《{企业风险管理}L5供应链风险管理讲义》由会员分享,可在线阅读,更多相关《{企业风险管理}L5供应链风险管理讲义(201页珍藏版)》请在金锄头文库上搜索。
1、供应链风险管理,CIPS采购与供应高级文凭 Advanced Diploma in Procurement and Supply,不确定性的来源,易变性 是指某一可测量因素可能是一系列可能值中的某一个值的情形。因为某一情形可能演化或发展出许多可能的方式,所以就产生了不确定性。 含糊性 含义的不确定性。由于关于某一情形的信息存在多种解释方法,所以产生了不确定性。,风险事件,打击(Shocks) 对组织造成创伤和瓦解的无法预知的事件。 危机(Crises) 预示要造成对组织及其利益相关者、声誉有重大损害或损失的重大事件。 灾难(Disasters) 对组织或供应链赖以生存的基础设施造成重大损害,从
2、而使其运营严重中断的重大自然或人为事件。,风险与回报计算,最理想的商业机会是低风险、高回报的但这些机会通常是不容易获得的。 高风险、低回报的项目不可能有吸引力。 低风险、低回报的项目可能比较适合处于稳定环境中的非常稳定的、官僚式的组织。 公司能够影响回报的水平和/或风险水平。,风险偏好,公司风险偏好 是指从战略层级上判断得出的合理风险总量。 授权的风险偏好 是指同意的公司风险偏好(就组织不同组成部分的风险水平达成一致),它沿着组织结构一级一级传导下去。 项目风险偏好 项目的风险偏好也落在组织日常政策和决策范围之外。,未得到控制的风险的结果,风险管理的益处,避免风险事件、打击和危机等因素引起的成
3、本或将这些因素最小化。 避免没有成功实施风险减轻措施所引起的成本或将其最小化。 避免生产和收入流的中断。 通过减轻供应链的脆弱性,保障供应安全 保护市场份额。 提高企业和供应链弹性。 保护组织关键人力资源。 使组织吸引并挽留高素质的员工、供应商和风险伙伴。 帮助管理层客观地判断哪些风险值得应对以及哪些应该加以规避。 提高制订战略、政策和决策的水平。 促进组织和供应链的合作。 提高利益相关者的信心和满意度。,风险识别,风险顾问对出版的学术研究结果和报告的追踪。 环境扫描与公司评估(STEEPLE和SWOT分析)。 范围扫描。 监测同类组织中的风险事件。 市场情报收集和管理信息系统。 关键事件调查
4、。 情境分析。 过程审计。 对健康和安全、质量、维护等进行定期检查和检验。 研究项目计划、供应链等,发现可辨认的脆弱性。 开展正式的风险评估。 征求关键利益相关者和行业专家的意见。 聘用第三方风险审计和风险管理顾问。,风险来源,风险的主要类别,战略风险 产生于组织的愿景和方向,以及组织在某一行业、市场和/或地理区域的定位。 运营风险 产生于组织追求战略时所依靠的职能的、运营的和行政的程序。它们主要与组织的生产或服务交付运营有关。 财务风险 从内部来说,产生于企业财务结构;从外部来说,产生于与其他组织的财务交易。 合规性风险 产生于确保遵守法律、法规和政策框架的需要;以及组织或其供应链的不合规或
5、不合法活动曝光引起的可能损失,包括信誉的、运营的和财务的处罚。,其他一些风险类别,市场风险 属于战略风险,产生于外部供应市场中的因素或变化。 技术风险 由于技术活力和技术陈旧、系统或设备故障、数据讹误或偷窃、新技术“初期困难”、系统的不兼容性(例如,当买方与供应商系统需要整合的时候)等引起的战略风险和运营风险。 供应风险 既是战略风险,又是运营风险,产生的原因包括:供应市场不稳定性和资源稀缺性、供应商故障、供应链破坏、供应链和物流的长度和复杂性,等等。 信誉风险 分为财务风险和/或合规性风险两大类,产生的原因包括:组织或其供应链所做出的不道德的、没有社会责任感的或破坏环境的活动。,一些关键的战
6、略风险,一般运营风险的例子,内部风险的例子,人员个性因素。 文化价值观和行为准则。 团组动力学。 人的差错和不成熟。 企业管理。 恶意的活动。 技术、设备或系统崩溃。 安全风险。 缺乏内部控制。 工作场所危险。 雇员关系欠佳。 关键人才和知识的流失。,外部环境,它既是威胁,也是机会。 它是组织所需资源的供应源。 它包含了对组织活动试图施加影响或有权施加影响的利益相关者。,STEEPLE框架,衰退风险的应对措施,波特的五力模型,桑德斯的全面环境因素模型,风险评估,风险 = 可能性(概率)* 影响(负面的后果) 风险可能性(Risk likelihood)是指在假定风险性质和当前风险管理做法的情况
7、下发生的概率。 风险影响(Risk impact)是给组织造成的可能损失或成本,或者对组织完成其目标的能力可能的影响水平。,风险评估栅格,定性的风险矩阵,风险分析矩阵,对可能性和影响进行评分,情形分析,利用头脑风暴法或团组研讨会,以激发对企业或供应链、行业或市场、或更广外部环境中问题和可能性的识别 描述或计算机模拟某情形中的关键变量 改变所选变量并观察对其他变量和对总体结果的影响 创建最优的、最可能的和最坏的情形来测量影响。,概率分布,决策树分析,风险价值(VaR),确定公司估算损失的时间范围。 选择所要求的可信度。 利用历史市场数据,结合前面市场状况的评估,建立可能的投资回报的概率分布。 计
8、算VaR估算值。,风险登记簿的目的或好处,将有关已识别风险的所有分析和决策,集中到一个调节的、集中的(但可访问的)数据存储器中。 提供一个模板文档,使风险信息得以系统性地记录下来,并且是用标准的格式,以便于分析与使用。 在组织上下建立风险可视度,包括当前风险状态和暴露的直接可视性。 明确风险监督和管理的职责。 提供一个风险监督、管理和检查活动的框架。 为分配风险监督、管理和检查所需的资源提供基础,并且为风险管理的商业论证奠定基础。 促进(或者充当一个工具)关键内部、外部利益相关者对于风险问题的沟通。 向项目发起人、合同经理和其他被委任的风险责任人提供一个文档化的框架,根据这一框架,生成风险状态
9、报告。,风险登记簿模板,识别每个风险的唯一参考号或代码数字 风险类型和性质的说明 风险被第一次识别出来的日期 风险责任人。 风险事件发生的概率。 风险事件如果发生所造成的影响、成本或后果。 为了减小概率或减少影响,或者兼而有之,明确的可能应对措施或减轻措施。 选择的风险减轻措施及其效果(如果有的话)。 定期更新每个风险的状态信息。,直线经理的职责,制订和/或实施组织已制定的风险政策和程序。 落实遵守风险减轻的规章和计划。 加强风险意识文化。 报告风险事件。 收集有关危险、脆弱性和风险的信息。,采购和供应职能的作用,监督、识别和评估供应链、供应商和供应市场风险。 开展供应商资格预审和评估,将供应
10、商风险降至最低。 签订合同,利用合同条款将商务和供应风险降至最低。 以一种将财务、项目、运营和信誉风险降至最低的方式,管理合同、供应商和供应商绩效。 为战略决策风险评估提供信息和专长。 给跨职能项目团队提供信息和专长。 管理组织外部开支的商务和财务风险。 管理采购合同和其他供应结构及关系中内在的风险。,公共领域的风险管理角色,英国公共部门机构的活动受到许多有影响力的团体的监督和指导。,英国财政部。 英国国家审计办公室。 审计委员会。 公共会计委员会(PAC)。 政府采购办公室(OGC)。,风险管理周期,风险管理战略 (4个T),容忍(或接受)风险(Tolerate) 如果评估后风险的可能性或影
11、响可以忽略不计(或者没有可行的方法来降低风险),那么当下就不需要或者没有理由采取进一步的措施。 转移(或者分散)风险(Transfer) 例如通过购买保险,或者不要把所有鸡蛋放在同一个篮子里;或者利用合同条款,确保风险事件成本由供应链伙伴承担或分担。 终结(或者避免)风险(Terminate) 如果与某一具体项目或决策有关的风险太大,并且不可能减轻的话,组织可以考虑不投资或不参与到这项活动或机会中。 处理(减轻、最小化或控制)风险(Treat) 采取积极的步骤对风险进行控制,将风险可能性或潜在影响减少或最小化,或者同时将二者减少或最小化。,控制的运用,预防性控制(Preventative co
12、ntrols) 目的是限定负面结果发生的概率。 指导性控制(Directive controls) 目的是确保达到预期的结果。 探测性控制(Detective controls) 目的是确定何时发生了没预料到的风险事件。 纠正性控制(Corrective controls) 目的是:一旦发生没预料到的结果,就着手减轻其后果。,外部风险报告,法规要求 外部利益相关者的期望。 组织自己的治理、企业社会责任(CSR)和风险管理政策。 有计划的、自愿的披露所带来的信誉和其他好处。,ISO31000:风险管理,风险管理创造并保护价值。 风险管理是组织流程不可分割的一个组成部分。 风险管理是决策的组成部分
13、。 风险管理明确地解决不确定性问题。 风险管理是系统的、结构化的和及时的。 风险管理建立在最好的可利用信息的基础之上。 风险管理是因具体情况而异的。 风险管理将人的因素和文化因素考虑在内。 风险管理是透明和包容的。 风险管理是动态的、重复的并对变化有所响应的。 风险管理促进持续改进和提高。,ISO31000原则总结,保持一个有效的SMS,安全管理政策;目标和指标;以及计划 安全管理结构 安全管理能力 安全计划:风险识别与评估;制定控制措施 法律和法规要求 文件、数据和信息系统与控制 运营控制措施;应急计划和程序;安全响应程序。 监督和测量安全绩效 审计并评估SMS,寻求持续改进。,风险战略过程
14、,战略性的风险计划框架,第一部分:介绍和目的 第二部分:目标、原则和实施 第三部分:风险识别 第四部分:风险分析与评估 第五部分:风险处理 第六部分:风险检查与汇报,对于那些涉及整个组织,或者风险严重程度超过指定阈值的问题和活动,考虑相应的风险管理政策。 评审并同意组织中的风险管理过程,包括风险意识培训。 对于新出现的战略和运营风险,向董事会报告;对于较低水平(“焦点”)的风险,向有关职能的直线经理汇报。 检查并更新风险登记簿,并且在某一给定的时点对组织面临的所有风险进行回顾。 支持风险管理,确保在组织范围内共享最佳实践。,风险管理委员会的职责,文化网络,创建希望的风险文化,高级管理层、领导人
15、和有影响的人对新价值观的一致表述和模式化。 在讨论新思想和行为的必要性时与员工沟通、对其教育和并让其参与,从而改变潜在的价值观和信仰。 将想要的态度和行为植入政策、程序、规定、系统、员工沟通、管理风格之中。 利用人力资源管理机制来强化变革。,为风险管理配备资源,信息资源。 人力资源。 基础设施。 技术资源。 时间资源。 物质资源。 财务资源。,让供应商参与,完全参与 在供应网络的所有接触点,鼓励风险意识。 跨职能合作 开发一个整合的、以过程为中心的方法,用以跨内、外部价值链的风险识别和管理。 供应链的协作与贡献: 收集有关供应市场风险因素的信息 收集供应商关于买方系统和流程所产生的风险因素的反
16、馈 通过谈妥的协议、规格和合同条款,合作努力将风险最小化 供应商早期参与新产品和服务开发 保护、激励和奖励供应商分担风险的意愿 促进供应链的信息流通 对供应商在质量、道德和公司责任问题上的合规和勤奋进行保护、激励和管理。,欺诈的两个主要类别,挪用组织现金或资产。 故意虚假陈述企业的财务状况,以误导股东、税务部门或司法当局。,判断欺诈有四个先决条件,犯罪者必须有一个动机:即他之所以需要资金或者感到有权诈取组织的理由。 必须具有值得偷窃的资产。 必须有机会:来挪移资产,并从中获益(例如通过卖掉这些资产)。 在内部控制或欺诈风险管理中一定存在不足。,欺诈的不同类别,网络欺诈 电话欺诈 被用于欺诈 盗用公司身份 小的欺诈 竞争者欺诈,欺诈的示例,欺诈预防措施,通过制定严谨的政策和对政策进行广泛地宣贯,使所有人清楚欺诈的定义和后果。 建立应对欺诈的管理流程,包括管理证据的方式。 尽可能减少零余现金报销,鼓励使用受到良好控制和管理的公司信用卡或采购卡。 应用开支分析技术,以便达到清晰的可视性,跟踪并监督开支情况。,贿赂和贪污方面的法律,英国贿赂法案2010包括:,贿赂(Bribery
