一、C-TPAT是什么?
C-TPAT(Customs Trade Partnership Against Terrorism,海关商贸反恐伙伴计划)是由美国海关与边境保护局(CBP)于2001年9/11事件后推出的自愿性供应链安全计划[2]。
该计划通过与业界合作,确保从生产到运输的每个环节都符合严格的安全标准,从而降低恐怖袭击的风险,同时提升供应链效率。
1.1 C-TPAT的两大计划
C-TPAT实际上包含两个相互关联的计划:
| 计划名称 | 关注领域 | 适用对象 | 核心要求 |
|---|---|---|---|
| C-TPAT Security (供应链安全) | 供应链物理安全、人员安全、程序安全、网络安全 | 外国制造商、供应商、物流提供商、美国进口商 | 符合最低安全标准(MSC) |
| C-TPAT Trade Compliance (贸易合规) | 海关法律法规合规、内部控制体系 | 美国进口商(必须已加入C-TPAT Security计划) | 建立和实施内部控制体系 |
本文重点解读C-TPAT Security计划(即”反恐验厂”)。
1.2 C-TPAT Security的核心目标
- 防止恐怖分子利用全球贸易系统进行非法活动(包括毒品贩运、恐怖主义、人口走私和非法违禁品)
- 确保供应链从起点到终点的运输安全
- 阻止恐怖分子渗入供应链
- 提升供应链可视性和安全管理水平
二、最低安全标准(MSC)核心要求
C-TPAT Security计划的审核依据是《最低安全标准(Minimum Security Criteria,MSC)》。CBP会定期更新MSC,以反映不断演变的安全威胁[1]。
本文引用的是2020年1月版的《C-TPAT最低安全标准 – 外国制造商》。不同行业(外国制造商、美国进口商、物流提供商等)的MSC要求略有不同,企业应根据自身在供应链中的角色查阅对应的MSC文档。
MSC文档将安全要求分为三个关注领域:
2.1 第一个关注领域:企业安全
企业安全关注公司整体的安全治理和风险管理,包括4个部分:
2.1.1 安全愿景和责任(标准1)
必须实施:
- 公司高级官员(总裁、CEO、总经理或安全总监)应签署支持声明,表明其对供应链安全和C-TPAT计划的承诺
- 支持声明应张贴于公司适当位置(公司网站、接待前台、包装区、仓库等)
- 将供应链安全纳入公司文化,确保成为整个公司的优先事项
应该实施:
- 建立跨部门团队来构建和完善供应链安全计划
- 定期对安全计划进行审查(审查范围和深入程度取决于公司运营和风险等级)
- CTPAT联系人必须充分了解C-TPAT计划的规定,并定期向上级管理层汇报
2.1.2 风险评估(标准2)
必须实施:
- 对供应链中的风险等级进行评估和记录
- 进行总体风险评估(Risk Assessment,RA),识别可能存在安全漏洞的环节
- RA必须识别威胁、评估风险并采用可持续措施来减少漏洞
- 风险评估必须每年审查一次,或者根据风险因素进行更频繁的审核
应该实施:
- 制定供应链流程图,记录货物从原产点到进口商配送中心的运送流程
- 考虑业务伙伴改变和/或公司结构变更(如并购)
📋 关键提示:CTPAT制定了《五步风险评估指南》(Five Step Risk Assessment Process),可在CBP网站下载。对于拥有广泛供应链的成员,主要关注点应放在风险较高的领域。
2.1.3 业务伙伴(标准3)
必须实施:
- 备有基于风险的书面流程,以筛选新的业务伙伴和监督当前的合作伙伴
- 业务伙伴筛选过程必须考虑合作伙伴是否是C-TPAT成员或与美国签有相互认可协议(MRA)的授权经济运营商(AEO)计划的成员
- 如果将供应链环节外包或分包,必须进行尽职调查以确保业务伙伴已采取符合或超过MSC的安全措施
- 制定社会合规计划,明文规定确保公司进口到美国的商品非通过被禁止的劳工形式(强迫劳动、监狱劳工、契约劳工或契约童工)开采、生产或制造
应该实施:
- 定期或根据情况/风险更新对业务伙伴的安全评估
- 如果发现业务伙伴的安全评估中存在弱点,必须尽快处理,并且必须及时进行更正
2.1.4 网络安全(标准4)
必须实施:
- 备有全面的书面网络安全政策和/或程序,以保护IT系统
- 在计算机系统中安装足够的软件/硬件来防止恶意软件(病毒、间谍软件、蠕虫、特洛伊木马等)和内部/外部入侵(防火墙)
- 定期测试IT基础架构的安全性,如果发现漏洞,必须尽快采取纠正措施
- 建立系统来识别未经授权的IT系统/数据访问或滥用的情况
- 根据职务描述或所分配的职责来限制用户访问权限
- 有权访问IT系统的个人必须使用单独分配的帐户,并通过加强密码、密码短语或其他形式的身份认证来保护访问
应该实施:
- 解决成员如何与政府和其他业务伙伴共享有关网络安全威胁信息的问题
- 网络安全政策和程序必须根据风险或情况,每年进行一次或更频繁的审查
- 允许用户远程连接到网络的成员必须使用安全技术(如VPN)
- 数据应每周或酌情备份一次,所有敏感和机密数据均应以加密格式存储
2.2 第二个关注领域:运输安全
运输安全关注货物从工厂到美国边境的整个运输过程的安全,包括4个部分:
2.2.1 交通运输工具和国际运输工具(IIT)的安全(标准5)
必须实施:
- 交通运输工具和IIT必须存放在安全的区域,以防止未经授权的进入
- 制定对空的IIT进行系统性检查的书面程序
- 所有交通运输工具和空的IIT检查均应记录在检查表上
- 如果在交通运输工具/IIT检查中发现可见的有害生物污染,则必须进行清洗/吸尘
检查要求:
- 海运集装箱和单位装载设备(ULD):必须进行七点检查(前壁、左侧、右侧、地面、天花板/顶部、外门/内门、外部/底盘)
- 冷藏集装箱:必须进行八点检查(增加”风扇罩”检查)
- 公路交通运输工具:必须进行17点检查
2.2.2 封条安全(标准6)
必须实施:
- 制定详细的高安全性铅封书面流程,说明封条在设施中和运输过程中的发放与管控
- 所有可加封的C-TPAT货物在装柜/包装之后,都必须立即用符合或超过ISO 17712最新标准的高安全性封条进行加封
- 必须遵守C-TPAT的VVTT铅封验证程序:
- V – 查看铅封和集装箱的门锁装置;确保没有问题
- V – 比对核实装货单据的铅封号码
- T – 拉扯铅封以确保妥善加封
- T – 拧转子弹封,确保各个组件不会松动、彼此分离或铅封的部分有任何松动
- 如果发现任何对货物或交通运输工具安全性的可信威胁,必须(在可行的范围内尽快)警告供应链中任何可能受影响的业务伙伴,以及在适用的情况下,通知执法部门
2.2.3 程序安全(标准7)
必须实施:
- 制定程序来确保商品/货物清关所需的信息清楚、完整、准确,避免信息传递有误、丢失或引用错误,并按时报告
- 制定报告事件的书面程序,包括说明设施内部提高事件处理层级的流程
- 制定用于识别、问责和处理未经授权/身份不明的人员的政策和程序
- 任何短缺、超额或其他重大差异或异常都必须进行适当的调查并加以解决
应该实施:
- 货物具体铅封号码应在出发前发送给收货人
- 铅封号码应以电子方式打印在提单或其他装运单据上
2.2.4 农业安全(标准8)
必须实施:
- 制定书面程序,以防止可见的有害生物污染
- 遵守木质包装材料(WPM)法规,措施必须符合国际植物保护公约(IPPC)的《国际植物检疫措施标准第15号》(ISPM 15)
📋 关键提示:木质包装材料(WPM)如托盘、板条箱等,必须经过热处理或溴甲烷熏蒸,并加盖IPPC合规标记(俗称”小麦印章”)。
2.3 第三个关注领域:人员和场地实体安全
人员和场地实体安全关注设施的物理安全和人员安全管理,包括1个部分:
2.3.1 场地实体安全(标准9)
必须实施:
- 所有货物装卸和储存设施,包括拖车场和办公室,都必须设有实体屏障和/或吓阻设备,以防范未经授权者进入
- 货物装卸与储存设施周边应以围栏围住
- 车辆和/或人员进出的大门必须有人值守或监控
- 设施内外部应有足够的照明(包括出入口、货物装卸和储存区、围栏沿线和停车场)
- 应利用安防技术(如闭路电视摄像机CCTV、入侵检测系统IDS)监视设施,以防止未经授权进入敏感区域
- 所有安防技术基础设施必须进行实体保护,以防止未经授权进入
- 安防技术系统应配置备用电源,以确保突然失去直接电源时,系统仍能继续运行
应该实施:
- 在可行的情况下,在进出存放场时和装柜点进行检查
- 对交通运输工具进行随机搜查(应在没有警告的情况下随机进行)
三、C-TPAT Security申请和审核流程
C-TPAT Security计划的申请和审核流程包括以下步骤:
| 步骤 | 内容 | 说明 |
|---|---|---|
| 1. 资格确认 | 确认公司是否符合C-TPAT Security的申请资格 | 不同行业(外国制造商、美国进口商、物流提供商等)的资格要求不同 |
| 2. 在线申请 | 通过C-TPAT门户(C-TPAT Portal)提交在线申请 | 需要填写公司信息、安全计划描述等 |
| 3. 自我评估 | 根据MSC要求进行自我评估,识别差距 | 可以使用C-TPAT提供的自我评估工具 |
| 4. 安全改进 | 根据自我评估结果,改进不符合MSC标准的部分 | 可能需要安装实体设备、修订程序、提供培训等 |
| 5. CBP验证审核 | CBP对企业进行现场验证审核,验证其供应链安全措施的有效性 | 审核包括:文件审查、现场巡查、员工访谈等 |
| 6. 认证与持续改进 | 通过审核后,企业获得C-TPAT Security认证,并需定期接受CBP的复查 | 认证有效期通常为3年,之后需要重新验证 |
3.1 C-TPAT Security的相互认可协议(MRA)
C-TPAT与美国签有相互认可协议(MRA)的国家/地区的AEO计划成员,可以享受加速筛查待遇[2]。
目前美国MRA包括:
- 新西兰
- 加拿大
- 约旦
- 日本
- 韩国
- 欧盟(28个成员国)
- 台湾
- 以色列
- 墨西哥
- 新加坡
- 多米尼加共和国
- 秘鲁
四、C-TPAT Security认证的好处
加入C-TPAT Security计划并成功通过验证审核后,企业可以享受以下好处:
| 好处类别 | 具体好处 | 说明 |
|---|---|---|
| 通关便利 | • 优先查验(Front of the Line):C-TPAT货物优先于非C-TPAT货物进行查验 • 降低查验率:减少进口时间和成本 • FAST车道:更短的边境等待时间,可使用FAST车道 | 加快货物清关速度,提升供应链效率 |
| 专业支持 | • 供应链安全专家(SCSS):政府指派的安全专家提供评估和协助 • 国家客户经理(NAM):作为CBP总部和企业之间的顾问和联络人 | 获得CBP的专业指导和支持 |
| 竞争优势 | • 提升声誉:C-TPAT认证可以提升企业的声誉和获取业务的能力 • 市场竞争力:成为C-TPAT成员可以成为企业的营销优势 | 增强企业在国际市场上的竞争力 |
| 其他好处 | • 业务恢复:自然灾害、恐怖袭击或港口关闭后优先进入货物 • 处罚减轻:CBP将考虑企业的可信贸易商地位,减轻处罚 • 最佳实务:获取C-TPAT最佳实务指南、目录和培训材料 | 提升企业的风险应对能力和合规水平 |
五、C-TPAT验厂准备指南
如果您的美国进口商客户是C-TPAT成员,他们可能会要求您进行第三方C-TPAT审核,以评估您的供应链安全实践是否符合MSC期望。虽然C-TPAT本身不是认证计划(不颁发证书),但第三方审核可以帮助您识别差距、改进安全计划,并为CBP的验证审核做好准备。
5.1 C-TPAT验厂准备步骤
| 步骤 | 内容 | 关键活动 |
|---|---|---|
| 1. 了解MSC要求 | 根据您在供应链中的角色,获取对应的MSC文档 | • 访问CBP官网下载MSC文档 • 了解适用于您公司的安全标准 |
| 2. 进行差距分析 | 对照MSC要求,评估您当前的安全实践 | • 组建跨部门团队(安全、人力资源、IT、进出口等) • 使用C-TPAT自我评估工具或第三方审核 • 识别不符合项和薄弱环节 |
| 3. 制定改进计划 | 根据差距分析结果,制定详细的改进计划 | • 确定改进措施的优先级(高风险领域优先) • 分配责任人和完成时限 • 预算所需资源(设备采购、培训、咨询等) |
| 4. 实施改进措施 | 根据改进计划,逐项实施改进措施 | • 修订或制定安全政策和程序 • 安装或升级实体安全设施(围栏、门禁、照明、摄像机等) • 提供员工培训(安全意识、背景调查、应急响应等) • 建立或完善业务伙伴筛选流程 |
| 5. 进行内部审核 | 改进措施实施完成后,进行内部审核以验证有效性 | • 按照MSC要求进行全面检查 • 模拟CBP验证审核的场景 • 识别仍需改进的地方 |
| 6. 准备CBP验证审核 | 如果您的美国进口商客户要求,或您希望直接加入C-TPAT计划,准备接受CBP的现场验证审核 | • 准备所有支持性文件(安全政策、培训记录、检查表、风险评估报告等) • 培训员工如何应对审核员的提问 • 进行模拟审核以熟悉流程 |
5.2 常见不符合项及改进建议
| MSC领域 | 常见不符合项 | 改进建议 |
|---|---|---|
| 实体安全 | • 围栏损坏或未及时修复 • 照明不足 • 门禁控制不严格 • 摄像机覆盖范围不足或画质不清 | • 建立定期巡查和维修制度 • 加装照明设备,使用自动定时器或光传感器 • 制定门禁管控制度,对所有进出人员进行检查和登记 • 调整摄像机位置,定期清洁和维护 |
| 人员安全 | • 未对所有员工进行背景调查 • 未提供定期安全培训 • 未制定身份不明人员处理程序 | • 建立员工背景调查程序(包括新招聘和定期重新调查) • 制定年度安全培训计划,并保留培训记录 • 制定身份不明人员处理程序,并培训员工如何应对 |
| 程序安全 | • 货物交接单据不完整或不准确 • 未建立铅封管控程序 • 未制定事件报告程序 | • 建立文件控制和复核程序 • 制定详细的铅封管控程序(包括铅封的采购、存储、发放、使用、记录和检查) • 制定事件报告程序,并定期演练 |
| 信息技术安全 | • 未安装防火墙或防病毒软件 • 密码策略不够严格 • 未定期备份数据 | • 安装并定期更新防火墙和防病毒软件 • 制定密码策略(使用复杂密码或密码短语,启用多因素身份认证) • 建立数据备份和恢复程序(每周备份,敏感数据加密存储) |
| 运输安全 | • 未对空的集装箱进行系统性检查 • 铅封不符合ISO 17712标准 • 未制定运输跟踪程序 | • 建立空的集装箱检查程序(七点检查或八点检查),并使用检查表记录 • 采购符合ISO 17712标准的高安全性铅封 • 与运输提供商合作,建立货物跟踪程序 |
六、总结
C-TPAT反恐验厂不仅是企业进入美国市场的”通行证”,更是提升全球供应链安全的重要工具。通过该认证,企业不仅能降低货物被恐怖分子利用的风险,还能享受更快的通关速度和更低的查验率,从而提升市场竞争力。
对于希望拓展国际业务的企业而言,C-TPAT认证是确保供应链安全、提升运营效率的关键一步。通过严格的安全标准和流程,C-TPAT帮助企业构建起坚固的安全防线,为全球贸易的稳定与安全贡献力量。
发布者:david,转转请注明出处:https://www.sa8000cn.com/4492/