飞利浦供应链C-TPAT自我评估与审核

CEC08.074PSCS自我评估与审核工具第1页，共45页第4.3.2版–2008年4月2日飞利浦供应链安全自我评估与审核工具基于C-TPAT和AEO第4.3.2版2008年4月2日CEC08.074PSCS自我评估与审核工具第2页，共45页第4.3.2版–2008年4月2日目录简介...................................................................3I.1资产管理..............................................................5I.1.0随附的文件..........................................................5I.1.1资产管理............................................................6I.1.2物理安全............................................................8I.1.3接触控制...........................................................13I.2防盗...............................................................16I.3装运和收货控制.....................................................16I.3.1包装和发货.........................................................21I.4信息安全...........................................................23I.5进口和/或出口许可..................................................26II.员工安全...........................................................27III服务供应商选择指南以及对（物流）服务供应商的要求...................30IV.与将货物放在飞利浦不能重启的箱子或货运单位中装运的供应商（进一步称为“成品供应商”）开展业务的指南.....................................33附件A–F……………………………………………………………………35缩写和定义…………………………………………………………………44注：“PSCSP”代表“PSCS政策指南”CEC08.074PSCS自我评估与审核工具第3页，共45页第4.3.2版–2008年4月2日简介本“飞利浦供应链安全政策—指南”的目的在于通过尽可能合理地防止货物流中发生破坏、盗窃、货物盗换、混入其它货物或其它未授权接触货物流的情况发生，从而确保货物流的安全。包括公司内部以及公司之间的运输。其基础是政府建立的许多计划。以下是两个主要例证：⇒美国国土安全部制定的海关—商贸反恐伙伴计划（C-TPAT）；以及⇒欧盟《海关法典》中规定的授权经营者认证（AEO）。在未来数年内，将会有更多的国家遵守这些计划以符合世界海关组织框架。如果不遵循这些计划，将使各国边界的海关程序更为复杂并造成更为严重的延迟。与特定货物流相关的PSCS优先级和可适用性在PSCS政策指南的介绍性段落中加以说明。下列表格出自该介绍性段落，显示了与特定货物流相关的供应链安全的优先级图解：您是否运送货物去美国？是高优先级否您的货物是否运往或发自欧盟？（跨越欧盟的外部边界）是否您的货物是否跨洲运输？是否您是否生产或储存了可能用于生产武器或其它危险品（如化学品）的产品/材料？是否您那里是否发生过多起入室盗窃和盗窃事件？是否您是否生产或储存高价值货物（每立方米价值超过40000欧元）？是中优先级否您是否跨国运送任何物品？是否低优先级安全风险管理是一项业务责任。飞利浦部门管理层和本地单位管理层基于相关要求，负责安全风险管理的贯彻执行。为确保对飞利浦供应链安全提供清晰说明和显著的管理支持，责任必须分派给涉及PSCS的每个管理团队的每一位成员。部门管理层对流程负责，并应对流程进行监控和积极的说明。只有在一个国家内进行异地运输的站点才可以不放弃适用PSCS。请注意，本地规章可能适用于本地供应链；适用于本地运输的新规章正在起草中。CEC08.074PSCS自我评估与审核工具第4页，共45页第4.3.2版–2008年4月2日本自我评估与审核工具是一种支持站点管理的工具，对本地PSCS安全的实际水平进行评估。可以在评估结果的基础上制定改进计划以提高供应链安全。问卷的基础是对每个货物流站点开展关键风险评估，从而识别问题区域并寻求有效的改进方法。此评估一般从昀终装货/卸货码头/舱（可能位于第三方物流服务供应商处）开始，并从那里回溯到生产/储存以及拣货和/或包装、测试、物料、质量控制区域。另一种方法是分析工厂内的完整货物流，并从产品的包装开始进行关键风险评估，直到运输环节结束，从而确定需要保护的区域以及所涉及的PSCS信息流。必须确保经营场所或建筑物周边长期具备良好的第一安全层，同时对造访开展PSCS活动的飞利浦经营场所的房客实行有效控制（包括主动认证）。如果多个公司位于同一物理地点，则第一安全层必须经过所有公司/入住者的一致同意。该问卷可以作为“检查表”，引导您了解如何确保特别指定的PSCS安全区域的安全。这些区域在该问卷中被表示为：PSCS分区或PSCS工作区（请参阅附件D中的定义）。在执行针对该工具引发的问题的解决方案时，您必须考虑到当飞利浦的供应链可能或实际被用于运输多于（“盗版”）货物（如毒品、武器、大规模杀伤性武器或其部件、恐怖主义材料等）时，其目标是确保货物流的安全，从而保护飞利浦的名誉和形象免受损害。尽管包装操作之前的制造过程将不是PSCS的一部分，但可审查且组织巧妙的生产流程将有助于防止不必要的接触或混入多于的货物。如与当地法律或规章相抵触，则应以这些法律和/或规章为准。如果相抵触，当地管理层团队的成员可以背离这些PSCS政策—指南，但必须负责确保一个能够实现PSCS要求的专用安全政策执行到位。飞利浦部门管理层和本地单位管理层基于相关要求，负责确定如何贯彻执行PSCS。由公司内部审计(“CIA”)提供的审计报告必须经负责的单位管理层和PD管理层一致同意。如果未达成一致，CIA将在昀终报告上加以注明。必须至少每24个月填写一份自我评估问卷，除非公司出口控制和供应链安全另有要求（如政府规定发生了重大变更、重大的不一致情况、收购、货物流中的重大变化等）。强烈建议进行年度检查。对站点的自我评估可以包含在该站点的多个组织单位。CEC08.074PSCS自我评估与审核工具第5页，共45页第4.3.2版–2008年4月2日I.1资产管理I.1.0随附的文件问题：注释：0.1随附的文件是否如本文所述随附了文件？请在这份自我评估表后附上一份文件，包含对下列问题的回答，公司内部审计部门等将使用这份文件：⇒站点的制造/生产、测试/质量、包装、仓储链和流程图解；⇒出口国际目的地的产品概览；⇒在用信息系统（SAP、仓储系统、物流系统、运输信息系统等）概览；⇒已收输入货物的昀重要的发运人（供应商）概览；⇒发送货物的主要的国际收货人（客户、内部人等）概览；⇒使用的（物流）服务供应商（PGP及本地合同）概览；⇒所运输货物的年度价值/数量：1）到美国（非美国实体填写）2）到欧盟（非欧盟实体填写）3）出欧盟（欧盟实体填写）4）到其它国际目的地（所有单位都要填写）⇒仅供欧盟单位填写：每年从欧盟以外的地方运送到其单位的货物价值/数量。仅供美国单位填写：每年从美国以外的地方运送到其单位的货物价值/数量。⇒如果已进行本地风险评估，请将该评估结果加上。⇒如果分数较低（低于90%），那么强烈建议您在本自我评估表之后加上一份改进计划！为使他人了解您的经营情况，需要提供这些信息。公司内部审计部门要求将此作为审计和审查的基础信息。PSCSP—5内部控制应进行定期检查、审计和自我评估以检验合规和足够的内部控制，从而防止和纠正不一致的情况。CEC08.074PSCS自我评估与审核工具第6页，共45页第4.3.2版–2008年4月2日I.1.1资产管理问题：01.您的管理团队（MT）中是否具备负责监督《飞利浦供应链安全政策指南》中规定的安全政策日常实施的成员？对于飞利浦供应链安全计划（“PSCS”），重要的是要在MT内部指定一个单点联系人负责PSCS政策和指南的日常监控。此外，该人还应作为PSCS焦点联系人。PSCSP—0介绍安全风险管理是由管理层团队中所有成员所共担的业务责任。为确保为安全计划提供清晰说明和显著的管理支持，就必须指定本地管理层团队（LMT）的一名成员负责安全管理。02.这名MT成员是否还负责定期进行自我评估？该评估的结果是否以书面形式向MT报告？PSCS政策指南指出，必须至少每24个月开展一次定期自我评估。结论性报告应当包含一份行动计划，处理执行过程中出现的缺陷和不足。PSCSP—V.归档必须通过运营质量体系确保与这些安全政策指南相关的安全措施。应当进行定期检查、审计和自我评估（包括改进计划）以检验合规和足够的内部控制，从而防止和纠正不一致的情况。PSCSP—III.2.1LSP设施安全物流服务供应商（LSPs）将会开展针对所有安全措施（程序、实物和员工）的年度自我评估，该评估已在飞利浦物流服务的支持合同中加以规定。03.是否已就对业务中的PSCS至关重要的所有资产进行了保护和安全风险分析？（=对PSCS资产的识别）备注：PSCS资产的例证在《PSCS政策指南》中的第I.1.1章中说明保护和安全风险分析是PSCS的基础。这是开始实施PSCS之前的必备事项。如果企业内部不具备相关知识，建议聘请该领域的外部专家。必须进行一项精确的分析以确定将进行保护的所有资产/区域/活动：与PSCS相关的商品、员工和信息。例如，是否您已经清楚地识别出PSCS适用的目的和对象：•哪些货物流；•哪些建筑物或建筑物的部分包含了PSCS的活动，并且应当被视为限制区域（PSCS区域）；•哪些装货/卸货码头；•哪些储存地点（包括临时地点）；•哪些员工正在PSCS区域开展活动；•哪些运输装备和车辆；•哪些信息系统部件应当进行额外的密码保护和物理保护；•哪些PSCS信息（文件）必须安全储存等。确定资产/区域/活动是单位的责任。PSCSP–I.设施安全必须对所有与货物流相关的主要有形和无形PSCS资产进行估价、说明并指明其所有人。PSCS资产的详细目录有助于确保有效的安全保护得到维持。04.各级经理在各自的责任区域内是否负责其PSCS资产的日常运营？以下是重要职位的例证：仓储经理、货代经理、储存与货运准备、进出货控制、保安等。（参见：员工安全—问题1）。责任和任务是否已经归档（例如，已列入他们的职位描述或工作说明中）？CEC08.074PSCS自我评估与审核工具第7页，共45页第4.3.2版–2008年4月2日PSCSP–I.1.2物理安全必须对设施推行适当的物理安全指南，以防止未经授权接触我们的货物流。物理安全涉及到整个仓库、终端或其它预先确定区域的物理安全和组织安全。本章提及的供应链安全程序和说明是否已经适当地进行了归档（例如，归入质量系统、安全说明等）？应当对安全系统进行妥善归档。建议将程序植入现有的程序计划中，比如质量管理系统（例如ISO-9001）。应具备一套完整的PSCS归档文件，审计员工也可以在内部和海关审计/审查期间使用。在这套归档文件中可以与现有程序相链接（程序一览表在附件E中列明）。PSCSP–VI:归档详细的程序应当在可识别的地点采用一种可检验的格式。必须将与PSCS相关的程序植入本地