Ryzyko jest nieodzownym elementem funkcjonowania wszystkich organizacji współdziałających w łańcuchu dostaw.

Łańcuch dostaw definiowany jest jako: „przepływ towarów przez sieci przedsiębiorstw, które są względem siebie dostawcami i odbiorcami”

Dobrą praktyką zarządzania ryzykiem w łańcuchu dostaw jest wdrożenie wymagań normy ISO 28000:2007. Seria norm ISO 28000 została opracowana z myślą o firmach, które są częścią międzynarodowych łańcuchów dostaw. Wdrożenie w Organizacji systemu zarządzania bezpieczeństwem łańcucha dostaw umożliwia redukcję ryzyka do poziomu akceptowalnego, co zapewnia płynność całego łańcucha dostawców.

Podstawą do wdrożenia ISO 28000:2007 jest ocena i analiza ryzyka w całej organizacji. Przeprowadzenie analizy ryzyka pozwala firmie na określenie słabych punktów w funkcjonowaniu firmy i dążenie do doskonalenia procesów.

Ryzyko w procesach łańcucha dostaw 28000

Ryzyko w łańcuchu obecne jest praktycznie w każdym procesie. Występuje przede wszystkim w procesach związanych z:

  • zaopatrzeniem w produkty i usługi,
  • produkcją/dostarczeniem usług,
  • realizacją zamówień ,
  • zarządzania kontaktami z klientami,
  • magazynowaniem,
  • transportem.

 

Na każdym etapie  łańcucha dostaw występują jednak nieco inne zagrożenia.

Ryzyko procesu zaopatrzenia wiąże się przede wszystkim z zakłóceniami dostaw materiałów i surowców co często skutkuje niedostarczeniem materiałów na czas (co ma wpływ na terminowość realizacji zleceń), ich nieodpowiednią jakością albo ilością lub nawet złym przepływem informacji w procesie zakupów.

Ryzyko na etapie produkcji jest związane z awariami maszyn i urządzeń co ma znaczący wpływ na terminowość realizacji, złym zarządzaniem produkcją, niepoprawnym doborem materiałów produkcyjnych. W procesie dostarczenia usług ryzyka występują w obszarze komunikacji z klientem na etapie jednoznacznego ustalenia wymagań klientów, braku kompetencji personelu lub awarii sprzętu wykorzystywanego podczas świadczenia usług.

Przykładowymi zagrożeniami w etapie realizacji zamówień są terminowość dostaw, system kontroli jakości i niestabilna ilość zamówień.

W kontaktach z klientami do obszarów ryzyka można zaliczyć np. zbyt wysokie koszty obsługi, problemy z przepływem informacji, jak również niewystarczające kompetencje.

Ryzyko związane z magazynowaniem wiąże się na przykład z nadmiarem zapasów, co często skutkuje obniżeniem jakości produktów gotowych, niewystarczającą powierzchnią magazynową albo brakiem lub niedostosowanym oprogramowaniem do gospodarki magazynowej, co może powodować bałagan w magazynie.

Transport generuje ryzyko związane z terminowością dostaw na co wpływ mają warunki atmosferyczne, poziom ruchliwości dróg, długość tras, a także awaryjność pojazdów.

Jak oceniać ryzyko w 28000

Norma ISO 28000 nie narzuca metodologii oceny ryzyka w systemie zarządzania łańcuchem dostaw. Każda organizacja dostosowuje ją do wielkości organizacji, ilości i złożoności procesów oraz kompetencji personelu. Podczas wdrożenia systemu zarządzania łańcuchem dostaw można zastosować metodologie oceny ryzyka znane chociażby z systemu zarządzania jakością lub środowiskiem (ISO 9001, ISO 14001) lub też z oceny ryzyka w BHP.

Najprostszą metodą oceny ryzyka będzie określenie prawdopodobieństwa występowania każdego zagrożenia oraz ciężkość jego potencjalnych skutków. Oba te parametry ryzyka można przedstawić w formie skali punktowej, np.

1. Dla prawdopodobieństwa:

  • 1 pkt – zagrożenie, które może wystąpić nie częściej niż raz na 5 lat,
  • 2 pkt – zagrożenie które może wystąpić raz w roku,
  • 3 pkt – zagrożenie które może wystąpić raz w miesiącu,
  • 4 pkt – zagrożenie, które może wystąpić raz w tygodniu,
  • 5 pkt – zagrożenie które może wystąpić codziennie.

 2. Dla ciężkości skutków:

  • 1 pkt – zagrożenie, którego skutki nie pociągają za sobą kosztów dla firmy lub są one nieznaczne
  • 2 pkt – zagrożenie, które może kosztować firmę ponad 10 tys. zł,
  • 3 pkt – zagrożenie które może kosztować firmę ponad 50 tys. zł,
  • 4 pkt – zagrożenie, które może kosztować firmę ponad 100 tys. zł,
  • 5 pkt – zagrożenie które może kosztować firmę ponad 500 tys. zł.

 

Przedstawione skale są przykładami, które firma powinna dostosować do swojej indywidualnej sytuacji.

Ryzyko ocenia się poprzez określenie iloczynu prawdopodobieństwa i ciężkości zdarzenia. W ten sposób dla każdego zagrożenia zostanie przypisany określony poziom ryzyka w zakresie od 1 do 25 pkt. Następnie organizacja określa przy jakiej wielkości ryzyka chce podejmować działania zapobiegawcze i ochronne, a który poziom ryzyka jest dla niej jeszcze akceptowalny i nie będzie podejmować dla niego żadnych działań.

ISO 28000 wymaga, aby wyniki oceny ryzyka były przedstawione w formie udokumentowanej oraz aby była na bieżąco aktualizowane. Ponadto jeśli, któreś ze zidentyfikowanych zagrożeń faktycznie wystąpi, a środki zapobiegawcze okażą się za mało wystarczające, aby uchronić firmę przed skutkami zagrożenia wówczas organizacja powinna ponownie dokonać weryfikacji ryzyka i wdrożyć dodatkowe środki kontroli.

Obowiązek stosowania środków kontroli ryzyka dla zidentyfikowanych zagrożeń może przysporzyć dodatkowe koszty firmie wdrażającej system zarządzania w bezpieczeństwie łańcucha dostaw. Jednak bez realizacji tego wymogu normy ISO 28000 niemożliwa będzie skuteczna certyfikacja systemu wg ISO 28000. Ocena ryzyka wynikająca z ISO 28000 ma też ścisłe powiązanie z ciągłością działania organizacji (BCP).

 

Masz pytania do artykułu?

Zapraszamy do kontaktu!

 

Inne artykuły z serii WYMAGANIA ISO 28000:

Artykuł ten jest własnością intelektualną CONSILUM. Może być rozpowszechniany bezpłatnie wszystkim osobom i podmiotom zainteresowanym problematyką systemów zarządzania ISO, jednakże wyłączając cel komercyjny i bez dokonywania jakichkolwiek zmian w tekście. Wszelkie inne rozpowszechnianie wymaga pisemnej zgody autora. Dozwolone jest cytowanie fragmentów materiału z podaniem źródła.