风险评估–针对供应链的恐怖组织和犯罪组织的持续威胁突显出会员国需要评估对这些不断发展的威胁的现有和潜在风险。C-TPAT认识到,当一家公司与多个商业伙伴拥有多个供应链时,在保护这些供应链方面将面临更大的复杂性。当一家公司拥有众多供应链时,应将重点放在具有较高风险的地理区域/供应链上。
在确定供应链中的风险时,会员必须考虑各种因素,例如业务模型,供应商的地理位置以及特定供应链可能特有的其他方面。
关键定义:风险–衡量不受欢迎事件(包括威胁,脆弱性和后果)的潜在危害的措施。决定风险等级的是威胁发生的可能性。发生的可能性很高,通常等于高风险。可能无法消除风险,但可以通过管理风险来减轻风险–降低漏洞或对业务的整体影响。
|
ID |
标准 |
实施指导 |
必须/应该 |
|
2.1 |
C-TPAT会员必须在其供应链中进行和记录风险程度。C-TPAT会员必须进行总体风险评估(RA),以识别可能存在安全漏洞的地方。 RA必须识别威胁,评估风险并采用可持续措施来减轻漏洞。成员必须考虑其在供应链中特定角色的C-TPAT要求。 |
总体风险评估(RA)由两个关键部分组成。第一部分是会员对其所控制设施内的供应链安全实践,程序和政策的自我评估,以验证其对C-TPAT最低安全标准的遵守情况,以及对管理层如何管理风险的全面管理审查。
RA的第二部分是国际风险评估。RA的这一部分包括根据会员的业务模式和在供应链中的角色来确定地理威胁。在查看每种威胁对成员供应链安全的可能影响时,成员需要一种方法来评估或区分风险等级。一种简单的方法是在低,中和高之间分配风险级别。
C-TPAT制定了“五步风险评估”指南,以帮助进行成员整体风险评估中的国际风险评估部分, 该 指 南 可 在 美 国 海 关 和 边 境 保 护 局 的 网 站 上 找 到 : https://www.cbp.gov/sites/default/files/documents/C- TPAT%27s%20Five%20Step%20Risk%20Assessment%20Process.pdf. 对于拥有广泛供应链的成员,预计主要重点将放在风险较高的领域。 |
必须 |
|
2.2 |
风险评估的国际部分应记录或映射成员的货物在其整个供应链中从始发地到进口商的配送中心的移动。映射应包括直接或间接参与货物出口/运输的所有业务伙伴。
在适用的情况下,地图绘制应包括记录货物如何进出运输设施/货物枢纽,并注明货物是否在这些位置之一“静止”了很长时间。当货物处于“静止”状态时,货物更容易受到伤害,需要等待下一段旅程。 |
在制定映射供应链的流程时,首先要考虑高风险区域。
在记录所有货物的移动时,会员应考虑所有适用的参与方-包括仅处理进出口文件的方,例如报关行和可能不直接处理货物但可能具有操作控制权的其他方。作为非船只运营的普通承运人(NVOCC)或第三方物流提供商(3PL)。如果运输的任何部分是分包的,则也可以考虑这样做,因为间接方的层次越多,涉及的风险就越大。
映射工作涉及更深入地了解您的供应链如何工作。除了识别风险外,它还可以用于查找供应链效率低下的领域,这可能导致找到降低成本或缩短产品接收周期的方法。 |
应该 |
|
2.3 |
风险评估必须每年进行一次审核,或者根据风险因素进行更频繁的审核。 |
可能需要每年进行一次以上不定期风险评估的情况包括:来自特定国家/地区的威胁级别不断提高,警报级别提高,安全漏洞或事件发生之后,业务合作伙伴变更和/或公司结构变更/所有权,例如并购等 |
必须 |
|
2.4 |
C-TPAT成员应制定书面程序,以处理危机管理,业务连续性,安全恢复计划和业务恢复。 |
危机可能包括由于网络攻击,火灾或武装人员劫持了承运人驾驶员而导致贸易数据移动中断。根据风险以及会员在何处运营或来自何处,应急计划可能包括其他安全通知或支持; 以及如何恢复被破坏或被盗的物品并恢复正常操作状态。 |
应该 |