想;
共同进行演练。
8.3 实施SCCM能力评评估
组织通过以下方式实现对SCCM的能力评估活动:
复查组织的对供应商的关键SCCM指标,这取决于对各供应商的关键性和对各供应商连续性策略的选择;
保障流程包括以下:
进行分析(见8.4);
根据关键性能指标(KPI)/度量指标进行持续的监控;
设计和利用问卷、检查清单、自评估等;
当供应商没能达到相关指标时,采取相关升级措施;
复核组织的采购流程,确保BCM的要求包括其中;
复核标准SCCM合同和相关条款,确保它们始终满足组织要求;
在合同和协议中包括对能力评估的权利和要求,如果原来条款中没有这项,可以的话要补充上。
8.4 持续地分析
供应链以及其面对的风险总是在不断变化中,为维护SCCM,组织应:
形成一个可重复的过程,分析供应链,监控不断变化的风险;
保持分析及时有效,并识别能够持续改进的机会;
建立一个持续的审核流程来供应链的变化和改进的效果;
确定审核流程的负责人员,并将审核工作纳入供应商关系管理过程中;
把SCCM需求纳入资源策略中;
把供应商的SCCM能力评估过程也纳入BCM审计的范围。
8.5 能力评估的结果
能力评估就是结果导向的。当评估一个供应商的能力是否满足组织的需求时,就检查以下方面:
供应商的的BIA,风险评估和业务连续性计划的文档;
供应商的文档化的维护和更新业务连续性计划的流程;
供应商的演练计划,以及以往演练报告和事件报告;
有恰当的,文档化的通知流程,并且包括了可能会受影响的关键组织;
文档化的沟通计划包括了沟通的衔接和必要的声明并把影响的组织都考虑在内;
这些流程的好处有:
更好地理解风险和控制措施,才能建立对供应链连续性的更大信心;
评估出各供应商对组织的BCM需求的满足程度;
更早识别出可能会影响供应关系的变化;
能识别出供应商应及时解决的能力上的差距;
目标为导向的供应商监控和能力测评。
进行能力评估时,组织还应注意以下:
一个供应商可能有多个客户都希望确保他们的BCM,这会增加供应商的成本以及复杂度;
能力评估只能提供一个特定时点指标参考,所以需要定期不断地对SCCM的实施进行审核;
进行能力评估和持续改进是需要投入成本的。
8.6 本节关键点小结
(略)
(责任编辑:ysbadmin)
