Некрасов А.Г. Основы менеджмента безопасности цепей поставок

Подождите немного. Документ загружается.

5. Система менеджмента безопасности цепи поставок

5.1. О

бщие требования к системе управления

Исходя из существующих положений PAS:99, любая

организация и ее цепь (цепи) поставок должна документировать

область деятельности, охваченную системой управления, опираясь

на международные и корпоративные стандарты/спецификации в

сфере менеджмента. С целью обеспечения реализации политики и

достижения своих целей по управлению цепью поставок

организация должна:

а) идентифицировать процессы, необходимые для внедрения,

эксплуатации и поддержания системы управления, их применения в

рамках всей цепи поставок;

б) определить последовательность и взаимодействие

процессов цепи поставок, включая применимость интеграции

различных вариантов данных процессов;

в) определить критерии и методы, необходимые для

обеспечения эффективного функционирования и оперативного

контроля данных процессов;

г) обеспечить наличие различных ресурсов и информации,

необходимых для устойчивого функционирования и мониторинга

процессов;

д) проводить мониторинг, измерение и анализ процессов цепи

поставок, осуществлять мероприятия, необходимые для достижения

запланированных результатов и постоянного совершенствования

производительности цепи поставок.

В основе современных требований к системам

управления, включая интегрированные цепи поставок, лежит риско-

ориентированный подход. Данное положение следует из

определения системы управления в сочетании с определением

категории риска. Система управления поддерживает цепь поставок

организации при разработке политики и достижении поставленных

целей. Риски – это различные вероятные события, которые могут

позитивно и/или негативно воздействовать на цели. Поэтому вполне

логично, что системы управления применяются для управления

рисками для достижения целей. В ИСО 9001 определение риска не

выражено в полном объеме из-за отсутствия требований по

идентификации, оценке критических характеристик, имеющих

отношение к качеству. Однако существуют положения об

идентификации требований заказчика и органов технического

регулирования. Эти положения стандарта ИСО 9001 составляют

основу для оценки, контроля и мониторинга процессов цепи

поставок организации с целью установления степени реализации

данных требований.

Для управления процессами поставки продукции организации

также важно создать и поддерживать систему менеджмента

надежности (СМН). Требования в этой области должны быть

направлены на выработку руководств для эффективного

менеджмента надежности продукции и поддерживающих

процессов. Продукция может представлять собой комбинацию

аппаратных средств, программного обеспечения и человеческих

действий по сопровождению. Поэтому цель СМН состоит в том,

чтобы гарантировать достижение требуемой надежности

продукции путем управления процессами. Эти процессы,

являющиеся основными, применяются во всех организациях, на

всех стадиях жизненного цикла продукции и во всех ситуациях

контракта независимо от типа, размера и других характеристик

продукции. Основные принципы систем менеджмента надежности

будут полезны для цепей поставок организаций, целями которых

являются: создание системы менеджмента надежности для

достижения требуемой надежности продукции; определение

потребностей и ожиданий заказчика в области надежности и

методов их достижения; измерение и повышение эффективности

системы менеджмента надежности. Для управления действиями в

сфере надежности цепей поставок организация должна создать

систему менеджмента надежности, являющуюся частью системы

менеджмента безопасности. Функции руководства в сфере

надежности должны быть также идентифицированы. Роль

руководства и цели надежности, относящиеся к качеству и другим

техническим аспектам, должны быть объявлены и взаимоувязаны с

общими целями безопасности. Цели должны быть направлены на

удовлетворение требований заказчика и потребностей бизнеса и

должны соответствовать целям цепи поставок организации и

требованиям непрерывного совершенствования.

Ряд организаций в рамках системы менеджмента качества

применяет различные методы определения рисков. Например,

FMEA (анализ характера и последствий отказов), HACCP

(критические контрольные точки при анализе опасного фактора –

ККТАОФ). Функционирование системы НАССР в сфере обеспечения

безопасности пищевых продуктов основано на

общеметодологических 7-ми принципах в области менеджмента

качества:

1) провести анализ потенциально опасных факторов;

2) определить критические контрольные точки (ККТ);

3) спецификация критических пределов;

4) создать систему мониторинга по контролю за ККТ;

5) запланировать меры для устранения недостатков;

6).установить процедуры для проверки и подтверждения

эффективности системы;

7).вести учет всех процедур и записей, связанных с этими

принципами и их применением.

Требование по проведению оценки риска является

основой менеджмента безопасности и других систем имеющих

отношение к вопросам безопасности – промышленной безопасности

и охраны труда, информационной безопасности и др.

В стандарте ГОСТ Р 51897-2002 «Менеджмент риска. Термины

и определения» [25] под риском понимается сочетание вероятности

события и его последствий. Риск обусловлен возможностью

отклонения от ожидаемого результата или события. Среди

элементов риска называются источники или опасности, события,

последствия и вероятность. Под термином «событие»

рассматривается возникновение специфического набора

обстоятельств (характеристик риска – прим. авт.), при которых

происходит явление с определенной вероятностью, - как меры того,

что событие может произойти.

Важен также поиск взаимосвязи между использованием

терминов «аспект», «событие», «инцидент», которые имеют прямое

отношение к вопросу менеджмента риска.

В случае с термином «аспект» речь идет об идентификации тех

характеристик, которые требуют контроля, так как они

представляют собой источник риска (позитивного или негативного).

Учитывая многоаспектность вопросов безопасности, рекомендуется

идентифицировать те из них, которые оказывают наиболее

существенное влияние на риски по управлению цепью поставок.

Следовательно, их необходимо контролировать и/или снижать с

помощью реализации программ по совершенствованию и

повышению жизнестойкости. Таким образом, термин «аспект»

отражает определение характеристик, которые превращаются в

событие со стандартной (позитивной или негативной) оценкой

функционирования на основе вероятности. Соответственно

инцидент – любое событие, которое не является частью

стандартного функционирования, например, услуги, и соответствует

негативному уровню риска. Событие, отнесенное к инциденту,

приводит или может привести к остановке в предоставлении

услуги/процесса или к снижению качества.

5.2. Структура системы менеджмента безопасности

Конечной целью международных спецификаций ISO

28000:2007 является улучшение безопасности цепей поставок.

Областью применения спецификации ISO 28000:2007 являются

финансирование, производство, информационный менеджмент,

оборудование для упаковки, хранения и перевозки товаров

различными видами транспорта и звеньями ЦП[23]. Документ

требует, чтобы организация оценивала окружающую среду

безопасности, в которой она работает, и другие регулирующие

правила. Так как цепи поставок являются динамичными по своей

природе, организации, управляющие множеством цепочек поставок,

могут (с участием государства) договориться со своими

поставщиками о внедрении соответствующих стандартов и

поддерживающих технологий.

В терминах и определениях следует выделить ключевое

определение, данное цепочке поставок. «Цепочка поставок:

взаимосвязанная совокупность ресурсов и процессов, которая

начинается с добычи сырья и проходит через поставку продуктов

или услуг до конечного потребителя с помощью методов

транспортировки. Цепь поставок может включать в себя продавцов,

заводское оборудование, логистических провайдеров, внутренние

центры распределения, дистрибьюторов, оптовых продавцов и

других юридических лиц, которые ведут к конечному пользователю».

Важная роль отводится компетентности, обучению и

осведомленности персонала. Организация должна гарантировать,

что персонал, ответственный за разработку, функционирование и

управление оборудованием и процессами, квалифицирован, обучен

и имеет необходимый опыт.

Системную основу требований составляют стандарты ISO

9001:2000 и ISO 14001:2004, образующих площадку для развития

системы управления безопасностью, основанной на управлении

рисками. Стандарт содержит требования по применению цикла

PDCA («Plan-Do-Check-Act»), рассмотренный выше в пособии. На

рис.5.1. показана структура (элементы) системы менеджмента

безопасности, вытекающая из международных требований.

В рамках общих требований к системе менеджмента

безопасности организация должна установить, задокументировать,

ввести в действие, поддерживать и непрерывно улучшать

эффективность системы менеджмента безопасности в целях

идентификации рисков безопасности, контроля и смягчения их

последствий по снижению общих потерь. При передаче отдельных

процессов в аутсорсинг организация должна гарантировать

возможность контроля, идентификацию средств контроля и

ответственность за их выполнением в рамках системы менеджмента

безопасности.

Рис.5.1. Элементы системы менеджмента безопасности цепи поставок

В состав элементов структуры системы менеджмента

безопасности входят:

• политика менеджмента безопасности;

• оценка риска безопасности и планирование;

• выполнение и функционирование;

• проверочные и корректирующие действия;

• контроль руководства и постоянное совершенствование.

Рассмотрим характеристики и требования к каждому элементу.

1. Политика менеджмента безопасности (ПМБ)

Прежде всего, высшее руководство (топ-менеджмент)

организации должно санкционировать всеобъемлющую политику

менеджмента безопасности, включая цепи поставок организации.

Такая политика должна быть совместимой с другими направлениями

организационной политики, определять специфические задачи

менеджмента безопасности, его цели и программы, включать

обязательства по непрерывному совершенствованию процессов

менеджмента безопасности. Отдельными требованиями ПМБ

являются:

• быть задокументированной, внедренной и утвержденной;

• быть связанной с соответствующими служащими

организации, третьими лицами (подрядчиками, поставщиками,

потребителями);

• предусматривать отчет в случае приобретения или слияния с

другими организациями или другими изменениями в бизнесе,

которые могут затронуть непрерывность или значимость (риски)

ПМБ.

2. Оценка риска безопасности и планирование (ОРБП)

Для обеспечения оценки риска безопасности организация

должна установить и поддерживать процедуры для идентификации

и оценки угроз безопасности и менеджмента безопасности,

связанного с угрозами и рисками. Оценка риска предусматривает

наличие характеристик вероятности события и всех его последствий

и должна включать:

• физические угрозы отказа (инцидента) и риски, связанные с

функциональным (процессным) отказом, случайным

повреждением, злоумышленным повреждением или

террористическим актом, или преступным деянием;

• эксплутационные угрозы и риски, такие как контроль

безопасности, человеческий фактор, которые затрагивают

безопасность функционирования организации и ее цепи

поставок;

• естественные природные явления (шторм, наводнения и т.д.),

которые могут оказывать влияние на безопасность, а также на

эффективность использования оборудования;

• факторы за пределами контроля организации, такие как отказы

поставляемом из вне оборудования, материальных ресурсов и

услуг;

• угрозы и риски со стороны заинтересованных сторон, такие как

невозможность соответствовать регулирующим нормативным

требо- ваниям, ущерб репутации или брэнду;

• конструирование и установка оборудования в области

безопасности, включая его замену и обслуживание;

• информацию, обработку данных и коммуникации;

• угрозу нарушения непрерывности операций.

Методология организации для идентификации и оценки

угроз/риска должна являться превентивной, а не реагирующей,

включать базу данных по угрозам и рискам безопасности, их

классификацию и систему мониторинга действий (процессов). ПМБ

должна быть оптимизирована по приоритетам, а также

периодически пересматриваться для обеспечения гарантий остаться

эффективной и совместимой с целями и задачами менеджмента

безопасности.

3. Выполнение и функционирование (ВФ)

Организация должна устанавливать и поддерживать

организационную структуру ролей, обязанностей и прав,

совместимых с ее политикой менеджмента безопасности, его

целями, задачами и программами. Для успешного

функционирования организация должна идентифицировать те

операции и действия, которые необходимы для того, чтобы

достигнуть:

• политики и задач менеджмента безопасности;

• контроля идентифицированных угроз и рисков безопасности;

• соответствия юридическим, установленным законом и другими

регулирующими требованиями в сфере безопасности;

• требуемого уровня безопасности цепи поставок.

Важнейшим направлением ПМБ, поддерживающим

жизнестойкость и самовосстановление цепи поставок, является

готовность к чрезвычайным ситуациям, реакции и восстановлению

безопасности. Планы и процедуры должны включать информацию

по снабжению и обслуживанию любого идентифицированного

оборудования, средств сервиса или услуг, которые могут

потребоваться во время или после инцидентов или чрезвычайных

ситуаций.

4. Проверочные и корректирующие действия (ПКД)

Этот элемент ПМБ связан с оценкой, измерением и

мониторингом характеристик безопасности. Организация должна

рассматривать угрозы и риски безопасности, включая

потенциальные механизмы ухудшения и их последствия,

устанавливая частоту для измерения и мониторинга ключевых

параметров функционирования. Процедуры предусматривают:

• качественные и количественные измерения,

приспособленность к потребностям организации;

• мониторинг в той степени, в которой нуждается

организационная политика менеджмента безопасности;

• превентивные меры функционирования, которые контролируют

работу с ПМБ, операционными критериями контроля и

применяемым законодательством;

• реактивные критерии функционирования для мониторинга

ухудшений, отказов, инцидентов, несоответствий (включая

ложные тревоги), связанных с безопасностью, и другие факты

несовершенной работы ПМБ.

Все корректирующие и превентивные действия должны быть

проверены через связанный с угрозами и рисками безопасности

оцениваемый процесс, пока непосредственное выполнение не

повлечет неизбежного воздействия на безопасность жизни или

общества. Важная роль в этом отводится аудитам ПМБ.

Аудиторская программа, включающая любой план, должна быть

основана на результатах оценки угроз и рисков и результатах

предыдущих аудитов. Процедуры аудита должны охватывать

область, частоту. методологии и компетенции, а также обязанности

и требования для проведения аудитов и отчета о результатах.

5. Контроль руководства и непрерывное совершенствование

(КРНС)

Высшее руководство осуществляет проверки ПМБ организации

по запланированному графику для того, чтобы обеспечить её

постоянную пригодность, адекватность и эффективность. Проверки

должны включать оценку возможностей для совершенствования и

потребности в изменениях ПМБ, включая, политику, цели, угрозы и

риски в области безопасности. Входные данные для проверок со

стороны руководства должны включать:

• результаты аудитов и оценки соответствия юридическим

требованиям, а также другим требованиям, под которыми

стоит подпись организации;

• связь с внешними заинтересованными сторонами, включая

жалобы;

• характеристики безопасности организации,

• степень соответствия целей и задач;

• статус корректирующих и предупредительных действий;

• информацию по действиям, следующим за предыдущими

проверками со стороны руководства.

Поэтому следование только в русле традиционных моделей

менеджмента не дает ответа на вопросы современной экономики,

связанной с риском. Потенциал эффективности рассматриваемых

элементов ПМБ реализуется при взаимодействии структурных

блоков «системные факторы - процессы - результаты».

Существующая практика по мониторингу изменений показателей ЦП

дает лишь запоздалую информацию об эффективности управления

и применяемых информационных системах.

Традиционные модели,

с помощью которых обеспечивается постоянное перераспределение

финансовых, материальных и информационных ресурсов,

оказываются излишне «жесткими» и вертикально иерархичными.

Как уже отмечалось, становление электронного, и как

следствие этого, – «прозрачного» рынка предполагает возможность

мгновенного доступа к информации о наличии грузов, заказов.

Конкурентная борьба идет уже не между отдельными звеньями, а

интегрированными ЦП. Одновременно системы функционируют в

условиях высокого риска и неопределенности, вызванных высокими

темпами постоянных изменений во внешней среде. Все это требует

наличия таких систем управления, которые бы обеспечивали

постоянную адаптацию к меняющейся обстановке и быструю

переброску запасов. Поэтому разработка методов взаимодействия

звеньев ЦП на основе элементов системы менеджмента

безопасности является крайне актуальной. Методология

комплексной безопасности цепей поставок направлена на