C-TPAT反恐验厂审核五步风险评估程序

1.C-TPAT反恐验厂审核风险评估目的:为了识别、分析和评估公司国内和国际以供应链为目标的恐怖组织和犯罪组织的不断演变的威胁的现有和潜在风险，确定应采取的预防措施以减轻已发现的潜在威胁和脆弱性，特制订此程序。
2.C-TPAT反恐验厂审核风险评估范围:适用公司国内和国际供应链安全相关的所有过程和活动。
3.C-TPAT反恐验厂审核风险评估定义:
3.1供应链:生产及流通过程中，涉及产品提供到最终用户所形成的网络结构，包括供应商、制造商、物流、内部配送中心、分销商、批发商以及联系最终用户的其他实体。
3.2风险评估:识别分析和评估公司程序的外部威胁，以确定漏洞存在于何处，以及实施或改进这些程序以降低此类风险的过程。
3.3威胁评估:识别分析和评估--个国家或地区内存在于合作伙伴控制范围之内或之外的对供应链的威胁(如恐怖活动、毒品走私、劫持、腐败程度和人口走私等)，对该犯罪现场潜在目标的评估及对犯罪分子或恐怖分
子实施非法行为的可能性的陈述。
3.4漏洞评估:利用内部审核和安全审查识别分析和评估公司安全程序和供应链中的弱点，以用于在威胁评估中发现的恐怖分子和其他犯罪分子的利益。
4.C-TPAT反恐验厂审核风险评估职责
4.1反恐代表:负责风险管理所需资源的提供，包括人员资格、必要的培训、信息获取等;主导公司国内和国际整个供应链的详细风险评估，落实跟进风险应对计划的完成情况和有效性。
4.2反恐安全组成员:负责参与公司供应链安全脆弱性和违规风险评估，制定相应的措施以规避或者降低风险并落实执行; 
4.3采购、船务等部门:负责对选择和合作的商业伙伴进行详细的风险评估;
4.4商业伙伴代表:负责参照本程序主导每年对其公司国内和国际整个供应链进行一.次全面详细的风险评估并将报告提交公司审查和存档。

5.C-TPAT反恐验厂审核风险评估程序

5.1风险评估频率和人员:

5.1.1反恐代表应建立和维护文件化的《C-TPAT 五步风险评估程序》，至少每年进行一-次审查和修订此程序;

反恐代表应组织反恐安全组成员至少每年--次或更频繁地审查公司国内和国际整个供应链中各个环节(特别是:公路运输公司和高风险供应链)风险评估并形成文件;当供应链中某--特定国家或地区的威胁程度增加、政策及法规变化、商业伙伴变化、增加了大量新业务或高风险业务、业务过程/区域/物理和网络环境发生重大变化、发生了重大货物/资金等损失、在发生安全违约或事件后的提高警惕的时期、风险控制措施完成后或公司结构/所有权的变化如合并和收购等情况时，反恐代表应组织反恐安全组成员及时地对他们进行更新或补充威胁的识别及风险评估。

5.1.2公司的供应链安全风险评估会议由反恐代表主持，行政部负责人、保安负责人、电工、IT、 货仓负责人、报关/船务、封条管理员、采购等负责人和相关担当或其指定的代理人等反恐安全组成员参加。

5.2培训与宣传沟通
5.2.1反恐代表应每年或在反恐安全组成员每次开始进行安全风险评估前，应对反恐安全组成员和负责风险评估流程的关键人员(包括经常出于其他目的而访问国外站点的区域员工如品质部负责人，销售代表等)进行一次CTPAT安全要求、反恐安全手册和所有程序文件及《C-TPAT 五步风险评估程序》等内容的培训与考核;

5.2.2反恐代表通过开通公司在线培训网站门户、公告栏、培训、派发、出版物(平板电脑、传单、海报、新闻纸、通知/公告牌等)、Internet网 站(主页载有CTPAT和其他安全标准的信息和/或链接)、电子广告(电视、LED显示器、数字留言板等)等方式传达公司供应链中的中、高风险应对计划给全体员工和商业伙伴,以便全体员工、商业伙伴知晓并遵照执行。

5.3公司业务现状及流程分析反恐代表应组织公司业务、采购、船务等负责人确定与公司有业务往来的商业伙伴清单和绘制公司货物/数据控制流程图，记录或绘制货物从原产地到进口商配送中心的整个供应链的流动情况，包括直接和间接参与货物出口/运输的所有商业伙伴，货物在国内和国际整个供应链中的运输方式(空运、海运、铁路或卡车)和节点(始发国、中转站)，若有变动，应及时修订。

5.4风险识别:

5.4.1识别范围:应从原材料采购、货物装配/包装/储存/装柜/运输，直到货物到达最终分销点为止，应包括公司国内和国际供应链安全相关的所有过程和活动(包括但不限于公司安全愿景与责任、风险评估、商业合作伙伴安全、网络安全、国际交通安全运输工具、封条安全、程序安全、农业安全、物理安全、物理进出控制、人事安全、教育/培训和认知、客户服务以及在公司建筑物、包装和装卸点、承包商、出口物流和供应链中的每个运输环节最有可能因恐怖分子入侵、恐吓、偷渡、违禁走私、人口贩卖、奴役工、强迫劳工、使用童工/外来非法劳务工、有组织犯罪等被渗透而产生威胁的关键区域/事件、自然灾害、人为灾害等)有关的所有可能存在的潜在威胁、安全漏洞或弱点，考虑显在的风险和潜在的风险;.识别应适时更新。

5.4.2供应链安全威胁的识别至少应考虑:客观所引起失效的威胁、各相关环节操作所引起的威胁、自然环境事件(风暴、洪水、泥石流、地震等)致使安全措施和设备失效、超出公司控制的因素如外部供应的设备和服务失效、相关方的威胁和风险、安全设备的设计和安装包括更新/维护保养的影响、信息/数据管理和沟通影响、对运行持续性或顺畅性构成某种威胁等方面。

5.4.3源于公司内部的供应链威胁，可能有但不限于:
a)源于调度的公司与采购风险;
b)源于信息不确定，或因供应链各环节之间利益原因引起的信息阻塞等;
c)源于物流技术、手段及方法不成熟的风险;
d)源于分销商的选择或经营不确定性产生的风险;
e)源于人力资源、内部制度缺陷的风险等;
f)源于组织内的设备的购置和安装包括更新、维护保养中的风险等。

5.4.4源于公司外部的供应链威胁，可能有但不限于:
a)源于政策、法律要求变化的风险;
b)源于供应商因事故、罢工等影响产生的风险;
c)源于自然灾害、意外灾祸风险;
d)源于社会冲突、恐怖事件、社会动荡、语言、习俗等的风险;
e)源于信息共享可能产生的商业机密泄露的风险;
f)源于市场的不确定性、社会环境、金融、地理、政治和道德等超出组织控制的风险等。

5.4.5供应链安全威胁的风险识别方法:

a)风险识别:反恐代表应组织反恐安全组成员根据5.4.2-5.4.4要点，采取数据收集分析、流程分析、专家和利益相关者访谈、风险特性描述、风险种类分析、自我评估等方法，参照公司的内部历史案例数据.和一些制造行业的参考值，根据当前国内和国际供应链上的最新恐怖主义威胁，走私趋势以及热点事件案，对照C-TPAT、PIP、 AE0、 WC0、 GSV、SCAN和Wal-Mart 等安全标准、公司的供应链安全实践/程序/政
策和有关法律法规等，对公司国内和国际供应链安全相关的所有过程和活动(详见5.4. 1)进行逐项检查、比对、评价、验证公司遵守情况和对公司如何管理风险的全面管理进行审查，基于公司业务模式和在供应链中的作用的地理威胁和针对公司程序的外部威胁，识别出潜在威胁、安全漏洞或弱点及其影响或危害，记录公司“供应链安全风险评估记录”中。

b)漏洞识别:每年，反恐代表应组织反恐安全组成员根据近一-年的内审、 管理评审、内部突击安保检查、商业伙伴定期审核/突击审核、商业伙伴的自我风险评估报告、安全和农业检查记录、运输工具和IT随机搜查记录、CCTV监控录像审查记录、第二/三方安全审核报告、突发安全事件记录及收集的其他信息,根据供应链风险的原因和风险源，对照C-TPAT、 PIP、 AEO、 WCO、 GSV、 SCAN和Wal-Mart等安 全标准、公
司的供应链安全实践/程序/政策和有关法律法规等，识别出公司安全程序和公司国内/国际供应链中可能存在的潜在威胁、安全漏洞或弱点(包括确定合作伙伴拥有恐怖分子或罪犯可能想要的东西，对于经纪人来说可能是数据，对于进口商，制造商和出口商可能是访问货物和公司信息，然后找出公司程序中的弱点等)及其影响或危害，记录公司“供应链安全风险评估记录”中。

5.5风险分析和评估:
5.5. 1反恐代表应组织反恐安全组成员利用电脑软件、统计技术等工具,将通过5. 3识别出的各类安全威胁、漏洞或弱点的来源和种类及其潜在风险，依照下表1、表2进行具体和定量的分析评价其发生概率和影响后果，记录于“供应链安全风险评估记录”中。

表1供应链风险的发生概率L评价
等级和风险事件发生概率L
1不可能
2不太可能(考虑公司实际情况，以及社会上和其它组织的经验，该风险频繁发生，如每年发生，且公司的控制措施效果不佳)
3可能(考虑公司实际情况，以及社会上和其它组织的经验，该风险频繁发生，如每月发生，且公司的控制措施效果不佳)
4非常可能(考虑公司实际情况，以及社会上和其它组织的经验，该风险频繁发生，如每周发生，且公司的控制措施效果不佳)
5确定(考虑公司实际情况，以及社会上和其它组织的经验，该风险频繁发生，如每周内可能发生2次及以上，且公司的控制措施效果不佳)

注: 1.“表现、计划进度、损失”三者，对于评价的事项可以表现为1项或同时2项或同时3项，选择其中的最高等级为评价结果;
2.对风险所产生的损失和破坏的金额应进行量化计算，计算时应参考公司内部的历史案例数据，如果没有的话，应利用财务方法进行估值计算。

5.6威胁评估:每年，反恐代表应组织反恐安全组成员应通过Internet网、报纸等渠道收集近- - 年公司国内和国际供应链中最新恐怖活动、毒品走私、人口走私、劫持、腐败程度、农业和公共安全威胁，有组织犯罪以及可能助长此类威胁的国家/地区的状况、趋势以及相关热点事件案例;对供应链内犯罪分子或恐怖分子存在、应对威胁的机会、能力和意愿，该犯罪现场潜在目标进行评估，以及对犯罪分子或恐怖分子实施非法行为的可能性的陈述，结合下表4进行评估和分类排名，确定-一个国家或地区内存在于合作伙伴控制范围之内或之外的对供应链的威胁，并将潜在威胁及其影响或危害、风险等级等记录公司“供应链安全风险评估记录”中。

5.7风险应对计划制订:
5.7.1反恐代表应组织反恐安全组成员根据公司业务现状及流程的实际情况，综合考虑风险产生的原因、风险等级、影响或危害、风险位置或部门，对已识别出来的中、高风险点，依以下要求建立相应的减轻损失、应变和预防行动指导计划(包括记录发现的弱点，负责解决问题的人和到期日等):
a)制定的计划应是在现有条件下可执行和可落实的;
b)制定的计划应落实到个人和完成或启动日期，每个人应完成的内容和完成或启动日期应明确;
c)制定的计划应考虑尽可能的消除风险，在无法消除或暂无有效的方法或者采取消除风险的方法的成本高出风险存在时造成损失时，再选择采取降低风险或者风险接受的风险应对方法。
d)应指派--名负责人为计划的执行进度和效果进行跟进，确保采取的计划被有效的落实。

5.7.2风险评估系数为20-25分的高风险或自然/人为灾害事故(如网络攻击、火灾或承运人司机被武装分子劫持而导致的贸易数据流动中断、货物被破坏或被盗、停电、飓风、地震、内乱、恐怖事件等)，只有当风险己降低时，才能开始或继续工作，如果无限的资源投入也不能降低风险，就禁止该项活动或退出高风险供应链;反恐代表应组织反恐安全组成员制/修定相应文件化“业务连续性计划”并进行定期测试，保证公司内部业务活动的连续性，公司运营得以继续。

5.8风险应对计划实施、监控及回顾:
5.8.1反恐代表整理审批后，受控发行“供应链安全风险评估记录”给相关责任单位/人员和商业伙伴依计划遵照执行和组织实施，同时风险应对计划应通过公司相应安全管理过程/活动的控制程序或规程、规章、作业指引等文件进行标准化、培训和宣导。

5.8.2反恐代表应对风险应对计划的实施情况和风险的发生通过现场访问以解决漏洞，终止合同或内审、管理评审、内部突击安保检查、商业伙伴定期审核/突击审核、商业伙伴的自我风险评估报告、安全和农业检查记录、运输工具和IIT随机搜查记录、CCTV 监控录像审查记录、第二/三方安全审核等方式进行不定期地监控和改善效果的跟进验证/评估，风险应对计划在完成跟进和变更时，反恐代表应及时地应向适当的公司管理员和员工报告结果。

5.8.3反恐代表应组织反恐安全组成员每年根据公司业务现状及流程对风险应对计划进行一-次回顾更新;当市场发生变化，公司经营业务发生调整或风险的特征发生变化时或公司经营模式、关键管理人员、商业伙伴、信息技术等发生重大变动时，反恐代表应组织反恐安全组成员及时地相应调整和修改现有风险应对计划，使其与新的市场和业务相适应。

5.9采购、船务等部门应每年对合作中的各商业伙伴执行一次年度现场审核、不通知审核和风险评估，对照C-TPAT、PIP、 AEO、 WCO、 GSV、 SCAN和Wa1-Mart等安 全标准、公司供应链安全实践，/程序/政策和有关法律法规等，对商业伙伴国内和国际供应链安全相关的所有过程和活动(详见5. 4.1)进行逐项检查、比对、评价、验证商业伙伴遵守情况和对商业伙伴如何管理风险的全面管理进行审查,基于商业伙伴的商业模式和在供应链中的作用的地理威胁，识别出商业伙伴国内和国际供应链存在的安全威胁、漏洞或弱点的来源和种类，并进行风险分析和评估,适时提交反恐代表审核和更新公司“供应链安全风险评估记录”和“业务连续性计划”。

5.10商业伙伴应参照本程序主导每年对其公司的整个国内和国际供应链进行--次全面详细的风险评估并制修订“供应链安全风险评估记录”提交本公司反恐代表审查和更新本公司的“供应链安全风险评估记录”和“业务连续性计划”。

5.11内部管理监督和问责制:
5.11.1各部门和商业伙伴应贯彻落实公司的反恐安全责任制，严格执行公司反恐政策/安全管理制度，落实“供应链安全风险评估记录”和“业务连续性计划”中的风险应对计划，加强公司供应链安全管理，提高员工和商业伙伴的优患意识、安全意识，开展好定期的安全威胁、漏洞或弱点的排查和治理，努力消除供应链中存在的不安全因素，确保公司的供应链安全。

5.11.2各部门和商业伙伴应建立健全的供应链安全管理网络，在第一-责任人领导下，明确各级管理员及岗位员工的安全责任，认真遵守和执行公司反恐政策/安全管理制度，有效地落实“危险源识别及风险评估记录”和“业务连续性计划”中风险应对计划。

5.11.3 正常开展安全、风险管控活动，反恐代表应有计划地组织反恐安全组成员利用内审、管理评审、内部突击安保检查、商业伙伴定期审核/突击审核、商业伙伴的自我风险评估报告、安全和农业检查记录、运输工具和IIT随机搜查记录、CCTV 监控录像审查记录等形式，检查安全活动按C-TPAT、PIP、 AE0、WC0、GSV、SCAN和Wal-Mart等安全标准、公司供应链安全实践/程序/政策和有关法律法规等要求的落实情况，若发现安全威胁、漏洞或弱点应及时整改排除，对所有检查和整改情况记录并保存，实现各类安全事故为零的管理目标。

5.11.4公司内若发现有违犯C-TPAT、 PIP、AE0、WCO、 GSV、 SCAN和Wal-Mart等安全标准、公司供应链安全实践/程序/政策和有关法律法规等要求的安全事件或对公司评估为中/高风险应对计划执行较差的单位或个人，反恐代表应视情况给予通报批评，限期整改，同时对责任部门、责任人依照公司《员工手册》-奖惩制度给予必要的行政处罚、经济赔偿或移送公安局/海关等司法机关等措施的处理;同时反恐代表应根据各部门或岗位的安全管理工作开展情况，不定期地依照公司《员工手册》-奖惩制度给相关有有功部门或员工一定的精神奖励或物质奖励，确保公司反恐安全管理流程一致， 有效地进行。

5.11.5采购、船务等部门应利用年度现场审核和不通知审核等方式加强合作中的各商业伙伴的管理，对发现.有违犯C-TPAT、PIP、 AEO、WCO、 GSV、 SCAN 和Wal-Mart等安全标准、公司供应链安全实践/程序/政策和有关法律法规等要求的安全事件或对公司评估为中/高风险应对计划执行较差的商业伙伴，反恐代表应视情况给予通报批评，限期整改，同时对责任商业伙伴给予必要的经济罚款、取消业务合作关系或向
公安局/海关等司法机关举报等措施的处理;同时采购、船务等部门应根据商业伙伴的安全管理工作开展情况，不定期地给予相关有有功商业伙伴--定的精神奖励或物质奖励(如增加业务量或缩短货款支付周期等)，从而降低和规避各项风险。

6.C-TPAT反恐验厂审核风险评估相关记录
6.1培训记录
6.2供应链安全风险评估记录
6.3业务连续性计划