2.25k likes | 2.58k Views
《 供应链风险管理 》. CIPS 采购与供应高级文凭 Advanced Diploma in Procurement and Supply. 不确定性的来源. 易变性 是指某一可测量因素可能是一系列可能值中的某一个值的情形。因为某一情形可能演化或发展出许多可能的方式,所以就产生了不确定性。 含糊性 含义的不确定性。由于关于某一情形的信息存在多种解释方法,所以产生了不确定性。. 风险事件. 打击 ( Shocks ) 对组织造成创伤和瓦解的无法预知的事件。 危机 ( Crises ) 预示要造成对组织及其利益相关者、声誉有重大损害或损失的重大事件。
E N D
《供应链风险管理》 CIPS采购与供应高级文凭 Advanced Diploma in Procurement and Supply
不确定性的来源 • 易变性 • 是指某一可测量因素可能是一系列可能值中的某一个值的情形。因为某一情形可能演化或发展出许多可能的方式,所以就产生了不确定性。 • 含糊性 • 含义的不确定性。由于关于某一情形的信息存在多种解释方法,所以产生了不确定性。
风险事件 • 打击(Shocks) • 对组织造成创伤和瓦解的无法预知的事件。 • 危机(Crises) • 预示要造成对组织及其利益相关者、声誉有重大损害或损失的重大事件。 • 灾难(Disasters) • 对组织或供应链赖以生存的基础设施造成重大损害,从而使其运营严重中断的重大自然或人为事件。
风险与回报计算 • 最理想的商业机会是低风险、高回报的——但这些机会通常是不容易获得的。 • 高风险、低回报的项目不可能有吸引力。 • 低风险、低回报的项目可能比较适合处于稳定环境中的非常稳定的、官僚式的组织。 • 公司能够影响回报的水平和/或风险水平。
风险偏好 • 公司风险偏好 • 是指从战略层级上判断得出的合理风险总量。 • 授权的风险偏好 • 是指同意的公司风险偏好(就组织不同组成部分的风险水平达成一致),它沿着组织结构一级一级传导下去。。 • 项目风险偏好 • 项目的风险偏好也落在组织日常政策和决策范围之外。
风险管理的益处 • 避免风险事件、打击和危机等因素引起的成本或将这些因素最小化。 • 避免没有成功实施风险减轻措施所引起的成本或将其最小化。 • 避免生产和收入流的中断。 • 通过减轻供应链的脆弱性,保障供应安全 • 保护市场份额。 • 提高企业和供应链弹性。 • 保护组织关键人力资源。 • 使组织吸引并挽留高素质的员工、供应商和风险伙伴。 • 帮助管理层客观地判断哪些风险值得应对以及哪些应该加以规避。 • 提高制订战略、政策和决策的水平。 • 促进组织和供应链的合作。 • 提高利益相关者的信心和满意度。
风险识别 • 风险顾问对出版的学术研究结果和报告的追踪。 • 环境扫描与公司评估(STEEPLE和SWOT分析)。 • 范围扫描。 • 监测同类组织中的风险事件。 • 市场情报收集和管理信息系统。 • 关键事件调查。 • 情境分析。 • 过程审计。 • 对健康和安全、质量、维护等进行定期检查和检验。 • 研究项目计划、供应链等,发现可辨认的脆弱性。 • 开展正式的风险评估。 • 征求关键利益相关者和行业专家的意见。 • 聘用第三方风险审计和风险管理顾问。
风险的主要类别 • 战略风险 • 产生于组织的愿景和方向,以及组织在某一行业、市场和/或地理区域的定位。 • 运营风险 • 产生于组织追求战略时所依靠的职能的、运营的和行政的程序。它们主要与组织的生产或服务交付运营有关。 • 财务风险 • 从内部来说,产生于企业财务结构;从外部来说,产生于与其他组织的财务交易。 • 合规性风险 • 产生于确保遵守法律、法规和政策框架的需要;以及组织或其供应链的不合规或不合法活动曝光引起的可能损失,包括信誉的、运营的和财务的处罚。
其他一些风险类别 • 市场风险 • 属于战略风险,产生于外部供应市场中的因素或变化。 • 技术风险 • 由于技术活力和技术陈旧、系统或设备故障、数据讹误或偷窃、新技术“初期困难”、系统的不兼容性(例如,当买方与供应商系统需要整合的时候)等引起的战略风险和运营风险。 • 供应风险 • 既是战略风险,又是运营风险,产生的原因包括:供应市场不稳定性和资源稀缺性、供应商故障、供应链破坏、供应链和物流的长度和复杂性,等等。 • 信誉风险 • 分为财务风险和/或合规性风险两大类,产生的原因包括:组织或其供应链所做出的不道德的、没有社会责任感的或破坏环境的活动。
内部风险的例子 • 人员个性因素。 • 文化价值观和行为准则。 • 团组动力学。 • 人的差错和不成熟。 • 企业管理。 • 恶意的活动。 • 技术、设备或系统崩溃。 • 安全风险。 • 缺乏内部控制。 • 工作场所危险。 • 雇员关系欠佳。 • 关键人才和知识的流失。
外部环境 • 它既是威胁,也是机会。 • 它是组织所需资源的供应源。 • 它包含了对组织活动试图施加影响或有权施加影响的利益相关者。
风险评估 • 风险 = 可能性(概率)* 影响(负面的后果) • 风险可能性(Risk likelihood)是指在假定风险性质和当前风险管理做法的情况下发生的概率。 • 风险影响(Risk impact)是给组织造成的可能损失或成本,或者对组织完成其目标的能力可能的影响水平。
情形分析 • 利用头脑风暴法或团组研讨会,以激发对企业或供应链、行业或市场、或更广外部环境中问题和可能性的识别 • 描述或计算机模拟某情形中的关键变量 • 改变所选变量并观察对其他变量和对总体结果的影响 • 创建最优的、最可能的和最坏的情形来测量影响。
风险价值(VaR) • 确定公司估算损失的时间范围。 • 选择所要求的可信度。 • 利用历史市场数据,结合前面市场状况的评估,建立可能的投资回报的概率分布。 • 计算VaR估算值。
风险登记簿的目的或好处 • 将有关已识别风险的所有分析和决策,集中到一个调节的、集中的(但可访问的)数据存储器中。 • 提供一个模板文档,使风险信息得以系统性地记录下来,并且是用标准的格式,以便于分析与使用。 • 在组织上下建立风险可视度,包括当前风险状态和暴露的直接可视性。 • 明确风险监督和管理的职责。 • 提供一个风险监督、管理和检查活动的框架。 • 为分配风险监督、管理和检查所需的资源提供基础,并且为风险管理的商业论证奠定基础。 • 促进(或者充当一个工具)关键内部、外部利益相关者对于风险问题的沟通。 • 向项目发起人、合同经理和其他被委任的风险责任人提供一个文档化的框架,根据这一框架,生成风险状态报告。
风险登记簿模板 • 识别每个风险的唯一参考号或代码数字 • 风险类型和性质的说明 • 风险被第一次识别出来的日期 • 风险责任人。 • 风险事件发生的概率。 • 风险事件如果发生所造成的影响、成本或后果。 • 为了减小概率或减少影响,或者兼而有之,明确的可能应对措施或减轻措施。 • 选择的风险减轻措施及其效果(如果有的话)。 • 定期更新每个风险的状态信息。
直线经理的职责 • 制订和/或实施组织已制定的风险政策和程序。 • 落实遵守风险减轻的规章和计划。 • 加强风险意识文化。 • 报告风险事件。 • 收集有关危险、脆弱性和风险的信息。
采购和供应职能的作用 • 监督、识别和评估供应链、供应商和供应市场风险。 • 开展供应商资格预审和评估,将供应商风险降至最低。 • 签订合同,利用合同条款将商务和供应风险降至最低。 • 以一种将财务、项目、运营和信誉风险降至最低的方式,管理合同、供应商和供应商绩效。 • 为战略决策风险评估提供信息和专长。 • 给跨职能项目团队提供信息和专长。 • 管理组织外部开支的商务和财务风险。 • 管理采购合同和其他供应结构及关系中内在的风险。
公共领域的风险管理角色 英国公共部门机构的活动受到许多有影响力的团体的监督和指导。 • 英国财政部。 • 英国国家审计办公室。 • 审计委员会。 • 公共会计委员会(PAC)。 • 政府采购办公室(OGC)。
风险管理战略 (4个T) • 容忍(或接受)风险(Tolerate) • 如果评估后风险的可能性或影响可以忽略不计(或者没有可行的方法来降低风险),那么当下就不需要或者没有理由采取进一步的措施。 • 转移(或者分散)风险(Transfer) • 例如通过购买保险,或者不要把所有鸡蛋放在同一个篮子里;或者利用合同条款,确保风险事件成本由供应链伙伴承担或分担。 • 终结(或者避免)风险(Terminate) • 如果与某一具体项目或决策有关的风险太大,并且不可能减轻的话,组织可以考虑不投资或不参与到这项活动或机会中。 • 处理(减轻、最小化或控制)风险(Treat) • 采取积极的步骤对风险进行控制,将风险可能性或潜在影响减少或最小化,或者同时将二者减少或最小化。
控制的运用 • 预防性控制(Preventative controls) • 目的是限定负面结果发生的概率。 • 指导性控制(Directive controls) • 目的是确保达到预期的结果。 • 探测性控制(Detective controls) • 目的是确定何时发生了没预料到的风险事件。 • 纠正性控制(Corrective controls) • 目的是:一旦发生没预料到的结果,就着手减轻其后果。
外部风险报告 • 法规要求 • 外部利益相关者的期望。 • 组织自己的治理、企业社会责任(CSR)和风险管理政策。 • 有计划的、自愿的披露所带来的信誉和其他好处。
ISO31000:风险管理 • 风险管理创造并保护价值。 • 风险管理是组织流程不可分割的一个组成部分。 • 风险管理是决策的组成部分。 • 风险管理明确地解决不确定性问题。 • 风险管理是系统的、结构化的和及时的。 • 风险管理建立在最好的可利用信息的基础之上。 • 风险管理是因具体情况而异的。 • 风险管理将人的因素和文化因素考虑在内。 • 风险管理是透明和包容的。 • 风险管理是动态的、重复的并对变化有所响应的。 • 风险管理促进持续改进和提高。
保持一个有效的SMS • 安全管理政策;目标和指标;以及计划 • 安全管理结构 • 安全管理能力 • 安全计划:风险识别与评估;制定控制措施 • 法律和法规要求 • 文件、数据和信息系统与控制 • 运营控制措施;应急计划和程序;安全响应程序。 • 监督和测量安全绩效 • 审计并评估SMS,寻求持续改进。
战略性的风险计划框架 • 第一部分:介绍和目的 • 第二部分:目标、原则和实施 • 第三部分:风险识别 • 第四部分:风险分析与评估 • 第五部分:风险处理 • 第六部分:风险检查与汇报
风险管理委员会的职责 • 对于那些涉及整个组织,或者风险严重程度超过指定阈值的问题和活动,考虑相应的风险管理政策。 • 评审并同意组织中的风险管理过程,包括风险意识培训。 • 对于新出现的战略和运营风险,向董事会报告;对于较低水平(“焦点”)的风险,向有关职能的直线经理汇报。 • 检查并更新风险登记簿,并且在某一给定的时点对组织面临的所有风险进行回顾。 • 支持风险管理,确保在组织范围内共享最佳实践。
创建希望的风险文化 • 高级管理层、领导人和有影响的人对新价值观的一致表述和模式化。 • 在讨论新思想和行为的必要性时与员工沟通、对其教育和并让其参与,从而改变潜在的价值观和信仰。 • 将想要的态度和行为植入政策、程序、规定、系统、员工沟通、管理风格之中。 • 利用人力资源管理机制来强化变革。
为风险管理配备资源 • 信息资源。 • 人力资源。 • 基础设施。 • 技术资源。 • 时间资源。 • 物质资源。 • 财务资源。
让供应商参与 • 完全参与 • 在供应网络的所有接触点,鼓励风险意识。 • 跨职能合作 • 开发一个整合的、以过程为中心的方法,用以跨内、外部价值链的风险识别和管理。 • 供应链的协作与贡献: • 收集有关供应市场风险因素的信息 • 收集供应商关于买方系统和流程所产生的风险因素的反馈 • 通过谈妥的协议、规格和合同条款,合作努力将风险最小化 • 供应商早期参与新产品和服务开发 • 保护、激励和奖励供应商分担风险的意愿 • 促进供应链的信息流通 • 对供应商在质量、道德和公司责任问题上的合规和勤奋进行保护、激励和管理。
欺诈的两个主要类别 • 挪用组织现金或资产。 • 故意虚假陈述企业的财务状况,以误导股东、税务部门或司法当局。
判断欺诈有四个先决条件 • 犯罪者必须有一个动机:即他之所以需要资金或者感到有权诈取组织的理由。 • 必须具有值得偷窃的资产。 • 必须有机会:来挪移资产,并从中获益(例如通过卖掉这些资产)。 • 在内部控制或欺诈风险管理中一定存在不足。
欺诈的不同类别 • 网络欺诈 • 电话欺诈 • 被用于欺诈 • 盗用公司身份 • 小的欺诈 • 竞争者欺诈