1、供应链风险管理供应链风险管理CIPS采购与供应高级文凭采购与供应高级文凭 Advanced Diplomain Procurement and Supply不确定性的来源不确定性的来源 易变性是指某一可测量因素可能是一系列可能值中的某一个值的情形。因为某一情形可能演化或发展出许多可能的方式,所以就产生了不确定性。含糊性含义的不确定性。由于关于某一情形的信息存在多种解释方法,所以产生了不确定性。风险事件风险事件 打击打击(Shocks)对组织造成创伤和瓦解的无法预知的事件。危机危机(Crises)预示要造成对组织及其利益相关者、声誉有重大损害或损失的重大事件。灾难灾难(Disasters)对组织
2、或供应链赖以生存的基础设施造成重大损害,从而使其运营严重中断的重大自然或人为事件。风险与回报计算风险与回报计算 最理想的商业机会是低风险、高回报的但这些机会通常是不容易获得的。高风险、低回报的项目不可能有吸引力。低风险、低回报的项目可能比较适合处于稳定环境中的非常稳定的、官僚式的组织。公司能够影响回报的水平和/或风险水平。风险偏好风险偏好 公司风险偏好公司风险偏好是指从战略层级上判断得出的合理风险总量。授权的风险偏好授权的风险偏好是指同意的公司风险偏好(就组织不同组成部分的风险水平达成一致),它沿着组织结构一级一级传导下去。项目风险偏好项目风险偏好项目的风险偏好也落在组织日常政策和决策范围之外
3、。未得到控制的风险的结果未得到控制的风险的结果 风险类型风险类型最初的影响最初的影响最终的影响最终的影响质量问题产品召回、客户背叛财务损失环境污染不良的公众形象、客户不满意与背叛、法律措施、罚款财务损失健康和安全伤害不良的公众形象、工人赔偿诉讼、员工不满、依法处罚的罚款对人的伤害、财务损失火灾对人造成伤害、生产和资产受损对人的伤害、财务损失计算机故障无法接单、处理工作或发出发票;客户背叛财务损失市场风险收入下降财务损失欺诈金钱偷窃财务损失安全金钱、资产或计划的偷窃财务损失国际贸易外汇汇率损失财务损失政治风险外国政府将资产据为己有、阻碍利润汇回本国财务损失风险管理的益处风险管理的益处 避免风险事
4、件、打击和危机等因素引起的成本或将这些因素最小化。避免没有成功实施风险减轻措施所引起的成本或将其最小化。避免生产和收入流的中断。通过减轻供应链的脆弱性,保障供应安全 保护市场份额。提高企业和供应链弹性。保护组织关键人力资源。使组织吸引并挽留高素质的员工、供应商和风险伙伴。帮助管理层客观地判断哪些风险值得应对以及哪些应该加以规避。提高制订战略、政策和决策的水平。促进组织和供应链的合作。提高利益相关者的信心和满意度。风险识别风险识别 风险顾问对出版的学术研究结果和报告的追踪。环境扫描与公司评估(STEEPLE和SWOT分析)。范围扫描。监测同类组织中的风险事件。市场情报收集和管理信息系统。关键事件
5、调查。情境分析。过程审计。对健康和安全、质量、维护等进行定期检查和检验。研究项目计划、供应链等,发现可辨认的脆弱性。开展正式的风险评估。征求关键利益相关者和行业专家的意见。聘用第三方风险审计和风险管理顾问。风险来源风险来源 风险的主要类别风险的主要类别 战略风险战略风险产生于组织的愿景和方向,以及组织在某一行业、市场和/或地理区域的定位。运营风险运营风险产生于组织追求战略时所依靠的职能的、运营的和行政的程序。它们主要与组织的生产或服务交付运营有关。财务风险财务风险从内部来说,产生于企业财务结构;从外部来说,产生于与其他组织的财务交易。合规性风险合规性风险产生于确保遵守法律、法规和政策框架的需要
6、;以及组织或其供应链的不合规或不合法活动曝光引起的可能损失,包括信誉的、运营的和财务的处罚。其他一些风险类别其他一些风险类别 市场风险市场风险属于战略风险,产生于外部供应市场中的因素或变化。技术风险技术风险由于技术活力和技术陈旧、系统或设备故障、数据讹误或偷窃、新技术“初期困难”、系统的不兼容性(例如,当买方与供应商系统需要整合的时候)等引起的战略风险和运营风险。供应风险供应风险既是战略风险,又是运营风险,产生的原因包括:供应市场不稳定性和资源稀缺性、供应商故障、供应链破坏、供应链和物流的长度和复杂性,等等。信誉风险信誉风险分为财务风险和/或合规性风险两大类,产生的原因包括:组织或其供应链所做
7、出的不道德的、没有社会责任感的或破坏环境的活动。一些关键的战略风险一些关键的战略风险 战略风险领域战略风险领域危险(例如)危险(例如)经济风险供应商故障、供应链欠佳、供应或客户市场条件变化财务风险缺乏流动性,财务成本增加,投资风险,汇率损失,信用管理不到位,欺诈方向性风险或竞争风险竞争者的举措或反击;不适当战略引起的失败;核心能力的丧失;品牌的损失发展风险兼并或收购:财务风险、文化和系统不兼容战略外包:成本、不兼容、信誉损失、员工抵触国际化风险汇率损失;文化和法律差异;市场不熟悉;市场和网络准入受限;运输风险加大一般运营风险的例子一般运营风险的例子 一般运营风险区域一般运营风险区域风险减轻措施
8、的例子风险减轻措施的例子成本结构不合理,无法降低成本基数成本分析和重组分包或外包产品和服务需求不足(或过量)提高需求预测和管理水平改善客户关系调整市场营销组合供应商或外包提供者破产加强供应商的选择、评估、监督、绩效管理供应中断多供应源或后备供应源灵活的和适应性强的供应链管理生产中断(例如工业罢工、设备故障引起)预防性的和应急的规划保险健康、安全和福利问题健康与安全政策、惯例、设备、培训、保险无效的系统、流程和管理过程审计、基准计划、企业流程再造(BPR)或持续改进(kaizen)内部风险的例子内部风险的例子 人员个性因素。文化价值观和行为准则。团组动力学。人的差错和不成熟。企业管理。恶意的活动
9、。技术、设备或系统崩溃。安全风险。缺乏内部控制。工作场所危险。雇员关系欠佳。关键人才和知识的流失。外部环境外部环境 它既是威胁,也是机会。它是组织所需资源的供应源。它包含了对组织活动试图施加影响或有权施加影响的利益相关者。STEEPLE框架框架 因素因素社会文化因素(S)(变化是如何影响客户、供应商或其他利益相关者的需求或期望的?)技术因素(T)(是否存在发展机会、或过时的风险?)经济因素(E)哪些因素会引起供应问题、合规性问题、市场压力和信誉风险?)环境因素(或生态因素)(E)(变化是如何影响产品需求和/或输入供应及成本的?)政治因素(P)(政策或政策变化的可能含义是什么?)法律因素(L)(
10、组织为了做到合规,需要如何适应政策和惯例呢?)道德因素(E)(哪些问题会造成市场压力或信誉风险?)衰退风险的应对措施衰退风险的应对措施 行动行动工具和技术工具和技术战略的战略的更新供应链风险管理计划理解主流供应市场中的变化与关键供应商沟通风险分析、风险应对计划五种力量(竞争环境)、STEEPLE分析共同需求规划、共同降低成本、财务分析战术的战术的支持供应商的现金流按时支付、尽早付款折扣、在线折扣谈判确保质量不会降低加强对交付货物的检验与供应商讨论质量问题考虑QA现场访问来验证供应商适当类别的最优价格例如利用电子拍卖、杠杆谈判管理价格波动在上升中的市场,用固定价交易来保证低价利用升级和降级条款波
11、特的五力模型波特的五力模型桑德斯的全面环境因素模型桑德斯的全面环境因素模型 风险评估风险评估风险=可能性(概率)*影响(负面的后果)风险可能性(风险可能性(Risk likelihood)是指在假定风险性质和当前风险管理做法的情况下发生的概率。风险影响(风险影响(Risk impact)是给组织造成的可能损失或成本,或者对组织完成其目标的能力可能的影响水平。风险评估栅格风险评估栅格 定性的风险矩阵定性的风险矩阵 风险分析矩阵风险分析矩阵 对可能性和影响进行评分对可能性和影响进行评分 可能性的分值可能性的分值影响的分值影响的分值1 行业内从未发生过1 没有可觉察出的影响2 行业中发生过,但在本集
12、团中从未发生2 如果发生,会耗费这一商业单元净资产的10%3 在本集团中发生过,但从未在本商业单元中发生3 如果发生,会彻底摧毁这一商业单元4 在本商业单元中偶尔发生过4 如果发生,会耗费集团净资产的10%5 经常在本商业单元中发生5 如果发生,会彻底摧毁这一集团情形分析情形分析 利用头脑风暴法或团组研讨会,以激发对企业或供应链、行业或市场、或更广外部环境中问题和可能性的识别 描述或计算机模拟某情形中的关键变量 改变所选变量并观察对其他变量和对总体结果的影响 创建最优的、最可能的和最坏的情形来测量影响。概率分布概率分布 类型类型要点要点应用示例应用示例二项分布只有两个结果的离散事件概率(p或q
13、:例如成功或失败,具有或不具有某种属性,答案是“是”或“否”,事件会或者不会发生)。P(p+q)=1所以,如果P(p)=1/2,则P(q)=1-1/2=1/2某一批次包含缺陷品或非缺陷品的概率;含缺陷数等于x或不等于x的概率客户购买或不购买某一品牌项目成功或失败;准时或延迟交付泊松分布一个离散事件(p)在事件序列或试验序列(n)中的概率。如果该事件在一个单独试验中发生概率较小、且试验的总数非常大,则采用泊松分布质量控制:例如,在一定长度的电缆上或在一定时间期间出现缺陷(或者不出现缺陷)。风险评估:在给定时间间隔发生问题或成败。正态分布概率范围,以及它们发生的可能性有多大,基于:连续的历史数据,
14、形成一个频率分布,用直方图来呈现“如果缺陷是正态分布的,计算每次交付中出现3到7个缺陷品(容忍水平)的概率。”决策树分析决策树分析风险价值(风险价值(VaR)确定公司估算损失的时间范围。选择所要求的可信度。利用历史市场数据,结合前面市场状况的评估,建立可能的投资回报的概率分布。计算VaR估算值。风险登记簿的目的或好处风险登记簿的目的或好处 将有关已识别风险的所有分析和决策,集中到一个调节的、集中的(但可访问的)数据存储器中。提供一个模板文档,使风险信息得以系统性地记录下来,并且是用标准的格式,以便于分析与使用。在组织上下建立风险可视度,包括当前风险状态和暴露的直接可视性。明确风险监督和管理的职
15、责。提供一个风险监督、管理和检查活动的框架。为分配风险监督、管理和检查所需的资源提供基础,并且为风险管理的商业论证奠定基础。促进(或者充当一个工具)关键内部、外部利益相关者对于风险问题的沟通。向项目发起人、合同经理和其他被委任的风险责任人提供一个文档化的框架,根据这一框架,生成风险状态报告。风险登记簿模板风险登记簿模板 识别每个风险的唯一参考号或代码数字 风险类型和性质的说明 风险被第一次识别出来的日期 风险责任人。风险事件发生的概率。风险事件如果发生所造成的影响、成本或后果。为了减小概率或减少影响,或者兼而有之,明确的可能应对措施或减轻措施。选择的风险减轻措施及其效果(如果有的话)。定期更新
16、每个风险的状态信息。直线经理的职责直线经理的职责 制订和/或实施组织已制定的风险政策和程序。落实遵守风险减轻的规章和计划。加强风险意识文化。报告风险事件。收集有关危险、脆弱性和风险的信息。采购和供应职能的作用采购和供应职能的作用 监督、识别和评估供应链、供应商和供应市场风险。开展供应商资格预审和评估,将供应商风险降至最低。签订合同,利用合同条款将商务和供应风险降至最低。以一种将财务、项目、运营和信誉风险降至最低的方式,管理合同、供应商和供应商绩效。为战略决策风险评估提供信息和专长。给跨职能项目团队提供信息和专长。管理组织外部开支的商务和财务风险。管理采购合同和其他供应结构及关系中内在的风险。公
17、共领域的风险管理角色公共领域的风险管理角色英国公共部门机构的活动受到许多有影响力的团体的监督和指导。英国财政部。英国国家审计办公室。审计委员会。公共会计委员会(PAC)。政府采购办公室(OGC)。风险管理周期风险管理周期 风险管理战略风险管理战略(4个个T)容忍容忍(或接受)风险(Tolerate)如果评估后风险的可能性或影响可以忽略不计(或者没有可行的方法来降低风险),那么当下就不需要或者没有理由采取进一步的措施。转移转移(或者分散)风险(Transfer)例如通过购买保险,或者不要把所有鸡蛋放在同一个篮子里;或者利用合同条款,确保风险事件成本由供应链伙伴承担或分担。终结终结(或者避免)风险
18、(Terminate)如果与某一具体项目或决策有关的风险太大,并且不可能减轻的话,组织可以考虑不投资或不参与到这项活动或机会中。处理处理(减轻、最小化或控制)风险(Treat)采取积极的步骤对风险进行控制,将风险可能性或潜在影响减少或最小化,或者同时将二者减少或最小化。控制的运用控制的运用 预防性控制(预防性控制(Preventative controls)目的是限定负面结果发生的概率。指导性控制(指导性控制(Directive controls)目的是确保达到预期的结果。探测性控制(探测性控制(Detective controls)目的是确定何时发生了没预料到的风险事件。纠正性控制(纠正性控
19、制(Corrective controls)目的是:一旦发生没预料到的结果,就着手减轻其后果。外部风险报告外部风险报告 法规要求 外部利益相关者的期望。组织自己的治理、企业社会责任(CSR)和风险管理政策。有计划的、自愿的披露所带来的信誉和其他好处。ISO31000:风险管理:风险管理 风险管理创造并保护价值。风险管理是组织流程不可分割的一个组成部分。风险管理是决策的组成部分。风险管理明确地解决不确定性问题。风险管理是系统的、结构化的和及时的。风险管理建立在最好的可利用信息的基础之上。风险管理是因具体情况而异的。风险管理将人的因素和文化因素考虑在内。风险管理是透明和包容的。风险管理是动态的、重
20、复的并对变化有所响应的。风险管理促进持续改进和提高。ISO31000原则总结原则总结 保持一个有效的保持一个有效的SMS 安全管理政策;目标和指标;以及计划 安全管理结构 安全管理能力 安全计划:风险识别与评估;制定控制措施 法律和法规要求 文件、数据和信息系统与控制 运营控制措施;应急计划和程序;安全响应程序。监督和测量安全绩效 审计并评估SMS,寻求持续改进。风险战略过程风险战略过程 战略性的风险计划框架战略性的风险计划框架 第一部分:介绍和目的 第二部分:目标、原则和实施 第三部分:风险识别 第四部分:风险分析与评估 第五部分:风险处理 第六部分:风险检查与汇报 对于那些涉及整个组织,或
21、者风险严重程度超过指定阈值的问题和活动,考虑相应的风险管理政策。评审并同意组织中的风险管理过程,包括风险意识培训。对于新出现的战略和运营风险,向董事会报告;对于较低水平(“焦点”)的风险,向有关职能的直线经理汇报。检查并更新风险登记簿,并且在某一给定的时点对组织面临的所有风险进行回顾。支持风险管理,确保在组织范围内共享最佳实践。风险管理委员会的职责风险管理委员会的职责文化网络文化网络 创建希望的风险文化创建希望的风险文化 高级管理层、领导人和有影响的人对新价值观的一致表述和模式化。在讨论新思想和行为的必要性时与员工沟通、对其教育和并让其参与,从而改变潜在的价值观和信仰。将想要的态度和行为植入政
22、策、程序、规定、系统、员工沟通、管理风格之中。利用人力资源管理机制来强化变革。为风险管理配备资源为风险管理配备资源 信息资源。人力资源。基础设施。技术资源。时间资源。物质资源。财务资源。让供应商参与让供应商参与 完全参与完全参与在供应网络的所有接触点,鼓励风险意识。跨职能合作跨职能合作开发一个整合的、以过程为中心的方法,用以跨内、外部价值链的风险识别和管理。供应链的协作与贡献供应链的协作与贡献:收集有关供应市场风险因素的信息收集供应商关于买方系统和流程所产生的风险因素的反馈通过谈妥的协议、规格和合同条款,合作努力将风险最小化供应商早期参与新产品和服务开发保护、激励和奖励供应商分担风险的意愿促进
23、供应链的信息流通对供应商在质量、道德和公司责任问题上的合规和勤奋进行保护、激励和管理。欺诈的两个主要类别欺诈的两个主要类别 挪用挪用组织现金或资产。故意虚假陈述故意虚假陈述企业的财务状况,以误导股东、税务部门或司法当局。判断欺诈有四个先决条件判断欺诈有四个先决条件 犯罪者必须有一个动机:即他之所以需要资金或者感到有权诈取组织的理由。必须具有值得偷窃的资产。必须有机会:来挪移资产,并从中获益(例如通过卖掉这些资产)。在内部控制或欺诈风险管理中一定存在不足。欺诈的不同类别欺诈的不同类别 网络欺诈 电话欺诈 被用于欺诈 盗用公司身份 小的欺诈 竞争者欺诈欺诈的示例欺诈的示例 挪用组织现金或资产挪用组
24、织现金或资产 故意虚假陈述故意虚假陈述 偷窃现金或库存。过分夸大利润 工资总支出欺诈 低估利润(为了避免纳税)采购欺诈 故意虚假陈述以便拿到合同。滥用资产 与客户串通来欺骗企业 与供应商串通来欺骗企业 欺诈预防措施欺诈预防措施 通过制定严谨的政策和对政策进行广泛地宣贯,使所有人清楚欺诈的定义和后果。建立应对欺诈的管理流程,包括管理证据的方式。尽可能减少零余现金报销,鼓励使用受到良好控制和管理的公司信用卡或采购卡。应用开支分析技术,以便达到清晰的可视性,跟踪并监督开支情况。贿赂和贪污方面的法律贿赂和贪污方面的法律英国贿赂法案2010包括:贿赂(Bribery)受贿 向国外公共官员行贿 商业组织未
25、能阻止行贿 执行尽职调查、记录保持和内部怀疑报告措施。不得做出任何可能侵害这类事件调查的事情,或者,如果有侵害这类事件调查的事情发生,要进行披露。向有关当局(重大有组织犯罪机构:SOCA)披露任何有关洗钱活动的见闻或嫌疑。洗钱的识别与预防洗钱的识别与预防规范道德行为规范道德行为 在“管理”岗位上工作,负责保管属于企业股东的资金和资产可能控制着非常大量的组织资金有许多机会为了个人收益进行资金欺诈或滥用系统、权力或信息在企业内担任受信任的职位在其与供应链伙伴和其他利益相关者打交道的过程中,对组织的立场、可靠性和信誉负责。负责拟定和管理商业合同与关系的个人:CIPS 职业道德准则职业道德准则 会员不
26、得为私利使用授权。会员有责任维护采购职业与本学会的信誉(尊严与声誉),在自己所服务的组织之内与之外妥当行事。可能影响或被他人视为影响会员在履行其职责时公正性的任何个人利益,都应当申报。会员必须尊重信息的保密性,决不出于个人私利而使用所收到的信息。在履行职责的过程中所提供的情报应当真实而公平。会员应当避免可能妨碍公平竞争的任何安排。除了价值很小的物品之外,不得接受任何商业礼物。只能接受适度的款待。会员不得接受可能、或可能被认为会对商业决策产生影响的款待。由一位级别较高的执行官控制。在关键岗位上缺乏足够的控制。缺乏来自外部审计员的独立审查。缺乏内部控制。董事不了解股东和其他关键利益相关者的观点和利
27、益。董事的利益与公司战略目标不一致。董事向利益相关者提供的质量信息不准确。组织治理中的风险与问题组织治理中的风险与问题联合准则联合准则 财务报告董事会应该在年度报表和其他报告(例如中期报告或管理报告)中对公司状况和前景做出平衡的和可理解的评估。内部控制应该维持一个良好的控制体系,并且董事会应该每年检查一次有效性,并向股东报告他们的完成情况。审计关于财务报告和内部控制原则的应用,应该与公司审计员有正式的、清楚的约定。合规情况公司必须在其报表中反映,他们是如何运用了这些原则,从而让股东评估他们运用的效果。萨班斯萨班斯-奥克斯利法案奥克斯利法案(Sarbanes-Oxley Act)内部控制必须确保
28、任何有关财务效益的信息材料都通报首席执行官员(CEO)和首席财务官(CFO),CEO和CFO返过来要向投资者证明,控制是符合法规要求的,而且财务报告清楚地呈现了公司的状况。由独立董事审计委员会批准的一名独立审计员须为这样的报表作证。为了保护经济效益和可持续性,还要求审计委员会对控制进行监督,并建立财务风险管理和评估政策(包括有关可持续性的风险)。合同失败风险合同失败风险潜在供应商和/或已签约供应商的生产能力和生产率当前合同和其他客户所占用的供应商生产能力百分比突发需求的可能性(造成生产能力负荷过大)供应商交付前置期以及进度是否存在“时差”或弹性影响供应链或个别供应商的供应风险,以及风险管理和应
29、急计划的效果 规格、合同条款和买方期望的准确性和清晰性供应链质量保证的脆弱性(特别是当公差很小的时候)进度安排与预测的准确性合同双方与利益相关者之间共享信息的质量、可靠性和透明度成本管理;影响成本的内、外部因素;双方议定的价格安排是怎么样的项目和合同管理的有效性。法律风险法律风险 合同制订得不合理以及签约流程不完善合同制订得不合理以及签约流程不完善。没有得到很好控制的没有得到很好控制的“条款之战条款之战”,这样大家就不清楚,哪套标准条款(是供应商的,还是买方的)适用于合同,或者所采用的一套标准条款对另一方很不公平。合同管理和变更控制不到位合同管理和变更控制不到位。缺乏足够的知识产权保护缺乏足够
30、的知识产权保护。合同履行过程中产生的伤害、经济损失、财产损害或法律赔偿等一类问题所造成的损失责任问题责任问题。与供应商的商业或合同争端引起的成本和关系损失商业或合同争端引起的成本和关系损失。谈判风险谈判风险 即使买方成功“赢得”谈判(获得了直接的、基于任务的价格或交易目标),这一谈判过程日后也会对供应商的承诺、买方作为一个好客户的状态或信誉以及长期的买方与供应商关系等造成危害性的后果。在采用零和或“非赢即输”方法的情况下,遭受谈判失败的风险。做出不可接受的或不可行的让步的风险。走入死胡同的风险。如果谈判风险是“非赢即输”的,还会导致与另一方的敌对关系。谈判团队内部的冲突或有分歧的战术削弱了谈判
31、地位。道德和信誉风险。合规风险。财务风险财务风险 内部财务风险 在确定或谈判合同价格的时候缺少价格或成本的分析 缺乏合同生命周期内的预算或成本控制与管理,导致成本超支和利润的丧失 财务控制和采购程序或支付程序的设计缺陷或者执行不力,导致财务欺诈的风险 由于签约中的漏洞或者合同不履行招致的财务罚款 对合同或项目的投资资金巨大,投资评估却不充分,缺乏全生命期成本计算,或者贷款的资金成本过高 缺乏流动性:没有留出足够的可利用现金来支付短期债务 没有根据信用表现和财务实力进行合理的信用评级,使得获得信用和/或贷款资金出现困难或代价过高。财务风险财务风险 外部财务风险 宏观经济因素。供应商的财务实力、稳
32、定性和总体的“健康状况”。管理汇率风险管理汇率风险 通过让供应商用买方国家货币报价,买方能够把风险转移给供应商。如果波动不是那么剧烈,就有可能估算支付时适用的汇率,并据此协商价格。双方协商一致在合同签订时付款,不用等到日后的交付时再付,这是有可能做到的。另一个方法是利用现有货币管理工具,例如外汇期货合同,进口商可以借此回避风险。如果汇率风险很大,买方可能不得不考虑暂时从从其他的稳定货币市场进行采购。财务信息的来源财务信息的来源 他们公布的财务报告和报表:资产负债表、损益表和现金流量表。市场和供应商的二手数据。信用评级公司。与其他使用相同供应商的买方形成的人际网。邀请供应商的财务执行官向采购和财
33、务经理介绍其当前和预测的财务状况。在合同签订之前,尽职调查以搞清楚供应商财务稳定性和效益。在合同生命期内监测财务比率和指标。设定财务标杆,在合同中规定如果没有达到标杆的标准,供应商应尽早通知。要求对于关键应急因素进行监督和通知。提示或及早按供应商发票付款,并鼓励一级供应商对更低级别的供应商也这么做。用如下方式帮助关键的供应商,例如资金贷款或资产借款、分期付款、财务管理建议或其他供应商发展措施。供应商财务困难的减轻措施供应商财务困难的减轻措施“合适的质量合适的质量”符合用途(符合用途(Fitness for purpose or use)即产品达到所设计的和所期望的功能的程度;更一般地讲,就是满
34、足客户需求的程度。与要求或规格的一致性与要求或规格的一致性即产品符合规格所设定的特色、特性、性能和标准。相对卓越性(相对卓越性(Comparative excellence)与竞争标杆(其他产品)、最佳实践或卓越标准相比,产品的优点有哪些。质量损失成本质量损失成本内部损失成本内部损失成本 生产或检验过程中发现的缺陷产品的损失或返工无法修理、使用或出售的缺陷产品的废弃已返工或修理的产品的再次检验产品以更低的售价“降级”出售,引起销售收入的损失由于追加存储并重复工作,持有应急存货(以应对废弃品和延迟)所引发的浪费调查故障起因(故障分析)所需的各种活动的时间和成本。外部损失成本外部损失成本 为了收集
35、和/或处理退回的产品所发生的“逆向物流”成本维修或更换有缺陷产品的成本或对不适当的服务进行重做的成本客户根据担保或保证要求赔偿的成本。处理投诉、处理退款等的管理成本。丧失客户忠诚度和未来销售额的成本。对声誉带来的损害。质量管理质量管理组织的客户们相信该组织有能力提供满足客户需求与期望的产品与服务;通过改进过程控制和减少浪费,一贯地和有效地实现组织的质量目标;通过清晰的期望与过程要求,提高员工的能力、培训和道德水准;一旦取得质量效果,能够继续保持:坚持学习与良好实践,使之不会因为缺乏归档、实施和一贯性而中断。质量管理体系(QMS)旨在:SERVQUAL“服务差距服务差距”模型模型差距差距解释解释
36、风险减轻措施风险减轻措施采购方及供应商对质量的不同感受之间的差距供应商对质量含义的理解可能与采购方不同。采购方及供应商需要共同协作,达成对规格及服务水平协议的共识。概念与规格之间的差距缺乏资源或制定规格的技能很差都可能会导致采购方的需要或供应商的概念不能被完整、准确地转换成采购方或供应商的规格。采购人员需要和使用者及供应商合作,共同制定能够准确反映他们的需要和期望以及供应商最大能力的服务规格。规格与绩效的差距供应商一方的规格及服务水平协议没有转换成实际的服务水平(例如,由于运营失误)。采购方需要预先评估供应商的生产能力和交付能力(例如,从其他客户那里获得参考意见;在签正式合同之前,上马“试点”
37、项目等。)沟通与绩效的差距供应商的沟通交流可能会导致不准确的质量期望。采购者需要对服务提供者给出的信息加以证实。采购者的期望与获得的服务之间的差距采购者或使用者感到自己真正获得的和他们所期望获得的之间可能存在着差距。采购者需要对使用者期望和感受进行管理,尽可能用客观的标准来明确服务绩效。供应风险供应风险 买方在供应商评估、评价和选择流程方面不完善。买方和供应商在合同与绩效管理方面的流程不完善。未预料到的需求水平。未预料到的环境因素导致的材料短缺或价格波动。没有很好管理合同执行问题。过分“精益”的供应链。对供应品和存货的物理安全规定不详细。天灾或人祸。市场风险,例如工业罢工、财务不稳定性。大宗商
38、品风险,例如政治动乱对原油或天然气价格造成的影响。运输风险,包括天气、堵车或政治动乱所引起的延迟、运输路线中断。缺乏对识别出的风险吸取经验教训和持续改进。安全风险识别和评估模板安全风险识别和评估模板 风险风险问题问题 建筑物企业是否拥有制造或仓储建筑物?公司建筑物是否易于被公众接近,或者被许多人参观?信息你的文书或计算机数据是否对竞争者有经济价值?间谍活动企业运营所处的市场是否在经历时尚或技术上的进步?知识产权它是否有发明、商标或知名品牌的名称?对建筑物的攻击它是否雇佣了大量的人?篡改公司是否在销售快速消费品(FMCG)?国际的你的执行官是否到不稳定的发展中国家旅行?公司是否在不稳定的发展中国
39、家拥有资产?检查公司是否没有执行安全检查?总分数:总分数:每打一个对钩就得每打一个对钩就得1分分分数:0-3分:低风险。4-6分:适度风险。7-10分:高风险。供应链关系风险供应链关系风险独家供应源搜寻(独家供应源搜寻(Sole sourcing)安排)安排和单供应源搜寻单供应源搜寻(single sourcing)安排)安排。外包安排外包安排。长期伙伴关系长期伙伴关系。供应商分级供应商分级。供应商转换供应商转换或投机性采购。供应风险减轻措施供应风险减轻措施 供应商评估与选择。供应链管理。需求和库存管理。物流管理。合同拟定与管理。保险。外包的正面和负面风险外包的正面和负面风险 优势优势/机会机
40、会劣势劣势/风险风险支持组织的合理化和规模削减:减少人员配备、空间和设施成本可能更高的服务、分包和管理成本:需要与内部提供的成本进行对比,考虑可能失去对成本的控制允许组织将管理、人员和其他资源投资集中到组织核心业务和能力上难以确保服务的质量和一致性以及企业社会责任:监管困难且费用大(特别是在海外)可以借助承包方的专业知识、技术、以及资源,对于非核心活动这样可以比组织自行承担增加更多的价值有可能失去企业自己在服务领域中的专长、知识、联系、或者技术,而这些将来也许还会用到由于承包商可能会服务许多客户,从而获得规模经济(并且抹平需求波动)可能对绩效和风险关键领域失去控制:过分依赖供应商可以施行竞争性
41、的绩效激励,而内部服务提供者却可能不思进取多出服务提供商这一层拉长了与客户或最终用户之间的距离:这可能弱化与外部或内部客户之间的沟通和联系,并且丧失市场知识利用合作型的供应关系,并且支持合作或伙伴关系带来的协同效应(2+2=5)可能被不兼容或绩效不佳的合作关系所绑定:文化或伦理观的不兼容,关系管理困难,承包商缺乏灵活性,利益冲突,自满或不再以客户为中心对于需求和成本不确定或波动的业务,成本变得确定了(即协商的合同价格):共担财务风险对机密数据和知识产权失去控制的风险业务转移或停止引发的道德和员工关系问题如果外包失败,可能会面临内部提供的风险、成本和困难外包风险的管理外包风险的管理 外包决策需要
42、以清晰的目标和可测量的收益为基础,并进行严密的成本收益分析。由于外包关系是一种长期合作伙伴关系,因此需要严格选择供应商。严格的供应商签约过程,这样风险、成本和责任得以公平地、清晰地分配,而且清晰地界定预期的服务水平。清晰的和协商一致的服务水平、标准和关键绩效指标。对服务交付和质量进行连贯的和严格的监督。持续的合同和供应商管理,确保遵守合同、发展关系、建设性地解决争端。合同评审,从合同执行过程中汲取教训。长期供应关系长期供应关系买方的收益买方的收益良好的跟踪记录带来了信任供应商在需求方面的知识可以使之提供更好的服务,做出合作改进数据和计划共享促进了迅速的计划、产品与服务的合作开发随着时间的推移,
43、质量问题得到解决:全面的技术专长可以提高质量减少了供应商评估与选择、签约、交易和争端等方面的成本在面临材料短缺、紧急需求的时候,供应商可能给予优待供应商有动力在研发、低成本解决方案和质量改进等方面进行投资供应商受到激励,提供可靠的绩效可以将系统逐步集成以提高效率长期供应关系长期供应关系 买方的风险买方的风险供应商的不思进取对供应商的依赖可能会削弱谈判力量依赖性会增加组织在面临供应商破产或供应中断(例如罢工、灾难)时的脆弱性遭受连带声誉损失的脆弱性(例如供应商缺乏道德)在一体化方面的投资提高了转换供应商的成本合作增加了对机密数据、知识产权失去控制的风险优先级或采购频度可能无法保证对合作的投资如果
44、供应商变得不合适或不配合,则有可能浪费投资网络攻击与数据偷窃网络攻击与数据偷窃 黑客(Hacking)是指对数据系统的非授权访问,常常是通过绕过安全系统实现的。病毒(Viruses)和其他形式的恶意软件旨在利用系统脆弱性和滥用数据的恶意程序。网络钓鱼(Phishing)常常是在电子邮件中,通过伪装成受信任的实体,试图骗取有关信息。新技术的实施新技术的实施 目标对于变更,是否存在足够的理由和商业论证?人员我们是否能够促使全体职员和组织文化很好地应对变更?关系我们是否能够处理好新系统实施过程中产生的关系变化?技术在组织内部,我们是否拥有足够的专长,或者是否能从外部获取足够的知识?财务是否对项目做过
45、财务评估?权力新系统是否将一个部门或个人的权力转移到了另外一个部门或个人呢?信息风险信息风险 来自知识产权的非授权访问和敏感经济数据的组织知识资产风险。与组织共享资源的其他各方滥用数据导致的组织知识资产和经济优势等方面的风险。数据完整性和安全方面的风险。系统故障与相关的数据丢失。对法律和合同规定的遵守风险。由于缺乏变更控制规程,使数据的完整性和价值面临着风险。管理信息系统、外部网、合同数据库和其他有关系统的设计和实施存在风险和没有效率。关键人员的流动,以及他们的知识产权和/或知识的流失 通过某些职能外包给外部供应商导致的组织知识、信息和能力的丧失。风险减轻措施风险减轻措施 在系统设计阶段进行风
46、险识别与评估。针对新系统的系统测试与转换安排。硬件、软件和外围设备的预防性维护、维修、更新和替换。保证所有买方的和供应商的信息系统都经受了强大的访问控制。有效和安全使用信息系统的规定和规程。存储数据的备份规程。系统维护、应急计划和备份系统。数据库管理。对合同变更、变化、版本和更新等的规程与控制。内部控制、检查和平衡,防止数据或资金的滥用与欺诈。保护知识产权。在合同执行过程中交流的商业敏感数据的机密性。根据有关法律的要求对员工进行培训。对增值的知识和信息等进行归档。一个典型的一个典型的IA项目的步骤项目的步骤 系统风险评估系统风险评估识别要保护的信息资产、脆弱性和各种威胁;已识别风险的概率和影响
47、分析。制定风险管理计划制定风险管理计划提出应对措施来应对已识别风险。风险管理计划的协议、实施、测试和评估协议、实施、测试和评估常常借助于系统审计来完成。要连续地收集和检查绩效数据,这样可以根据绩效缺口或新出现的风险,按需要持续地修订风险管理计划。符合道德的供应源搜寻符合道德的供应源搜寻 在采购中促进公平、公开、透明的竞争。利用供应源搜寻政策来促进积极的社会与经济目标。符合道德要求生产的输入品的规格与采购。在供应链所有层次上,以促进合乎道德的贸易、环境责任和的劳动标准的方式,选择、管理和发展供应商。承诺促进供应链中工作条件的改善。承诺支持供应商可持续的利润获取,确保公平的价格沿着供应链返回到供应
48、商那里。坚持有关机构的道德框架和行为准则。承诺遵守关于消费者、供应商和工人保护的所有相关法律、法规。不道德行为会导致与受到不善对待的利益相关者关系恶化。由不道德行为引起的利益相关者关系不和,也会丧失在绩效、创新、合作和协同效应等方面的机会、价值和利润。对职工和供应商的不平等待遇会使组织难于吸引、挽留并激励他们去提供优质服务和承诺。不道德行为会招致更加严格的法规、媒体和压力集团的监督,这加大了信誉风险和合规风险。不道德行为的曝光会危害到信誉。违法行为会引起额外的合规和法律风险。组织为什么应该负起社会责任?组织为什么应该负起社会责任?CSR和道德风险概览和道德风险概览 CSR和道德风险和道德风险减
49、轻战略事例减轻战略事例对不负责任行为的财务惩罚和运营处罚(例如“污染者支付的”税金,诉讼成本,清洁成本)制订并贯彻CSR目标、政策和实践准则由于不公平、抗议、“经营许可证”吊销等导致的社会、政治或经济不稳定性通过供应链,鼓励CSR做法(例如通过供应商选择、供应商等级评定、批准的状态、合同KPI和罚金等)不可持续地使用资源,导致稀缺性和价格上涨对员工和供应链进行教育、培训和发展CSR问题对信誉和品牌的影响:失去客户忠诚度、品牌权益和信誉资本CSR和道德监督与汇报(特别是在脆弱性的领域,例如海外供应商)由于公众曝光,销售额、利润、股东价值、信用评级等受到损失分享最佳实践,例如与CSR领袖对标丧失首
50、选雇主或交易伙伴地位:对可靠性、关系、资源造成损害CSR和道德论坛和工作组,鼓励以CSR为中心的沟通“三重底线三重底线”(Triple Bottom Line)经济可持续性(利润)盈利性,可持续的经济绩效及其对社会的效益(如就业、货物和服务的可获得性、纳税、社区投资、等等)环境的可持续性(地球)可持续的环境措施,要么有益于自然环境,要么对自然环境的不良影响最小化。社会可持续性(人)即对劳动力和企业运作所处的社会都是公平的和有益的商业实践。环境威胁环境威胁 大气排放物。水排放。固体废弃物。拥有(或者获取)环境遭到损害的资产,例如土地。生产、使用和/或运输有毒的或危险的材料。消费化石燃料或者由化石
