هنگامی که سازمانها برای نخستین بار تصمیم به ادغام با شرکتهای همکار در یک مدل کسبوکار زنجیره تأمین واحد گرفتند، بسیاری از آنها متوجه شدند برخی از این شرکتها مجوز لازم برای یک طرح خاص را دارند در حالی که سایر شرکتها این مجوز را نداشته و باید آن را اخذ کنند. در نتیجه یک مجموعه مدیریتی ساده و قوی می بایست ایجاد میشد تا به منظور کنترل بیشتر، یک چارچوب کاری واحد را فراهم نموده و نقشها، مسئولیتها و الزامات موجود بین دو سازمان را مشخص کند.
امروزه در بسیاری از سازمانهای بزرگ، تیمهای اختصاصی جهت نظارت بر روی طرحهایی از جمله امنیت زنجیره تأمین تشکیل شده ولی در کسبوکارهای کوچک بعضی از کارمندان دارای نقش محدودی در تأمین امنیت زنجیره تأمین هستند، در حالی که مسئولیت اصلی آنها در شرکت چیز دیگری است. در زمینه اکتسابهای کاری و یکپارچهسازی کارها بهترین روش، هماهنگ کردن فرایندهای عملیاتی و حاکمیتی، استفاده از کارکنان شرکت های تابعه و همچنین بهره گیری از دانش و تخصص آنها درباره محصولات و رویهها و استفاده از آنها به عنوان ابزاری برای دسترسی به شبکه شرکای تجاری (مثل بخش خرید، کنترلهای تجاری، تدارکات و غیره) است.
اصول و راهبردها
مثل هر تلاش دیگری که در زمینه ادغام و یکپارچهسازی صورت میگیرد، در این حوزه هم یکسری اصول توصیه شده وجود دارد که نقش همه طرفهای دخیل را مشخص میکند. سازمانهای موفق تمام تلاششان را میکنند تا این اصول را در طرحهای خودشان اجرایی کنند. اجرای یک راهکار ارزیابی سلامت چندوجهی از این طرحها به همه طرفها امکان میدهد نقاط قوت و ضعف موجود در طرح امنیت زنجیره تأمین شان را شناسایی نمایند.
هر طرح ارزیابی سلامت باید سه حوزه مهم را پوشش دهد که شامل موارد زیر هستند:
- زیرساخت طرح: یک بررسی از عملیات کسب و کاری مهم مثل سلسله مراتب سازمانی، مدلهای عملیاتی، چگونگی مدیریت شرکای تجاری و ابزارهای عملیاتی موجود برای اجرای طرح امنیت زنجیره تأمین.
- دادههای زنجیره تأمین: انجام یک بررسی کلی برای تشخیص نحوه تحلیل زنجیره تأمین با استفاده از دادههای تجاری موجود و انتخاب شاخصهای کلیدی عملکرد مناسب. این مورد معمولاً اولین گام برای بررسی زیرساخت زنجیره تأمین شرکت تابعه است که منجر به تشخیص تأمینکنندگان مشترک و همکاران تدارکات میشود.
- فرایند ارزیابی مخاطرات: یک ارزیابی کلی از فرایند مدیریت مخاطرات شرکت تابعه مشخص میکند که آن شرکت چگونه کار نگاشت مسیر زنجیره تأمین، ارزیابی تهدید و آسیبپذیری و کنترلهای امنیتی لازم برای بهبود امنیت را در کل زنجیره تأمین انجام میدهد.
خروجی ارزیابی سلامت طرح، یک رتبه سطح بلوغ است که مشخص میکند ابزارها، سیستم ها و روشهای توصیه شده در چه بخشهایی پیادهسازی شده اند و کدام بخشها نیاز به اصلاح دارند.
انتخاب یک خط مبنا
با استفاده از فرایندها، ابزارها و سیستمهای استاندارد میتوان به بهرهوری بیشتری دست یافت اما تصمیمگیری برای این انتخاب، کار سختی است چون باید الزامات مختلف را در نظر گرفت. وقتی سعی در یکپارچهسازی چندین طرح مختلف دارید، ایجاد یک خط مبنا از دقیقترین الزامات بین همه طرحها به شرکت ها کمک میکند تا علاوه بر برآوردن حداقل انتظارات موجود، حتی فراتر از آن نیز گام بردارند. تعیین این خط مبنا کمک زیادی به انتخاب ابزارها و سیستمهای مناسب میکند.
موفقیت فرایند ادغام شرکتهای تابعه به توانایی مدیران امنیت زنجیره تأمین برای تعامل با تمامی طرفها بستگی دارد. در بسیاری از طرحهای امنیت زنجیره تأمین استاندارد، انجام ارزیابیهای سالیانه ضروری است. این وظایف فرصت بسیار خوبی برای تیمها فراهم میکند تا با یکدیگر تعامل برقرار کرده و با تغییرات و اصلاحات صورت گرفته در وضعیت امنیتی زنجیره تأمین آشنا شوند.
با این حال باید به این نکته توجه داشت که اجرای چنین طرحهای سالیانه ای برای اطمینان از اینکه همه شرکای تجاری شما به مسأله امنیت زنجیره تأمین متعهد هستند، کافی نیست بلکه باید همواره در جریان گرایشهای جدید در زنجیره تأمین و ارزیابی تهدید قرار داشته و با همکاری یکدیگر یک فرایند جامع ارزیابی مخاطره اجرا کرده تا بتوانید نظر مدیریت سازمان را به این امر مهم جلب نمایید.
موانع اجرایی و راهکارها
هنگامی که سعی در مدیریت طرحهای بین المللی دارید و لازم است مقامهای ناظر محلی هر کشور در آنها مشارکت داشته باشند، ممکن است با برخی موانع مواجه شوید. در چنین مواقعی برای اینکه ناظر محلی بتواند این طرحها را به صورت دقیق و درست برای قانونگذار تشریح کند، تعامل مکرر با مرکز شرکت تابعه برای اطمینان از هماهنگی معماری و فرایندها در سطح حاکمیتی ضروری است.
برای تابآوری در برابر ادغام اولیه یک شرکت تابعه، نیاز به تلاش زیادی وجود دارد. استفاده از یک شبکه توسعهیافته مزایایی فراتر از بحث انسجام منابع و استانداردسازی را برای شما فراهم خواهد کرد. وقتی فقط یک سازمان مسئول اجرای فرایندها و یکپارچهسازی دادهها باشد، قابلیت دیدی که یک شرکت نسبت به زنجیره تأمین توسعه یافته و امنیت آن کسب میکند فرصت بسیار خوبی برای بررسی هر چه بیشتر مقاومت شغلی آن شرکت محسوب میشود.
با اجرای فرایند ارزیابی مخاطره، همکاران زنجیره تأمین تحت بررسیهای امنیتی قرار میگیرند. هنگام ترکیب همه دادههای زنجیره تأمین بین شرکتهای تابعه و شرکت اصلی، وجود یک طرح امنیت زنجیره تأمین به شناسایی همکاران مشترک در زنجیره تأمین کمک میکند. به این ترتیب اجرای یک ارزیابی امنیتی میتواند مزایای زیادی برای طرف های مختلف ایجاد کند.
بر اساس نتایج تحقیقات صورت گرفته، انجام ارزیابی تأمینکنندگان به هر یک از نهادهای سازمانی امکان میدهد تا علاوه بر برآورده کردن تعهدات خود در زمینه ارزیابی آسیبپذیری، اطلاعات امنیتی مفیدی در سطح چند لایه کسب کنند. کاملاً بدیهی است وقتی شرکتهای بزرگ، شرکتهای کوچکی را خریداری میکنند که قبلاً تأمین کننده رتبه یک بوده اند، بافلاصله درباره زنجیره تأمین رتبه دو هم اطلاعات کسب کنند. برای بسیاری از شرکتها این فرایند ادامه داشته و میتواند درباره همکاران رتبه سه و چهار زنجیره تأمین مثل باربران، مسئولان تدارکات، ارایهدهندگان سیستمهای امنیتی و عملیات امنیتی هم اطلاعات کسب نماید.
کلام پایانی
با وجود آنکه به اشتراکگذاری فرایندها، ابزارها و سیستمها بخشی از هر فرایند اکتساب محسوب میشود اما دستیابی به یک راهکار کارآمد برای ایجاد بهرهوری در طرح امنیت زنجیره تأمین با داشتن یک رویکرد حاکمیتی بالا به پایین میسر نمیشود بلکه نیازمند همکاری بین تمام طرفهای ذینفع است. بهرهوری طرحهای امنیت زنجیره تأمین با اقدام تحت یک زیرساخت واحد، اجرای ارزیابیهای مخاطرات بر روی همکاران مشترک در طول فرایند زنجیره تأمین و کسب اطلاعات درباره رتبههای پایینتر زنجیره تأمین قابل تحقق است.
منبع: securitymagazine