本文章由 IBM 咨询公司安全顾问Ben Jones 合著。
确保供应链的复原力
在 Covid-19 大流行病和乌克兰战争等全球性破坏事件以及针对第三方厂商和供应商的持续网络攻击发生后,确保供应链的弹性变得更加重要。供应链中断一旦发生,代价高昂,而企业通常缺乏采取行动的可见性。例如,IBM 的《2022 年数据泄露的成本》报告发现,供应链数据泄露的平均成本为 446 万美元;业务连续性研究所称,72% 的供应商在处理供应链故障时缺乏快速、简单的解决方案所需的全面、实时可视性。
供应链集中是供应链易受此类威胁的关键因素之一。供应链集中风险是指过度依赖数量有限的供应商、地域集中或过度依赖特定路线、次级供应商或技术时产生的脆弱性。
这篇文章探讨了供应链集中风险带来的挑战,并提供了四种可行的策略来降低这些风险,从而提高供应链的应变能力。
集中风险的类型
集中风险有多种形式--从使用单一供应商或单一地理区域的供应商,到将运输和交付集中在单一路线上。
单一采购
依赖单一供应商提供关键部件或服务会使公司面临重大风险。任何中断,如停产、质量问题或供应商面临的财务困难,都会迅速波及整个供应链,造成延误、产品短缺和收入损失。例如,2022 年初,针对 OEM 主要供应商小岛工业的网络攻击迫使丰田公司关闭了其日本汽车装配厂的生产线,直到小岛工业恢复正常运转。依靠单一供应商提供这些零部件严重影响了丰田的全球汽车交付。
地域集中
当公司的供应链严重依赖特定地理区域的供应商时,就很容易受到各种干扰,如自然灾害、政治不稳定或运输中断。此类事件可能造成深远影响,导致供应链中断和重大延误。2022 年 2 月俄罗斯入侵乌克兰就是一个例子。它影响了从乌克兰采购谷物、半导体原材料和其他自然资源的企业,迫使企业迅速在其他地区建立新的供应商关系。
过度依赖特定路线
过度依赖特定的运输路线或方式会造成供应链的脆弱性。如果发生中断,如港口拥堵、罢工或基础设施故障,就会严重影响货物的及时交付、中断运营并增加成本。2021 年 3 月,当苏伊士运河被埃弗兰-纪梵希封锁时,至少有 369 艘船只排队等候通过运河,导致价值约 96 亿美元的贸易无法进行。依赖这条航道的组织被迫等待运河疏通。
技术专业
另一种经常被忽视的集中风险形式是技术集中。例如,如果您的大量供应商依赖于特定的技术来开展业务,而该技术受到了软件供应链攻击的影响,那么这些供应商就可能脱机,导致大面积的交货或服务延误。
这正是SolarWinds 供应链漏洞事件中发生的情况,恶意代码被插入该公司的 Orion 工具,然后被推送给成千上万的 SolarWinds 客户。如果勒索软件在这些环境中激活,可能会对所有使用该软件的公司(包括您的供应链中的任何公司)造成一连串的破坏。了解哪些供应商利用了该技术是了解风险敞口的关键第一步。
第 N 方供应商集中度
集中风险的最后一种形式与供应商在其供应链中依赖的第四方或第 N 方(或次级供应商)有关。第 N 方供应商集中风险是这里提到的地理、技术和单一采购等几种风险的缩影。如果您的几家供应商依赖于相同的次级供应商,而这些次级供应商断线--无论是物理中断还是网络攻击--都可能在您的扩展供应链中造成一波中断。
降低供应链集中风险的 4 个技巧
要克服集中风险的挑战,可以考虑以下策略。
1.集中管理供应商基础
许多组织利用不同的工具集和数据源来评估和监控其供应商,这自然会造成数据和团队的孤岛。将所有供应商洞察力集中到一个供应商档案中,可确保与供应商打交道的所有部门都能利用相同的信息,从而提高可见性并改善决策制定。
建立全面的供应商档案,对供应商的人口统计、地理位置、第四方技术和最近的运营情况进行比较和监控。有了这些积累的数据,您就能报告地理和技术集中风险,并采取相应措施。
2.供应商多样化
积极实现供应商基础的多样化对于降低集中风险至关重要。公司应确定并发展与多个供应商的关系,最好是在不同的地理区域,以确保供应链更稳健、更有弹性。根据供应商的能力、财务稳定性和风险管理实践对其进行评估,有助于确定可靠的合作伙伴。
利用供应商综合档案的结果,或通过开展基于问卷的评估,或被动扫描第三方面向公众的基础设施,建立供应商地图,以确定组织与供应商之间的关系,从而发现依赖关系并直观地显示信息路径和路线。
3.制定应急和损失事件计划
实施应急计划对于为可能失去关键供应商或供应链中断做好准备至关重要。公司应评估供应商的关键性,并制定后备计划,如确定替代供应商、谈判双重采购协议或建立安全库存水平。
首先进行固有风险评估,检查供应商对业务绩效和运营的关键性、位置以及对第三方的依赖程度(以避免集中风险)。通过这种固有风险评估,您的团队可以自动对供应商进行分级;设定适当的进一步尽职调查级别;并确定持续评估的范围。
然后,根据 ISO 22301 等行业标准评估顶级供应商的业务复原力和连续性计划:
- 根据供应商的风险状况和对业务的重要性对其进行分类
- 概述恢复点目标(RPO)和恢复时间目标(RTO)
- 确保在业务中断期间与供应商保持一致的沟通
持续监控供应商事件对于提前应对潜在干扰也至关重要。
4.投资供应链可视化技术
利用先进的供应链可视化技术可以提高公司有效监控和管理风险的能力。实时数据和分析使企业能够识别潜在的干扰,主动应对新出现的问题,并优化供应链运营。物联网、区块链、供应商风险评估和监控以及预测分析等技术可以提供有价值的洞察力,促进做出明智的决策。
借助 Prevalent 和 IBM 为供应链风险管理奠定坚实基础
供应链集中风险给企业带来了巨大挑战,可能导致中断、延误和适应性降低。通过识别风险,企业可以采取积极措施来降低这些脆弱性。
建立中央供应商库存、接受供应商多样化、制定应急计划以及投资供应链可视化技术,都有助于建立弹性供应链,更好地抵御干扰、适应不断变化的市场条件并确保不间断运营。通过有效管理供应链集中风险,企业可以保障其运营,提高客户满意度,并在动荡的商业环境中取得长期成功。
IBM 和 Prevalent 已合作在供应商生态系统中建立网络复原力。请联系我们,安排战略简报会,现在就开始消除供应商集中风险。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
