Informatyka i Telekomunikacja
Doradztwo logistyczne
Zarządzanie Energią
Ochrona danych osobowych
15.01.2020
Łańcuch dostaw obecnie można zdefiniować jako „łańcuch wyzwań” związanych z rosnącymi kosztami, niedoborem kapitału ludzkiego, presją na skracanie czasów dostaw, automatyzacją i dostosowaniem systemów informatycznych, jak również z adekwatnym do zmiennych warunków zabezpieczeniem operacji.
W niniejszym artykule skupimy się na bezpieczeństwie łańcucha dostaw. Przedstawimy dobre praktyki, zasady które w naszej opinii należy wziąć pod uwagę przy identyfikacji zagrożeń i wdrażaniu zabezpieczeń w łańcuchu dostaw.
Zasady przestawione w tym artykule są poparte kilkunastoletnią praktyką w projektach z zakresu podnoszenia efektywności i bezpieczeństwa operacji w łańcuchu dostaw. Są one także ukierunkowane na zgodność z wytycznymi międzynarodowego standardu ISO 28000:2007 „Specyfikacja systemów zarządzania bezpieczeństwem dla łańcucha dostaw”.
Zakres działania systemu zarządzania bezpieczeństwem
Zakres działania systemu zarządzania bezpieczeństwem musi obejmować przepływ towarów, przepływ informacji i przepływy finansowe od momentu planowania dostaw zaopatrzeniowych do momentu dostarczenia wyrobu gotowego do Klienta. Należy tu uwzględnić (jeśli to możliwe) wszystkich uczestników łańcucha, którzy w sposób bezpośredni lub pośredni wpływają na niego.
Zalecanym przez nas narzędziem ułatwiającym określenie zakresu i formy zabezpieczeń są mapy i karty procesów. W zależności od potrzeb i poziomu skomplikowania procesów sporządzamy je z różnym poziomem szczegółowości dla procesów głównych (związanych bezpośrednio z przepływem towaru, informacji i środków pieniężnych) oraz wspierających (zapewniających wsparcie m.in.: procesy IT, HR, administracja, zarządzanie informacją i ochroną danych osobowych).
Cele i zadania systemu zarządzania bezpieczeństwem
Ustalone cele i zadania w zakresie zarządzania bezpieczeństwem muszą być powiązane z celami biznesowymi stawianymi menedżerom oraz z zadaniami realizowanymi przez pracowników firmy.
Cele powinny być mierzalne. Stopień zaawansowania realizacji powinien być przeglądany cyklicznie aby zapewnić, że pozostają one w dalszym ciągu aktualne i zgodne z przyjętą polityką.
Zadania powinny wspierać osiągnięcie przyjętych celów w zakresie bezpieczeństwa łańcucha dostaw. Wykonawcy zadań powinni przyjąć je do realizacji, być za nie odpowiedzialni, ale także mieć odpowiednie uprawnienia do ich wykonania.
Analiza ryzyka
Na proces analizy ryzyka składa się identyfikacja, szacowanie oraz ocena ryzyka. Dla wybranych ryzyk (spełniających kryteria ważności) ustalany jest plan postępowania z ryzykiem.
W ramach identyfikacji określony jest katalog zagrożeń – scenariusze ryzyka z podziałem na obszary występowania. Definiuje się słabe punkty zasobów i procesów oraz ich podatności. Określa się też właścicieli ryzyk oraz inne role i odpowiedzialności.
Szacowanie zawiera przybliżona ocenę wpływu danego zagrożenia na biznes oraz przybliżoną ocenę prawdopodobieństwa (materializacji) wystąpienia danego zagrożenia.
Ocena ryzyka wykorzystuje zebrane, ustalone parametry i ustala wartość ryzyka. W zależności od wyniku oceny ryzyka dla każdego scenariusza wystąpienia należy zaplanować i podjąć stosowne działania ujęte w planie postępowania z ryzykiem.
Istotne dla procesu analizy ryzyka jest określenie metodyki. Wartości prawdopodobieństwa wystąpienia zdarzenia i jego wpływu na biznes powinny zostać określone adekwatnie do prowadzonego biznesu i skupiać się na zasobach oraz procesach krytycznych dla organizacji. Wpływ na organizację może dotyczyć m.in. potencjalnych strat finansowych, braków osobowych, zatrzymania krytycznych operacji, strat wizerunkowych. Określenie parametrów oceny umożliwi wykonywanie analizy ryzyka w sposób systematyczny i zapewnieni porównywalność wyników przy każdym kolejnym przeglądzie.
Gotowość reagowania na zdarzenia
W kolejnym kroku konieczne jest wdrożenie zabezpieczeń – technicznych, organizacyjnych. Pozwalają one na zwiększenie skuteczności działań w sytuacjach awaryjnych i ograniczenie negatywnych skutków wystąpienia zdarzeń niepożądanych. Buduje to odporność na nieuprawnione działanie osób lub firm, których celem jest spowodowanie szkody, awarii naszego systemu bezpieczeństwa. W wielu przypadkach niezbędne jest sporządzenie od nowa lub uzupełnienie istniejących procedur operacyjnych. Konieczne jest także zbudowanie planu komunikacji po wystąpieniu incydentu. Zbudowany plan powinien podlegać testowaniu. Takie podejście zwiększa świadomość i odpowiedzialność pracowników w kwestiach związanych z bezpieczeństwem. Umożliwia także spełnienie wymagań i standardów narzucanych przez otoczenie firmy.
Rady dla przedsiębiorstw wdrażających ISO 28000:2007
Autor:
Tomasz Dobczyński
Kontakt:
tomasz.dobczynski@audytel.pl
tel. 609 267 200
Bądź na bieżąco i wyraź zgodę na otrzymywanie informacji o naszych aktualnych działaniach. Co zyskasz, jeśli zapiszesz się do…
10.09.2020
Podaż powierzchni data center na polskim rynku osiągnęła na koniec 2019 r. poziom 94 tys. m2 co oznacza, że drugi…
12.05.2020
Łańcuch dostaw obecnie można zdefiniować jako „łańcuch wyzwań” związanych z rosnącymi kosztami, niedoborem kapitału ludzkiego, presją na skracanie czasów dostaw,…
Google +
Newsletter
Zapisz się do newslettera i otrzymuj bezpłatnie artykuły naszych ekspertów.
Linkedin