Ten artykuł to pierwsza część dwuczęściowego cyklu prezentującego opinie CEO Z2Data Mohammada Ahmada, analizującego, jak nowe rodzaje zakłóceń zmieniają podejście firm do analizy ryzyka dostawców oraz jakie działania muszą podjąć producenci, aby skutecznie przeprowadzać ocenę ryzyka u swoich dostawców półprzewodników. Przeczytaj część 2 artykułu: Developing and Implementing a Risk Model for the Semiconductor Supply Chain tutaj.
Niedobór półprzewodników, który rozpoczął się w 2020 roku i utrzymywał się aż do 2023, był katastrofą dla łańcucha dostaw w praktycznie każdym ujęciu. Historyczne zakłócenie sparaliżowało produkcję i zaburzyło równowagę podaży i popytu w wielu kluczowych branżach, kosztując amerykańską gospodarkę ponad 200 miliardów dolarów w samym 2021 roku oraz prowadząc do tysięcy utraconych miejsc pracy i w dużej mierze nieodwracalnych podwyżek cen produktów pierwszej potrzeby.
Dla wielu organizacji to oraz inne wyzwania związane z sourcingiem i zakupami w ostatnich czterech latach w pełni unaoczniły rosnące znaczenie oraz wszechobecność ryzyka dostawcy. Firmy, które wcześniej reagowały na zakłócenia w sposób incydentalny i nieformalny, zaczęły dostrzegać konieczność — wręcz strategiczny imperatyw — przyjęcia znacznie bardziej proaktywnego, przyszłościowego podejścia do oceny zagrożeń generowanych przez ich łańcuch dostaw i zaangażowane przedsiębiorstwa. Nastąpiła powszechna refleksja, że ryzyko można zidentyfikować, ocenić i ograniczyć zanim sparaliżuje działalność np. w formie przestoju fabryki, problemów regulacyjnych czy kryzysu związanego ze starzeniem się komponentów.
Czym jest analiza ryzyka dostawcy?
Na szczęście producenci, importerzy oraz inni interesariusze chcący analizować ryzyko wśród swoich dostawców mogą korzystać z ugruntowanych wzorców. Analizy ryzyka dostawcy, w różnych formach, funkcjonują od dekad. Ocena ryzyka — określana też jako analiza ryzyka — to zestaw ram lub kryteriów do rozpoznawania i oceny zagrożeń generowanych przez konkretnego dostawcę. Takie strukturalne oceny to kluczowy element szeroko pojętego zarządzania ryzykiem łańcucha dostaw, które National Institute of Standards and Technology (NIST) trafnie definiuje jako „systematyczny proces zarządzania ryzykiem łańcucha dostaw przez identyfikację podatności, słabych punktów i zagrożeń w całym łańcuchu dostaw oraz tworzenie strategii minimalizacji tych zagrożeń”.
Ocena ryzyka — określana też jako analiza ryzyka — to zestaw ram lub kryteriów do rozpoznawania i oceny zagrożeń generowanych przez konkretnego dostawcę.
Ocena ryzyka dostawcy to podstawa skutecznego zarządzania ryzykiem w łańcuchu dostaw. Dzięki opracowywaniu i wdrażaniu takich ukierunkowanych procedur organizacje mogą objąć potencjalnych dostawców standaryzowanym procesem weryfikacji i uzyskać precyzyjne oraz kompleksowe zrozumienie, jak konkretne historyczne podatności mogą ujawnić się ponownie, generując wysokie koszty. To także jedna z najskuteczniejszych strategii umożliwiających zachowanie dynamicznego, elastycznego podejścia do własnego łańcucha dostaw.
„To bardzo istotne, ponieważ pozwala być Państwu o krok przed potencjalnymi problemami, które wpłynęłyby na Państwa łańcuch dostaw, a tym samym na dostawy lub produkcję finalnego produktu” — mówi Mohammad Ahmad, CEO platformy do zarządzania ryzykiem łańcucha dostaw Z2Data. Jednak, jak tłumaczy Ahmad, te oceny stanowią znacznie więcej niż tylko profil ryzyka — często to wyczerpujące dossier dostawcy, służące do podejmowania kluczowych decyzji w rozmaitych sytuacjach. „Wielkim wyzwaniem obecnie jest to, jak dużo rzeczywiście wiemy o swoich dostawcach? Każdy chce uzyskać widoczność dotyczącą swoich dostawców”.
„Wielkim wyzwaniem obecnie jest to, jak dużo rzeczywiście wiemy o swoich dostawcach? Każdy chce uzyskać widoczność dotyczącą swoich dostawców”.
Analiza ryzyka dostawcy wcale nie jest nową praktyką. Obecnie jednak coraz częściej postrzega się ją nie jako narzędzie opcjonalne, lecz integralną część skutecznego zarządzania ryzykiem w łańcuchu dostaw. W dekadzie tak złożonej i dynamicznej, jak lata 2020-e, firmy dysponujące narzędziami do precyzyjnej i szybkiej analizy ryzyka — i dzięki temu osiągające transparentność względem dostawców — zyskują kluczową przewagę.
Najważniejsze kryteria w analizie ryzyka dostawcy
Historycznie producenci podczas analizy ryzyka koncentrowali się na kilku podstawowych aspektach swoich dostawców, takich jak kondycja finansowa, jakość produktów czy reputacja. Oceniano poziom ekspozycji na ryzyko, a następnie tworzono łączną ocenę mającą jak najwierniej oddać zbiorowy profil ryzyka dostawcy.
Dziś krajobraz ryzyk dla producentów oraz ich łańcuchów dostaw stał się znacznie bardziej złożony i wymagający. Do tradycyjnych zagrożeń doszły nowe, wynikające ze współczesnych uwarunkowań środowiskowych i geopolitycznych, a wpływ czynników ludzkich i naturalnych tylko zwiększa zmienność. W efekcie firmy muszą poszerzać listę ocenianych kryteriów ryzyka o takie aspekty, jak historia zgodności z przepisami czy lokalizacje geograficzne. Te ostatnie nabierają szczególnego znaczenia, ponieważ wskazują na podatność dostawcy na zagrożenia takie, jak klęski żywiołowe, kryzysy polityczne i konflikty handlowe.
Dziś krajobraz ryzyk dla producentów oraz ich łańcuchów dostaw stał się znacznie bardziej złożony i wymagający.
Firmy od zawsze musiały brać pod uwagę ryzyko, że dostawców dotkną ekstremalne zjawiska pogodowe, takie jak tajfuny, tornada czy powodzie. Wpływ zmian klimatycznych jednak zauważalnie zwiększył częstotliwość tych niszczycielskich katastrof. Jak podaje Biuro Narodów Zjednoczonych ds. Ograniczania Ryzyka Katastrof (UNDRR), liczba „katastrof na dużą skalę”, z jakimi mierzy się obecnie świat, wzrosła ponad trzykrotnie od początku wieku i obecnie oscyluje między 350 a 500 rocznie. Rozmaite prognozy klimatyczne sugerują, że liczby te w najbliższych latach będą szybko rosnąć.
W ostatnim półwieczu wiodące rządy i międzynarodowe organizacje zaczęły wdrażać wymierne narzędzia służące egzekwowaniu odpowiedzialności firm za ich wpływ na wzrost temperatur i zmiany klimatu. Ruchy na rzecz zrównoważonego rozwoju oraz ESG (environmental, social, and governance — środowiskowe, społeczne i ładu korporacyjnego) są stopniowo przekształcane w konkretne, prawnie egzekwowalne regulacje na całym świecie. Ten stale powiększający się katalog nowych obowiązków stanowi kolejną kategorię ryzyka dla producentów i innych interesariuszy łańcucha dostaw, którzy muszą teraz dostosować się do serii nowych wymogów zrównoważonego rozwoju. Wraz z wejściem w życie takich aktów jak CSRD, CS3D czy nowych wymogów SEC w zakresie ujawniania danych klimatycznych, dostawcy muszą poruszać się w nowej strefie podatności.
Wraz z wejściem w życie takich aktów jak CSRD, CS3D czy nowych wymogów SEC w zakresie ujawniania danych klimatycznych, dostawcy muszą poruszać się w nowej strefie podatności.
Na tym jednak nie koniec — pojawiło się też gwałtowne nasilenie ryzyk cyberbezpieczeństwa. Nowe zagrożenie uwidoczniły ostatnio głośne cyberataki na niespotykaną dotąd skalę. Atak SolarWinds z 2020 roku, przeprowadzony przez rosyjską grupę hakerską, oraz wyciek danych Microsoft Exchange w 2021 roku, przypisywany grupie działającej na zlecenie Ministerstwa Bezpieczeństwa Państwowego Chińskiej Republiki Ludowej, pokazały niepokojący postęp cyberwojny w ostatniej dekadzie. W miarę jak te wysoko zaawansowane grupy hakerów, wspierane przez potężne rządy, stają się coraz śmielsze i bardziej ambitne w swoich działaniach cyberwrogich, korporacje międzynarodowe są coraz bardziej narażone na wycieki danych, ataki malware oraz szeroko zakrojone luki w bezpieczeństwie.
Amerykańscy producenci i inne firmy polegające obecnie na wielu dostawcach i poddostawcach stoją dziś przed prostym, niepodważalnym faktem: zarządzanie ryzykiem w łańcuchu dostaw weszło w nowy etap rozwoju. Firmy przygotowujące własną analizę ryzyka dostawcy powinny wykraczać poza zagrożenia, które od lat zakłócają łańcuchy dostaw. Kluczowe jest rozpoznanie szeregu nowych, dziś już powszechnych, wyzwań w sieciach produkcyjnych.
Amerykańscy producenci i inne firmy polegające obecnie na wielu dostawcach i poddostawcach stoją dziś przed prostym, niepodważalnym faktem: zarządzanie ryzykiem w łańcuchu dostaw weszło w nowy etap rozwoju.
Obecnie istnieje co najmniej sześć głównych kategorii ryzyk łańcucha dostaw, które powinny być uwzględniane w każdej kompleksowej analizie ryzyka:
- Kondycja finansowa i/lub ryzyko upadłości
- Ekstremalne zjawiska pogodowe i zdarzenia klimatyczne
- Zagadnienia geopolityczne
- ESG i zrównoważony rozwój
- Cyberbezpieczeństwo
- Zgodność z przepisami handlowymi
- Transparentność danych
Pozyskiwanie danych na potrzeby oceny ryzyka
Po zrozumieniu, jaką wartość niesie ocena ryzyka dostawców oraz poznaniu kryteriów istotnych do analizy, firmy są gotowe do przeprowadzenia właściwej oceny. Pierwszym i z reguły najważniejszym krokiem całego procesu jest zebranie danych na temat dostawców. Dostępnych jest wiele metod pozyskiwania tych informacji i nie warto ograniczać się do jednego kanału. Wręcz przeciwnie, dobrym rozwiązaniem jest łączenie kilku sposobów – począwszy od korzystania z informacji ogólnodostępnych. Tego typu dane obejmują m.in. wyniki finansowe, lokalizacje siedzib i zakładów produkcyjnych czy raportowanie ESG (które z czasem będzie coraz szerzej publikowane).
Po zebraniu wszystkich publicznie dostępnych informacji, firmy powinny zidentyfikować luki w danych i zwrócić się do dostawców o uzupełniające materiały, których nie zdołano pozyskać samodzielnie. Najczęściej stosuje się w tym celu kwestionariusze zawierające szeroki zestaw pytań dotyczących kontroli bezpieczeństwa, metod minimalizacji ryzyka oraz zarządzania łańcuchem dostaw.
Kwestionariusz Shared Information Gathering (SIG) to przykład narzędzia do zarządzania ryzykiem stron trzecich, opracowanego przez organizację Shared Assessments. Zawiera setki pytań pozwalających uzyskać praktyczne informacje w 21 kluczowych obszarach, takich jak:
- Compliance Management (zarządzanie zgodnością)
- Environmental, Social, and Governance (ESG)
- Enterprise Risk Management (zarządzanie ryzykiem w organizacji)
- Cybersecurity Incident Management (zarządzanie incydentami cyberbezpieczeństwa)
- Network Security (bezpieczeństwo sieciowe)
- Operational Resilience (odporność operacyjna)
Choć kwestionariusze to kluczowy element procesu gromadzenia danych, nie powinny stanowić jedynego źródła informacji o dostawcach. „Nie sądzę, aby to było wystarczające,” zauważa Ahmad. „Konieczne jest korzystanie z wielu różnych źródeł, aby móc podejmować decyzje w oparciu o ryzyko i ustalić, czy należy pogłębić analizę.”
Tworzenie kompleksowego procesu oceny ryzyka: część 2
Zidentyfikowanie obszarów ryzyka i pozyskanie wszystkich istotnych danych na ich temat to dopiero pierwszy etap całego procesu oceny ryzyka. Gdy producentom się to uda, jak powinni podejść do opracowania modelu ryzyka i wdrożenia jego praktycznej oceny?
Te kwestie – a także najczęściej spotykane ryzyka unikalne dla łańcucha dostaw półprzewodników – omawiamy w drugiej części naszego artykułu Developing and Implementing a Risk Model for the Semiconductor Supply Chain.