客服热线:
手机版
二维码
ISO/TS22163银级要求和获得银牌的准则
银级要求和获得银牌的准则:
a、评估表评估(基于ISO / TS 22163要求的评估表):最高分数的70%(70%)
b、顾客感知度:最高分数的百分之七十五(75%);
C、过程绩效评估:最高分数的百分之八十(80%);
d、将准备审核的文件和数据必须提前六十天提供给审核组长;
e、对于符合“银牌条件的获证组织,相关文件(如审核报告)需在认证公司审查通过后再由IMC(IRIS Management CEnter,IRIS管理中心)审查通过后,方可获得。
“银牌能够授予的对象:从2020年5月1日以后开始实施监督审核和再认证审核的已获证组织。因新冠病毒COVID-19而将审核时间延后到2020年5月1日以后的,只能获得“铜牌首次认证组织只能获得“铜牌。“银牌更加强调认证组织对于顾客的绩效水平,尤其是对于关键顾客/项目的绩效水平。
ISO/TS22318供应链连续性认证申请指南
本技术规范在ISO22301和ISO22313之上,提供了为企业供应链建立适合的连续性管理的指南,并且假设企业已经了解,并建立或准备建立业务连续性管理体系(BCMS)(译者:刘骊)
一家企业,假如任何1个供应商不能按时提供符合质量和成本要求的服务就可能触发严重的业务中断,那么就要考虑实施供应链连续性管理(SCCM)。一方面要通过缩短供应周期、降低库存来压低供应链成本,一方面又要控制因单一供应源和快速供应等方式带来的供应链连中断的风险,这对分歧必须得到合理的管控。
本技术规范适用于任何形式和规模的组织。适用于外部和内部供应链的连续性管理。适用于长期供应关系,也适用于一次性供应关系。
各供应商根据其对组织的业务和服务的连续性的影响程度而被分为不同“关键度”。也根据其与组织的关系而分为不同层级。第一层供应商与组织是直接合同关系,第二层供应商则是为第一层供应商提供服务或产品。各层供应关系都应考虑相同的供应商业务连续性考虑因素。第一层供应商也要对自己的供应链负责,并且顾客必须的话,也要让顾客能能看到自己的供应关系,这样既是为了更好保证整个供应链的弹性,有时也为了满足如社会责任等方面的必须。
本技术规范也要求供应商们满足ISO28000供应链安全管理系列的标准。
一 范围
本技术规范是通用性的,适用于任何类型、规模和性质的组织(或其部分),也适用于内部或外部的供应关系。本技术规范应用的程度取决于组织的运营环境和复杂度。
二 规范性参考
《ISO 22300 公共安全-术语表》
《ISO 22301 公共安全-业务连续性管理体系-要求》
三 术语与定义
(略)
四 供应链连续性的重要性
4.1概述
通常顾客-供应商关系是由合同协议明确管理的,包含服务水平协议(SLA)用于外部供应协议,运营水平协议(OLA)用于内部服务。有时表现为一次性采购活动。
4.2供应链描述
广义的供应链概览图包含产品和服务的生产与分配,外包与离岸外包等。适用于任何类型和规模的组织。图2是1个简单的供应链模型图。
只要产品或服务的交付是不受组织(运营主体)的直接管控的过程,那么就存在供应链。与不同类型供应商间的关系在灵活性和组织的可控性上会有很大的不同。
顾客关系的类型包含以下:
B2B,商务对商务(包含分销商、总代理等);
B2C,商务对消费者;
第三方服务(由分销商或代理商为顾客直接服务或提供产品)。
供应关系类别包含以下:
循环反复的产品或服务的提供,如:零部件、原资料、财务服务、资产租赁、基础固定资产维护等;
一次性或偶尔的产品或服务提供;
外包、合同服务、或业务流程提供(支付、IT服务、联络中心、后勤、物流或分销等;
战略伙伴、联盟等(特许权、分销售、合营公司等);
供应商之间的合作或依存关系等。
除了顾客和供应商,其它利益相关方也会受到供应链的影响。如:本地劳工社团、非正式的社区网络成员、交易实体、有关的合伙成员、及个别竞争对手等。
4.3 动态的供应链
4.3.1概述
各种提高效率、降低成本的供应链管理措施,反过来也会令供应链中断的危害更加严重、迅猛和频繁。供应链的日益重要,既会带来风险也会带来机会。糟糕的供应链管理有时甚至会毁掉公司的品牌、声誉和价值。
供应链不断延伸和复杂,新的脆弱性和风险暴露不断产生,水平扫描识别风险更加有挑战。同时,供应链也更加整合和精细,任何环节都可能影响到其它环节。尽管业务影响分析(BIA)应识别出供应链中的依赖关系,但对于第一层以后的供应关系很难识别。
4.3.2供应商和合同周期
供应关系的生命周期包含采购、运维和中止等。组织在新建或更新合同、服务水平协议时,就有机会对供应关系施加影响。供应链连续性管理(SCCM)要在供应关系的生命周期管中进行。而供应链分析则有助于识别出SCCM的需求和机会。
4.3.3谁对风险负责
企业要自己承担由于供应链中断而不能为顾客提供产品和服务的风险,并且有责任采取准备措施来降低这些风险。供应链出了问题,是企业自己的声誉受影响,而不是供应商的。
极端情况下,供应链中断还会对行业、市场,甚至经济、政府、社会公众产生影响。
4.4 SCCM的要素
以下是有效的SCCM(供应链连续性管理)的基本要求:
高管对业务连续性管理(BCM)和供应链连续性管理(SCCM)整合规划的支持,
制定必要的优先级和标准;
指定资源来指导分析工作;
评估供应链或单一供应商失效对组织的重要活动和流程的影响;
分析梳理组织的供应链,以及供应链中断对组织的风险;
实施适合各个供应商的连续性策略;
用以确认各供应商已采取了恰当的业务连续性措施的核查过程;
规划建立供应商关系管理体系;
建立更加富有弹性的供应链的长期策略。
4.5 有效的SCCM的好处
(略)
4.6 建立有效的SCCM的挑战
实施SCCM可能面对的挑战有以下:
组织的规模和复杂度,特别是有着上千供应商的巨型组织;
供应商的距离和可见度(地理位置及供应链的层数);
要求说服供应商更加公开透明地运营,SCCM能够为供应关系增值加分;
不灵活的合同关系限制了服务的灵活应变;
没成程式化的方法告诉我们怎么开始、怎么开展相关工作,怎样克服组织、人员的惰性和抵触心理;
没成取得预期成效,失去高管层的支持和必要资源,包含相关专业人员;
将SCCM的职责植入组织内相关部门、及供应链上相关组织的职责中;
平衡降低供应链风险的成本与长期回报,在供应链资金和运营成本上降低短期财务投入;
区分个人、组织和文化上的风险容忍度和偏好;
根据组织库存能力和供应商能力实施更好的规划;
单点供应商;
文化差异,包含对各种问题的观点差异;
对组织和供应商的不同的监管差异;
小型组织面对大型的、为多顾客服务的供应商时的实力悬殊;
对供应商的信任和信心,(例如当供货紧张时供应商是否只为其他顾客服务,而放弃本组织?);
许多间接影响很难识别,例如1个供应商服务中断后,可能会使另1个供应商变成关键供应商;
很难评估全部的中断损失。
4.7本节关键点小结
(略)
5 供应链分析
5.1 概述
对各供应商实施一致的分析有利于理解和评估供应链中断的风险和潜在影响。供应商对组织的关键程度和他们的风险暴露程度决定了分析的深度。供应商有责任进1步拓展对自己的供应链的分析,并将结果与顾客组织进行沟通。
5.2 供应链分析的考虑方面
以下是进行供应链分析时分考虑的方面:
分析的深度要能保证各依赖关系、风险、影响能够被识别和梳理出来;
选择一种统一的、可审计的、可维护的方法;
成本与效果;
明确组织的连续性框架,以及持续的采购和供应关系管理的需求;
将供应链风险管理纳入企业风险管理;
识别供应商的法律法规限制、要求;
业务影响分析(BIA)结果。
5.3明确分析方法
组织应识别各类运营、环境的需求,明确1个统一、稳定的分析方法。
用分级法评估供应商的关键程度,例如,能够分成:
“关键”:假如不能准时、保质地,并且在成本控制内提供产品或服务,就会影响组织重要业务流程的供应商,甚至一旦供应中断,就会影响组织生存;
“非关键”:对其产品或服务的中断有一定容忍度,不会影响组织关键业务的供应商;
权衡供应商关键程度两级是否足够满足管理要求,或者能够采用三类分级:(战略级-业务伙伴,核心级-重要产品或服务提供,交易级-非关键产品的提供商);
分析提供同种产品的多个供应商同时发生中断的事件场景和影响;
明确供应商能接受的业务连续性要求:
组织对每类供应商的最少供应水平,包含最少业务连续性目标(MBCO)、恢复时间目标(RTOs)
供应商要提供的能证明其合规性、恢复能力的证明;
分析的广度和深度,明确分析工作是要覆盖所有供应商还是根据关键程度选取部分,以及要分析的供应链层级的深度;
供应链分析的频率怎样;
怎样将供应链连续性的需求融入当前供应关系管理中,以及未来的资源策略中。
组织应将分析方法充分地文档化,并获得高管层的批准。
5.4 分析的结构
可采用以下图中的框架进行SCCM。
收集相关的、可用的文档,包含BIA、风险评估、供应商列表等;
明确评估供应商关键程度的方法、业务连续性的安排,包含参数,并且文档化;
与每个供应商执行分析和风险评估;
审查各供应商各自的供应链分析结果;
评估每个供应商风险水平;
与供应商分享结论,提出改进建设,就行动计划和监控程序达成一致;
将SCCM纳入供应商关系管理过程,并明明确期审核的职责;
修订各供应商针对本组织的风险级别;
结合供应商业务连续性能力和关键程度,对供应链进行全面分析。
5.5执行分析工作
组织应和供应商分享分析的基本原理和潜在利益,阐明对各供应商的需求和期望。
组织还应明确供应链的层级,从业务影响分析中识别高优先级的流程和业务活动,最小业务连续性目标(MBCO)和恢复时间目标(RTO),以及所依赖的供应商。当把BIA结果和供应链分析结合一起时,在供应链中断情况下企业应该做什么就显而易见了。
组织应评估每个供应商:
其所提供的产品或服务的关键程度
是否是唯一供应源
其供应能力中断时所带来的风险
供应商是否有有效的业务连续性措施
供应商自我评估的供应链风险程度
组织在供应商的顾客列表中的供应优先级别
供应商的MBCO和RTO是否与组织的相关活动和流程的需求匹配。
通过证明文件来评估供应商能够是维护SCCM的1个方法,文件能够有:
供应商书面的业务影响分析、风险评估和业务连续性计划;
供应商书面的维护更新其业务连续性规划的文件;
供应商书面的演练计划、演练后报告和事件后报告等。
5.6 分析的结果
对每个供应商的分析结果都应是可审计的、基于证据的。分析报告至少要包含:供应商的业务连续性措施,并且能证明这些措施能够保证他们满足所需的MBCO/RTO;
这些业务连续性措施是怎样匹配组织的期望的;
供应商的供应链连续性是怎样管理的;
有什么会影响产品和服务供应的威胁;
改进的建议。
5.7本节关键点小结
(略)6SCCM 策略
6.1 概述
组织应对每个供应商制定适合的SCCM策略。利用5.5小节的分析结果识别以下内容:
- 供应商列表;
- 服务或产品的供应中断对组织业务的影响;
- 每个供应商的关键性,以及随着中断时间的延长产生的影响;
- 供应商自身业务以以及供应链的连续性措施。
不同策略之间不是互斥的,对于1个供应商可能有多个办法来减缓期风险影响。达到1个最优的方案也是必须时间的,有时也有必要采用临时的措施。特别是当供应合同或协议还有较长时间时,很难变更供应商或供应合同。
组织还应考虑中断产生的各种损失和支出,包含有形的和无形的,以衡量实施SCCM策略的成本。6.2 连续性策略选项
6.2.1选项1——接受现状
“无为”策略适合非关键供应商。能够通过保险来弥补一些损失。(保险不是业务连续性策略,由于理赔往往是在事件发生很久之后,甚至组织已经不可挽救的情况下。)
6.2.2选项2——降低依赖度
组织能够通过以下方法降低对供应商的依赖程度:任何情况下都有两家或以上的供应源;
增加库存量,或与分销商适当延长分销时间,以缓冲中断对组织的影响;
建立替代方案,采用实用的办法来应对来自那些组织无法影响的关键供应商的风险,例如:用备用发电机以防电力供应中断,采用多种渠道的沟通系统以降低对单一渠道或通讯商的依赖。
6.2.3选项3——增加弹性
组织能够制定不依赖于供应商的恢复策略:
- 把制造、运输转为企业“内包”,以降低服务损失;
- 明确备选供应商,能够并且随时准备好,在最短通知下就能满足组织的需求;
- 与同行建立互助协议。
选项4——与供应商合作
- 与关键供应商建立基于互信的伙伴关系,更好地理解供应商的恢复措施,加快恢复速度;
- 建立必要的性能标准和用于评估的流程;
- 协助和鼓励供应商提高其弹性;
- 把SCCM需求纳入合同条款。
选项5——终止关系
6.3 将SCCM能力纳入供应合同
组织应将业务连续性需求纳入招标流程以确保供应商具有充分的BCM措施以支持长期的服务。具体包含:- 招标书中明确BC需求;
- 供应商挑选流程中考查BC文件,评估响应质量;
- 制定标准的合同条款,使明确的连续性策略能随时应用于新的合同中,或者已有合同的续签中;
- 合同条款和服务水平协议中要包含事件管理和通报的升级触发与评估机制;
- 合同中明确要求对关键事件和信息的通报,包含求助、计划复审、演练和文件修订等;
- 合同中加入联合演练、分享经验等合作措施;
- 合同中加入对业务连续性管理措施的审核或/和审计条款;
- 鼓励供应商评估自己的供应链中断影响,采取降低中断风险的措施,并让这些工作记录能被看到;
- 要求对供应市场上可能影响BCM措施的转变尽早进行通报;
- 向供应商明确假如不能达到所要求的SCCM指标会对合同关系产生的影响,例如:引起问题升级或合同中断;
- 在不可抗力条款中进行必要约束,以控制供应商过度引用不可抗力条款,而未能采取有效的SCCM的措施。
6.4 SCCM的责任人
指定人员对供应商关系管理负责,并要确保持续监控SC的连续性。这个职责与BCM密切相关。组织应要求管理SCCM职责由负责采购产品或服务的人员移交给负责管理合同或运营的人员。组织还应确保控制措施不会因时间延续而降级,例如:签了两家供应商以增加其弹性后,要注意监控,避免因成本等原因而减至一家。6.5本节关键点小结
(略)7管理供应链的中断
7.1 概述
和关键供应商确认连续性管理措施的可用性和有效性是很重要的。最好的方式是通过供应商关系管理来确保与合作商之间定期的、开放的探讨,在组织与供应商之间建立起合作关系。设想各方在突发事件发生时会怎样反应很容易,重要的是要对这些设想进行证实。7.2 中断事件发生前
组织要将以下事项包含在业务连续性计划中:由供应商中断引起的各种局限和转变对组织的自身的产品或服务的供应有什么程度影响;
供应商必须从组织获得什么支持;
组织立即影响的行动计划。
邀请供应商参与相关的业务连续性演练;
协助供应商理解其产品或服务的正常提供对组织的关键性,并确保他们能识别出将供应渠道转移到备用方案时可能的问题;
参与供应商的相关演练,以确认供应商在中断事件中恢复供应的实际能力;
使用水平扫描的办法以提醒组织消除可能会影响供应链的风险;
考虑外部事件的非直接影响,如起能源缺引起的运输中断。
7.3事件的发现与通知
及时的事件预警才能保证对事件响应处置的有效、及时、正确。这要求组织与供应商间拥有1个开放的关系,鼓励供应商们立即对事件进行通报,并识别相应问题和对供应可能的影响。
关系越不透明,供应商越不会主动向其顾客通报突发事件和相应影响,反而会盲目乐观地认为自己能够解决问题而不会影响对顾客的供应。耽误事件通知很可能会另1个小事件演变为严重的事件。特别是供应商不能充分认识到他们自己对于整个链条的重要性的情况下。
7.4 事件期间
在事件处置过程中,组织应考虑以下方面:- 通过组织与供应商之间的事件管理流程来减少对供应商的应对过程的盲目设想,最小化对组织的影响;
- 供应商所在地区的地理、文化、政治的差异带来的影响;
- 贯穿事件处理全过程的供应商定期沟通过程,从事件处理期间到恢复正常工作状态;
- 供应商对外沟通中要避免“信息最大化”带来的负面声誉影响;
- 当组织自身发生突发事件,影响到了供应商,必须他们调整其业务运营,并对组织的恢复工作提供支持时,供应商难免会有的被动抵触。
恢复业务正常状态
7.5恢复业务正常状态
将业务恢复到正常状态必须支出些时间,还必须协调受影响的供应商的运营活动。组织应充分吸取经验与教训,进行改进,减少在未来事件中对组织和供应商的影响,并提升组织与供应商之间的信息沟通。在事件回顾过程中,组织还要合理管理供应商之间分享敏感信息的顾虑。在保持现有合同和处理结果的前提下,对于不愿采取更多改进措施的供应商,还要进行协调。组织能够要求尽可能地访问到在事件处理活动中和跟踪过程中的相关信息。7.6 本节关键点小结
(略)
8 能力评估
8.1概述
组织要对供应商进行能力评估,并将其作为供应商关系管理的日常工作。能力评估覆盖现行的SCCM管理,包含监控、确认、批准和审核SCCM措施,以促进业务连续性的改进,保障供应链。
监控和复查有助于确认关键供应商的业务连续性措施的健康实施:
与供应商定期召开会议,以及时供应商运营或他们的业务连续性计划的变更情况;
监控供应能力,识别潜在问题;
建立供应商问题报告的机制和流程;
识别关键供应商遇到重大事件时,隐藏的那些风险;
协调供应商的MBCO和RTO与组织的需求保持一致。
8.2 与供应商的约定
组织通过以下方式与供应商保持对SCCM的持续经常地沟通:
供应商定期报告会上,把SCCM定为常规议程;
分享教育与培训工具;
建立资源策略;
监控相关能力指标;
演练事件处置计划;
预演事件触发和升级流程;
分享事件的指挥与报告体系的建立思想;
共同进行演练。
8.3实施SCCM能力评评估
组织通过以下方式实现对SCCM的能力评估活动:
复查组织的对供应商的关键SCCM指标,这取决于对各供应商的关键性和对各供应商连续性策略的选择;
保障流程包含以下:
进行分析(见8.4);
根据关键性能指标(KPI)/度量指标进行持续的监控;
设计和利用问卷、检查清单、自评估等;
当供应商没能达到相关指标时,采取相关升级措施;
复核组织的采购流程,确保BCM的要求包含其中;
复核标准SCCM合同和相关条款,确保它们始终满足组织要求;
在合同和协议中包含对能力评估的权利和要求,假如原来条款中没有这项,能够的话要补充上。
8.4持续地分析
供应链以以及面对的风险总是在不断转变中,为维护SCCM,组织应:
形成1个可重复的过程,分析供应链,监控不断转变的风险;
保持分析及时有效,并识别能够持续改进的机会;
建立1个持续的审核流程来供应链的转变和改进的效果;
明确审核流程的负责人员,并将审核工作纳入供应商关系管理过程中;
把SCCM需求纳入资源策略中;
把供应商的SCCM能力评估过程也纳入BCM审计的范围。
8.5能力评估的结果
能力评估就是结果导向的。当评估1个供应商的能力是否满足组织的需求时,就检查以下方面:
供应商的的BIA,风险评估和业务连续性计划的文档;
供应商的文档化的维护和更新业务连续性计划的流程;
供应商的演练计划,以及以往演练报告和事件报告;
有恰当的,文档化的通知流程,并且包含了可能会受影响的关键组织;
文档化的沟通计划包含了沟通的衔接和必要的声明并把影响的组织都考虑在内;
这些流程的好处有:
更好地理解风险和控制措施,才能建立对供应链连续性的更大信心;
评估出各供应商对组织的BCM需求的满足程度;
更早识别出可能会影响供应关系的转变;
能识别出供应商应及时解决的能力上的差距;
目标为导向的供应商监控和能力测评。
进行能力评估时,组织还应注意以下:
1个供应商可能有多个顾客都希望确保他们的BCM,这会增加供应商的成本以及复杂度;
能力评估只能提供1个特定时点指标参考,因此必须定期不断地对SCCM的实施进行审核;
进行能力评估和持续改进是必须投入成本的。
