自考供应链风险管理.docx

供应链风险管理1.不确定性的来源易变性：是指某一可测量因素可能是一系列可能值中的某一个值的情形。因为某一情形可能演化或发展出许多可能的方式，所以就产生了不确定性。含糊性：含义的不确定性。由于关于某一情形的信息存在多种解释方法，所以产生了不确定性。 打击：对组织造成创伤和瓦解的无法预知的事件。 危机：预示要造成对组织及其利益相关者、声誉有重大损害或损失的重大事件。 灾难：对组织或供应链赖以生存的基础设施造成重大损害，从而使其运营严重中断的重大自然或人为事件。 公司风险偏好：是指从战略层级上判断得出的合理风险总量。 授权的风险偏好：是指同意的公司风险偏好（就组织不同组成部分的风险水平达成一致），它沿着组织结构一级一级传导下去。 项目风险偏好 ：项目的风险偏好也落在组织日常政策和决策范围之外。1.关键的损失类型损失 影响 减轻措施示例 财务的（如事件造成汇率损失、利润损失、成本增加、资产损失） 财务损失 利润率下降 生存能力下降 投资损失 保险 财务控制 财务管理 安全措施 信誉的（如源于违法的或不道德的贸易、雇佣以及环境实践、质量或交付故障等有关的） 吸引高素质员工和供应商的能力下降 失去投资者的支持 失去商誉和影响力 商标权益的贬值 加强监督 积极主动的问题管理 危机管理计划 道德和质量政策和政策监督与检查 供应商监督和管理 环境的（如自然力量造成的供应中断。资源稀缺性恶化、资源价格攀升、“污染者支付”的罚款和环境恢复的成本） 声誉损失 环境恶化 “污染者支付”的罚款 调整的成本 压力集团的抵制 环境风险及其影响的分析和监督 环境政策和控制 健康与安全的（如医疗福利成本、生产损失、更高的保险费、诉讼、赔偿和人员流动率） 生产率下降 成本（如维修、处罚、赔偿、更高的保险费） 信誉和员工关系受损 健康与安全政策和规定 ；沟通、培训 ；风险循环 ；安全文化；防护设备 ；保险 机会丧失（如风险厌恶或成本中心导致投资小和创新少，非协同的关系） 投资回报损失 改进或协同机会丧失 想法、供应和收入等的来源少了 支持企业家 提高授权风险偏好 创建可接受风险的文化 3. 风险管理的益处 避免风险事件、打击和危机等因素引起的成本或将这些因素最小化。 避免没有成功实施风险减轻措施所引起的成本或将其最小化。 避免生产和收入流的中断。 通过减轻供应链的脆弱性，保障供应安全 保护市场份额。 提高企业和供应链弹性。 保护组织关键人力资源。 使组织吸引并挽留高素质的员工、供应商和风险伙伴。 帮助管理层客观地判断哪些风险值得应对以及哪些应该加以规避。 提高制订战略、政策和决策的水平。 促进组织和供应链的合作。提高利益相关者的信心和满意度。 4. 风险的主要类别战略风险：产生于组织的愿景和方向，以及组织在某一行业、市场和/或地理区域的定位。 运营风险：产生于组织追求战略时所依靠的职能的、运营的和行政的程序。它们主要与组织的生产或服务交付运营有关。财务风险：从内部来说，产生于企业财务结构；从外部来说，产生于与其他组织的财务交易。 合规性风险：产生于确保遵守法律、法规和政策框架的需要；以及组织或其供应链的不合规或不合法活动曝光引起的可能损失，包括信誉的、运营的和财务的处罚。 5. 其他一些风险类别市场风险 ：属于战略风险，产生于外部供应市场中的因素或变化。 技术风险 ：由于技术活力和技术陈旧、系统或设备故障、数据讹误或偷窃、新技术“初期困难”、系统的不兼容性（例如，当买方与供应商系统需要整合的时候）等引起的战略风险和运营风险。 供应风险 ：既是战略风险，又是运营风险，产生的原因包括：供应市场不稳定性和资源稀缺性、供应商故障、供应链破坏、供应链和物流的长度和复杂性，等等。 信誉风险 ：分为财务风险和/或合规性风险两大类，产生的原因包括：组织或其供应链所做出的不道德的、没有社会责任感的或破坏环境的活动。 6. 一些关键的战略风险战略风险领域危险（例如）经济风险供应商故障、供应链欠佳、供应或客户市场条件变化财务风险缺乏流动性，财务成本增加，投资风险，汇率损失，信用管理不到位，欺诈方向性风险或竞争风险竞争者的举措或反击；不适当战略引起的失败；核心能力的丧失；品牌的损失发展风险兼并或收购：财务风险、文化和系统不兼容战略外包：成本、不兼容、信誉损失、员工抵触国际化风险汇率损失；文化和法律差异；市场不熟悉；市场和网络准入受限；运输风险加大一般运营风险的例子一般运营风险区域 风险减轻措施的例子 成本结构不合理，法降低成本基数 成本分析和重组 ；分包或外包 产品和服务需求不足（或过量） 提高需求预测和管理水平；改善客户关系 ；调整市场营销组合 供应商或外包提供者破产 加强供应商的选择、评估、监督、绩效管理 供应中断 多供应源或后备供应源 ；灵活的和适应性强的供应链管理 生产中断（例如工业罢工、设备故障引起） 预防性的和应急的规划 ；保险 健康、安全和福利问题 健康与安全政策、惯例、设备、培训、保险 无效的系统、流程和管理 过程审计、基准计划、企业流程再造（BPR）或持续改进（kaizen） 7. 内部风险的例子：人员个性因素。文化价值观和行为准则。团组动力学。人的差错和不成熟。企业管理。恶意的活动。技术、设备或系统崩溃。安全风险。缺乏内部控制。工作场所危险。雇员关系欠佳。关键人才和知识的流失。 8、外部环境：它既是威胁，也是机会。它是组织所需资源的供应源。它包含了对组织活动试图施加影响或有权施加影响的利益相关者。 模型框架因素 示例 社会文化因素（S） （变化是如何影响客户、供应商或其他利益相关者的需求或期望的？ 影响货物和服务需求，劳工需求和人口统计因素 、消费主义和消费力量 、教育和职业技能基础、价值观 、工作态度、就业公平和员工关系 、文化差异 、性别角色 技术因素（T） （是否存在发展机会、或过时的风险？） 信息与通信技术的发展改变了产品和商业过程 自动化和ICT促进劳动力合理化或裁员 自动化和ICT改变了工作岗位和组织，用工需求 经济因素（E） 哪些因素会引起供应问题、合规性问题、市场压力和信誉风险？） 经济力量和行业或市场稳定性 、通货膨胀率、利率和税收 、在国际供应市场，汇率、比较工资和税收、人才流动和资本移动的自由、贸易协定等 环境因素（或生态因素）（E） （变化是如何影响产品需求和/或输入供应及成本的？） 对环保产品的消费需求和公众对环保制造过程的需求 、环境方面的法规，如污染、碳排放和废弃物管理 、新出现的或当地应优先考虑的绿色生态问题 、自然资源和商品的可利用性、稀缺性和价格 政治因素（P） （政策或政策变化的可能含义是什么？） 政府政策 、雇员、供应商和地方发展所能利用的资助和补贴 、在运营地或供应和劳工市场的政治风险 法律因素（L） （组织为了做到合规，需要如何适应政策和惯例呢？） 在很多方面存在法律和法规问题。如用工权利和义务，工作场所健康和安全、平等就义权利、工作时间、最低工资、环境保护、消费者权利和条款、数据保护和政府采购程序 道德因素（E） （哪些问题会造成市场压力或信誉风险？） 对采购或生产环节符合道德要求的货物和服务的消费需求 、消费者和供应商、专业团体、工会和压力集团等出版和道德准则和标准 供应链上不道德行为的曝光或关联所产生的道德或信誉风险 、组织的“雇主口碑” 8、衰退风险的应对措施行动 工具和技术 战略的 更新供应链风险管理计划 ；理解主流供应市场中的变化 与关键供应商沟通 风险分析、风险应对计划 五种力量（竞争环境）、STEEPLE分析 共同需求规划、共同降低成本、财务分析 战术的 支持供应商的现金流 按时支付、尽早付款折扣、在线折扣谈判 确保质量不会降低 加强对交付货物的检验 ；与供应商讨论质量问题 ；考虑QA现场访问来验证供应商适当类别的最优价格 例如利用电子拍卖、杠杆谈判 管理价格波动 在上升中的市场，用固定价交易来保证低价 ；利用升级和降级条款 2.宏观经济危机的检查 P30-P31 降低风险偏好，关注重点从长期竞争优势转变为企业和供应链生存。 为了避免供应中断，确保风险管理计划的及时更新，作为品类战略的基础，这就要求我们要全面、详细地了解关键的供应市场 受衰退影响的利益相关者的道德的、责任的和有关风险的问题，需要追求效率、互相支持和关系建设等来促进整个供应链的恢复 非常需要监督供应商财务生存能力、保护供应连续性，辅助以强大不间断的供应商关系管理，不太重视单一或双重供应源采购安排和供应商失败应急计划。 由于规模削减和外包、发展预算缩减等因素的影响，有失去组织核心竞争能力的风险 迫于财务压力，增加了欺诈的风险 需要对更广泛的利益相关者的需求放主要利益相关者的当下利益进行平衡，并需要经济上的生存 谈判和雇员关系风险，如裁员、工资冻结、重组、恢复计划等 经济衰退带来的潜在机会 3.五力模型 第二章 风险评估 桑德斯的全面环境因素模型一、论述风险评估的内涵1、风险识别是要识别出所有可能导致某一活动出岔子的事件。2、风险评估：对潜在的已识别风险事件的概率和严重程度进行评估。即“它发生的可能性有多大，造成多坏的结果”。3、公式：风险=可能性（概率）*影响（负面的后果） 风险可能性（Risk likelihood）是指在假定风险性质和当前风险管理做法的情况下发生的概率。 风险影响（Risk impact）是给组织造成的可能损失或成本，或者对组织完成其目标的能力可能的影响水平。 二、风险评估的处理 高概率事件不太可能找到将事件发生风险最小化的方法。我们要调动资源来使它们造成的影响最小化；低概率事件不值得我们投入资源。但如果它们的影响很大，那么我们还需要制订应急和恢复计划，这样组织就可以在事件发生的时侯有效地进行响应。发生可能性很低却会造成灾难性后果的事件要特别注意。三、风险评估栅格三、脆弱性评估内涵脆弱性评估的定义： 是风险评估的一种形式，专门用来识别风险状况中的薄弱环节。脆弱性评估是一个过程，常是针对IT系统、能源和水供应系统、运输和物流系统及通信系统而开展的。2.脆弱性评估包含四个阶段： 列举某一系统中的资源（资产和能力），并对其进行分类 给这些资源赋一个量化的数值、分数或等级顺序 识别每种资源的脆弱性或潜在威胁 对于最有价值的资源，为减轻或消除最严重的脆弱性进行计划安排。 四、一线管理（直线经理和团队领导人在部门内的风险识别、通知和管理职责：）1、制定和/或实施组织已制定的风险政策和程序。2、落实遵守风险减轻的规章和计划。3、加强风险意识文化。4、确保目击者按有关政策和规定的要求报告风险事件。5、从员工、其他利益相关者和更广泛的环境中收集有关危险、脆弱性和风险的信息。 五.采购和供应职能在减轻整个组织的潜在损失方面可以发挥特定的作用，途径有以下几个：1、监督、识别和评保估供应链、供应商和供应市场风险（通过持续的采购研究）。2、开展供应商资格预审和评估，将供应商风险降至最低。3、签订合同，利用合同条款将商务和供应风险降至最低。 4、以一种财务、项目、运营和信誉风险降至最低的方式，管理合同、供应商和供应商绩效，尤其是在关于高风险采购战略方面。5、为战略决策风险评估提供信息和专长。6、为跨职能项目团队提供信息和专长，以识别项目的采购、供应链关系和供应链风险。7、管理组织外部开支的商务和财务风险。8、管理采购合同和其他供应结构及关系中内在的风险。 六、采购的五个合适：合适的（可接受的）风险水平、在合适的时间、以合适的数量、合适的价格、合适的质量交付到合适的地点。 第三章 风险管理一、风险管理过程：组织通过对风险的预测、理解和控制，实现对风险的管理。通过这一过程，他们与利益相关者沟通，征求利益相关者的意见，并且对风险及改变风险的控制措施进行监督和检查。1、风险管理包含三个关键要素：风险识别、风险分析和风险减轻。2.风险管理周期：“风险周期”表示风险监督和管理过程是连续的，可以描绘为一个周期。二、风险管理战略（“我们能做什么”总结为四个T）1、容忍（或接受）风险：如果评估后风险的可能性或影响可以忽略不计（或者没有可行的方法来降低风险），那么当下就不需要或者没有理由（根据成本收益分析和商业论证）采取进一步的措施。仅是确认并登记风险，或者如果风险的可能性或影响升级到预先确定的可接受暴露阈值，则将其标示出来以便进行监督和定期的重新评估。如对资源需求有竞争性，那么对于低水平的风险，忍受是合适的应对措施。 2、转移（或分散）风险：通过购买保险，或者选择双或多供应源搜寻；或者利用合同条款，确保风险事件成本由供应链伙伴承担或分担。风险转移减少了组织的风险暴露，但是付出了保险成本、可能的规模经济损失（由于分解），以及可能对供应链关系造成的损害。3、终结（或避免）风险：如果与某一具体项目或决策有关的风险太大，并且不可能减轻，组织则可以考虑不投资或不参与到这项活动或机会中。终结风险使组织避免不可接受的风险，但该方法不总是可行的，且有可能丧失机会和组合的协同效应。 4、处理（减轻、最小化或控制）风险：采取积极的步骤对风险进行控制，将风险可能性或潜在影响减少或最小化，或者同时将二者减少或最小化。关于供应风险，包括如下一些措施：供应商监控和绩效管理、行为准则、供应商认证或资格预审、关键事件或偏差的报告和分析、应急和恢复计划等。目的是将残余风险降到可接受的水平，尽管它也会产生减轻措施成本，而且会产生次级风险（由风险减轻措施引起的）。 三、风险战略过程图四、处理风险的方法：处理或减轻风险常常从控制运用的角度加以说明：1、预防性控制：目的是限定负面结果发生的概率。2、指导性控制：目的是确保达到预期的结果。3、探测性控制：目的是确定何时发生了没预料到的风险事件。通常是监督、项目评审、审计或汇报流程的组成部分。4、纠正性控制：目的是一旦发生没预料到的结果，就着手减轻其后果。五、.处理风险的步骤 ：1、分配风险管理责任 ；2、识别减轻风险所需的资源 3、制订行动计划（包括资源预算和时间范围）4、获得管理层对风险减轻计划的批准5、获得利益相关者对风险减轻计划的认可 6、实施经过审批的风险减轻计划 7、列出对于持续风险监测的风险汇报要求。 六、一个典型的IA项目的步骤 系统风险评估 ：识别要保护的信息资产、脆弱性和各种威胁；已识别风险的概率和影响分析。 制定风险管理计划 ：提出应对措施来应对已识别风险。 风险管理计划的协议、实施、测试和评估 ：常常借助于系统审计来完成。要连续地收集和检查绩效数据，这样可以根据绩效缺口或新出现的风险，按需要持续地修订风险管理计划。 六. ISO31000：由国际标准化组织制定的用于实施风险管理的一组标准。1）、风险管理原则是有效风险管理所需的“基本特征”。1、风险管理创造并保护价值。2、风险管理是组织流程不可分割的一个组成部分。3、风险管理是决策的组成部分。4、风险管理明确地解决不确定性问题。5、风险管理是系统的、结构化的和及时的。6、风险管理建立在最好的可利用信息的基础之上。7、因具体情况而异，要适应组织环境、风险状况和利益相关者。8、考虑人和文化因素。包括人们的技能、能力、知觉、动机和意识。9、风险管理是透明和包容的：认识到在建立环境和决定风险标准时需要邀请内、外部利益相关者参与。10、风险管理是动态的、重复的并对变化有所响应的：不是一次性的活动，而是持续的、动态的、重复的过程。11、风险管理促进持续改进和提高：不断提高迅速恢复的能力，最大限度的利用机会。15. ISO31000原则总结16保持一个有效的SMS安全管理政策；目标和指标；以及计划；安全管理结构；安全管理能力；安全计划：风险识别与评估；制定控制措施；法律和法规要求；文件、数据和信息系统与控制；运营控制措施；应急计划和程序；安全响应程序；监督和测量安全绩效；审计并评估SMS，寻求持续改进。 2）. 战略性的风险计划框架第一部分：介绍和目的；第二部分：目标、原则和实施；第三部分：风险识别；第四部分：风险分析与评估第五部分：风险处理；第六部分：风险检查与汇报 2）标准提供的系统风险管理过程 ：1）、建立环境 2）、风险评估 3）、风险处理 4）、监督检查 5）、沟通与征求意见3）、标准提高风险管理的五个特征：1）、持续改进 2）、风险的问责 3）、风险管理 4）、持续沟通 5）、治理结构一体化17、风险管理委员会的职责 对于那些涉及整个组织，或者风险严重程度超过指定阈值的问题和活动，考虑相应的风险管理政策。 评审并同意组织中的风险管理过程，包括风险意识培训。 对于新出现的战略和运营风险，向董事会报告；对于较低水平（“焦点”）的风险，向有关职能的直线经理汇报。 检查并更新风险登记簿，并且在某一给定的时点对组织面临的所有风险进行回顾。 支持风险管理，确保在组织范围内共享最佳实践。18、创建希望的风险文化 高级管理层、领导人和有影响的人对新价值观的一致表述和模式化。 在讨论新思想和行为的必要性时与员工沟通、对其教育和并让其参与，从而改变潜在的价值观和信仰。 将想要的态度和行为植入政策、程序、规定、系统、员工沟通、管理风格之中。 利用人力资源管理机制来强化变革。19、让供应商参与 完全参与 ：在供应网络的所有接触点，鼓励风险意识。 跨职能合作 ：开发一个整合的、以过程为中心的方法，用以跨内、外部价值链的风险识别和管理。 供应链的协作与贡献：收集有关供应市场风险因素的信息收集供应商关于买方系统和流程所产生的风险因素的反馈通过谈妥的协议、规格和合同条款，合作努力将风险最小化供应商早期参与新产品和服务开发保护、激励和奖励供应商分担风险的意愿促进供应链的信息流通对供应商在质量、道德和公司责任问题上的合规和勤奋进行保护、激励和管理。 第四章 欺诈和贪污风险一、 论述欺诈的内涵：1、 欺诈含义：一种蓄意欺骗的行为，目的是获得一些利益。2、发生发生的主要原因 ：1）非法获利 2）心理满足（宣泄） 3、机会使然3、判断欺诈的四个先决条件 犯罪者必须有一个动机，即他之所以需要资金或者感到有权诈取组织理由。 必须具有值得偷窃的资产。 必须有机会来挪移资产，并从中获益。 在内部控制或欺诈风险管理中一定存在不足。二、欺诈的不同类别和预防措施1、类别：网络欺诈、 欺诈、被用于欺诈、盗用公司身份、小的欺诈、竞争者欺诈2、欺诈两种主要类型及预防措施1）挪用组织现金或资产。 表现：偷窃现金或库存；工资总支出欺诈；采购欺诈；滥用资产；与客户串通来欺骗企业；与供应商串通来欺骗企业2）故意虚假陈述企业的财务状况，以误导股东、税务部门或司法当局。 表现：过分夸大利润；低估利润（为了避免纳税；故意虚假陈述以便拿到合同2、预防措施： 通过制定严谨的政策和对政策进行广泛地宣贯，使所有人清楚欺诈的定义和后果。建立应对欺诈的管理流程，包括管理证据的方式。 尽可能减少零余现金报销，鼓励使用受到良好控制和管理的公司信用卡或采购卡。应用开支分析技术，以便达到清晰的可视性，跟踪并监督开支情况。三、论述内部控制内涵1、内部控制：在采购和供应链管理领域，负责拟定和管理商业合同与关系的个人，对欺诈风险实施侦查和预防措施。2、内部控制的必要性（为何要进行内部控制？）：这是因为负责拟定和管理商业合同与关系的个人： 在“管理”岗位上工作，负责保管属于企业股东的资金和资产。 可能控制着非常大量的组织资金。 有许多机会为了个人收益进行资金欺诈或滥用系统、权力或信息。 在企业内担任受信任的职位。 在其与供应链伙伴和其他利益相关者打交道的过程中，对组织的立场、可靠性和信誉负责。四、在预防欺诈和贪污方面，如何健全采购治理机制？1、 采购活动道德行为准则的建立 2、采购费用的预算、控制与监督；3、控制采购人员的权力 4、采购职责的分离 5、使用电子采购工具,减少现金交易。2.健全采购治理机制 一个旨在支持商业目标并管理已识别风险领域的强大内部控制环境 采购活动道德行为准则的建立与应用 跨组织采购费用的有效预算、控制和监督 清晰界定的采购角色、职责、责任、汇报结构 对单个采购人员的权力大小进行控制 对请购、采购和支付等的批准和授权有清晰的要求 严格检查采购卡结算单、发票和其他采购证据、交付和支付 要求保持清晰的审计踪迹或“纸质踪迹”，以更能够追溯采购决策 采购职责的分享或划分 项目采购员的轮岗，以避免某个特定的采购员与某个特定的供应商变得太过“亲密” 强制使用假期补助 对首选供应商清单和单供应源搜寻交易实施控制，确保它们符合组织的最佳利益 使用电子采购工具，将现金交易最小化，将可能欺骗性地干预程序的人员减至最少，自动地显示差异的数据 利用物理安全措施来保护资产、现金和数据 对负责的人员进行有效的审查、选拔、监督和发展 使用标准合同条款和条件 对采购流程，决策和控制进行内部审计，包括会计检查和对帐，以及定期的采购审计 鼓励供应商和雇员报告违反道德的事件，不要害怕报复 建立一个道德论坛或委员会，讨论工作过程中产生的利益冲突和道德问题 第五章运营风险一、论述质量成本概念及组成内容1、质量成本的定义 ：确保和保证质量的成本，以及未达到质量而产生的损失。2、质量成本的构成：1）鉴定与预防成本：减少低质量产品进入生产过程的成本（预防性风险管理成本） 鉴定成本：保证物料和产品有合适质量而检验的成本（质量审计）预防成本：用于预防和减少生产中所产生的次品和故障（质量认证） 2） 质量损失成本：减少低质量产品进入生产过程的成本（风险事件成本）A、内部损失成本（至少看三点） 生产或检验过程中发现的缺陷产品的损失或返工 无法修理、使用或出售的缺陷产品的废弃 已返工或修理的产品的再次检验 产品以更低的售价“降级”出售，引起销售收入的损失 由于追加存储并重复工作，持有应急存货（以应对废弃品和延迟）所引发的浪费 调查故障起因（故障分析）所需的各种活动的时间和成本。B、外部损失成本（至少看三点） 为了收集和/或处理退回的产品所发生的“逆向物流”成本 维修或更换有缺陷产品的成本或对不适当的服务进行重做的成本 客户根据担保或保证要求赔偿的成本。 处理投诉、处理退款等的管理成本。 丧失客户忠诚度和未来销售额的成本。 客户的不满口碑对声誉带来的损害。二、质量管理体系（QMS）旨在： 组织的客户们相信该组织有能力提供满足客户需求与期望的产品与服务； 通过改进过程控制和减少浪费，一贯地和有效地实现组织的质量目标； 通过清晰的期望与过程要求，提高员工的能力、培训和道德水准； 一旦取得质量效果，能够继续保持：坚持学习与良好实践，使之不会因为缺乏归档、实施和一贯性而中断。二、论述供应风险的来源及影响因素 1、供应风险的定义：与组织的供应商无法供应或提供了质量低劣产品相关联的风险 2、供应风险的主要来源： 对供应商评估、评价和选择流程方面不完善。 买卖双方在合同与绩效管理方面的流程不完善。 未预料到的需求水平及环境因素导致的材料短缺或价格波动。 没有很好管理合同执行问题。 天灾（自然灾害）或人祸。 市场风险，例如工业罢工、财务不稳定性。 大宗商品风险，例如政治动乱对原油或天然气价格造成的影响。 运输风险，包括天气、堵车或政治动乱所引起的延迟、运输路线中断。3、供应风险的关键影响因素：生产能力和财务稳定性、交付前置期、供应市场竞争、在运输和储存的安全措施三、 识别供应（来自供应商）风险的途径：1、 依赖供应商2、供应商的财务状况 3、交货时间延长 4、质量问题 5、市场的供求关系 6、交付绩效 7、产能的极限四供应链关系风险原因： 独家供应源搜寻（Sole sourcing）安排和单供应源搜寻（single sourcing）安排；外包安排。长期伙伴关系。供应商分级。供应商转换或投机性采购。五、供应风险减轻措施： 供应商评估与选择。供应链管理。需求和库存管理。物流管理。合同拟定与管理。保险。 六、外包的正面和负面风险优势/机会 劣势/风险 支持组织的合理化和规模削减：减少人员配备、空间和设施成本 可能更高的服务、分包和管理成本：需要与内部提供的成本进行对比，考虑可能失去对成本的控制 允许组织将管理、人员和其他资源投资集中到组织核心业务和能力上 难以确保服务的质量和一致性以及企业社会责任：监管困难且费用大（特别是在海外） 可以借助承包方的专业知识、技术、以及资源，对于非核心活动这样可以比组织自行承担增加更多的价值 有可能失去企业自己在服务领域中的专长、知识、联系、或者技术，而这些将来也许还会用到 由于承包商可能会服务许多客户，从而获得规模经济（并且抹平需求波动） 可能对绩效和风险关键领域失去控制：过分依赖供应商 可以施行竞争性的绩效激励，而内部服务提供者却可能不思进取 多出服务提供商这一层拉长了与客户或最终用户之间的距离：这可能弱化与外部或内部客户之间的沟通和联系，并且丧失市场知识 利用合作型的供应关系，并且支持合作或伙伴关系带来的协同效应（2+2=5） 可能被不兼容或绩效不佳的合作关系所绑定：文化或伦理观的不兼容，关系管理困难，承包商缺乏灵活性，利益冲突，自满或不再以客户为中心 对于需求和成本不确定或波动的业务，成本变得确定了（即协商的合同价格）：共担财务风险 对机密数据和知识产权失去控制的风险 业务转移或停止引发的道德和员工关系问题 如果外包失败，可能会面临内部提供的风险、成本和困难 外包风险的管理： 外包决策需要以清晰的目标和可测量的收益为基础，并进行严密的成本收益分析。 由于外包关系是一种长期合作伙伴关系，因此需要严格选择供应商。 严格的供应商签约过程，这样风险、成本和责任得以公平地、清晰地分配，而且清晰地界定预期的服务水平。 清晰的和协商一致的服务水平、标准和关键绩效指标。 对服务交付和质量进行连贯的和严格的监督。 持续的合同和供应商管理，确保遵守合同、发展关系、建设性地解决争端。 合同评审，从合同执行过程中汲取教训。 第六章 企业社会责任和可持续性风险一、论述公司的信誉及其正面信誉的来源1、 公司信誉定义： 公司的客户、投资者、员工及其利益相关者对公司的总体评价。2、 正面的信誉的关键来源（至少看四点） 独特性 对组织及其产品的支持与信任。 在面对变化、危机和问题时表现出来的稳定性和恢复弹性。 利益相关者口口相传的正面的宣传和公共关系。 在人力和供应市场和金融市场上树立正面的品牌。 在商业环境内的关系影响力。 减轻上述所有领域产生的风险。3、负面的信誉（信誉损害）风险来源： 损害对组织及其产品和品牌的支持与信任 产生负面的期望。 招致来自压力集团、监管者和媒体的苛刻甚至是敌对的审查 损害组织与其关键利益相关者的关系。二、论述信誉和品牌风险管理1、信誉和品牌风险的内外影响因素（来源）：1）财务不佳2公司管理危机3产品或服务质量 4）违反法律规定5）负面沟通管理不善 6）危机管理不善2、信誉和品牌风险管理措施 形成清晰的核心价值观和原则。 确保公司社会责任和道德价值观和政策在组织的宣传与管理 对信誉和品牌进行监督与测量。 健全的风险评估与管理系统。 健全的风险管理 践。 制订并定期更新危机管理计划。 与利益相关者积极沟通，理解他们对特定问题的期望、认知和敏感度 在危机（重大的风险事件）开始发展的时候，与内部的和外部的利益相关者迅速地、谨慎地和有效地进行沟通。三、企业社会责任如何服务于公司利益（并控制公司的风险）呢？1、法律、规章和行为规范对组织规定了一定的社会责任。对于违犯这些法规的行为会进行财务上的和运营上的惩罚。2、自愿措施（也许仅仅是预先达到法律与法规要求）可以提升企业形象，有利于品牌建设， 3、为了吸引、保持和激励员工和供应商提供高质量的服务与承诺，可能有必要在就业和供应商要求方面实施高于法律规定的公司政策，特别是在与其他雇主/供应商竞争时。4、消费者对社会责任问题的认识不断提高，这为企业社会责任（以及对不负责任企业的抵制）带来了市场需求。 四、不道德行为的影响（1.为什么要负起社会责任？）1、不道德行为会导致与受到不善对待的利益相关者关系恶化，进而导致与供应商不良的客户状况、较差的供应商积极性和表现，并且增加了冲突和争端的风险。剥削、滥用和失望不可避免地会导致关系破裂，或被供应商反过来挖墙角。2、由于不道德行为引起的利益相关者关系不和，也会丧失在绩效、创新、合作和协同效应等方面的机会、价值和利润。缺乏抓住这种机会的能力，是长期商业和竞争风险的来源。3、对雇员和供应商的不平等待遇会使组织难于吸引、挽留并激励他们去提供优质服务和承诺，亦其是在和其他雇主和买方展开竞争的时侯。4、不道德行为会招致更加严格的法规、媒体和压力集团的监督，这加大了信誉风险和合规风险。5、不道德行为的曝光会危害到信誉，危害到组织的产品或公司品牌，失去好感（来自客户的、雇员的和供应链伙伴的），损失销售额，甚至受到消费者的联合抵制。6、违法行为会引起额外的合规和法律风险，包括违法的惩罚与制裁。五、可持续性 一）、定义 ：1、可持续性常常与“公司社会责任”和/或环境责任互换使用。它更具体地描述了旨在平衡经济可行性与环境和社会责任因素的战略（利润、地球和人-有时称为“三重底线”）。2、可持续性采购是组织以下列方式满足其对货物、服务、工程和公共事业需求的过程，即获得全生命周期的资金价值，不仅对本组织、而且对社会和整个经济都有利，同时对环境损害最小。二）、三重底线 三重底线的概念指出企业的绩效不应当仅仅用盈利性来衡量，而应当以下列三个维度的绩效进行测量。1、经济可持续性（利润）：盈利性，可持续的经济绩效及其对社会的效益。2、环境的可持续性（地球）：可持续的环境措施，要么有益于自然环境，要么对自然环境的不良影响最小化。3、社会可持续性（人）：对劳动力和企业运作所处的社会都是公平的和有益的商业实践。 六、环境风险的损失1、环境污染行为将组织置于社会和财务惩罚的风险之中。 合规性成本：满足监管、报告和运营措施的规定要求。 不遵守的成本：罚款、诉讼成本、赔偿金、清洁成本和信誉损害。 提高了监管的脆弱性和增加了监管负担。 由于不良的环境跟踪记录和一再受到环境罚款，获得资金（投资融资）和保险（特别是以富有竞争力的费率）困难重重。 雇主品牌受到损害，使其难于吸引并挽留高素质员工。 由于媒体负面报道的影响，以及由此引起的“环保”客户和消费者的丧失，使商品形象和信誉受损。 面对在环境方面更负责任的竞争者，会丧失竞争优势和市场份额。 七、供应商多样性的收益和风险在供应链多样性方面，企业的主要风险在于失去的机会。在下述两者之间，存在一种关键的采购权衡。1、与大型供应商打交道的经济优势（汇总需求、降低交易成本、获得批量折扣的能力，由于规模经济，在定价上更有竞争力）。2、与中小供应商打交道时获得“最优价值”的潜力： 面对范围更大的供应市场，可能会提高竞争力。 由于较低的行政和管理成本，具有富有竞争力的定价。 更快的响应性和灵活性。 商业解决方案的创新能力和多样性。 愿意并有能力生产小批量的、有利可图的、定制的产品。 更高的承诺和服务水平（由于业务的价值）。 26. 风险减轻措施1、在系统设计阶段进行风险识别与评估。2针对新系统的系统测试与转换安排。3硬件、软件和外围设备的预防性维护、维修、更新和替换。4保证所有买方的和供应商的信息系统都经受了强大的访问控制。 5有效和安全使用信息系统的规定和规程。6存储数据的备份规程。7系统维护、应急计划和备份系统8、数据库管理。9、对合同变更、变化、版本和更新等的规程与控制。10内部控制、检查和平衡，防止数据或资金的滥用与欺诈。11保护知识产权。12在合同执行过程中交流的商业敏感数据的机密性。13根据有关法律的要求对员工进行培训。14对增值的知识和信息等进行归档。 28. 危机管理过程 避免危机。 做好管理危机的准备。发现危机。 遏制危机。 解决危机。 从危机中获利。第八章 项目实施与控制一、论述PRINCE2 模型（受控环境中的项目）1、 PRINCE2 模型的应用-公共部门和私营部门3、 PRINCE2每个项目管理阶段的流程和要素 ：指导项目、计划项目、着手项目、启动项目、控制一个阶段、管理产品交付、管理阶段边界、收尾项目4、 PRINCE2 模型的应用中的关键文件：计划与控制计划、质量日志、问题日志、风险日志二、项目生命周期 1、生命周期各阶段的风险管理重点界定/启动阶段设计/计划阶段关键风险可能是：定义过分严格；没能邀请关键利益相关者参与界定；利益相关者之间发生冲突；没能获得拥护与承诺。 关键风险可能是：信息缺乏；缺乏计划；计划过分详细，从而缺乏灵活性；过度优化；资源准备不足；缺乏项目管理、专业和/或团队合作等技能；权利和汇报的结构不清晰。 做/执行阶段发展/退出阶段关键风险是：监督、检查和控制不到位；在应对意外事故和权衡的时候缺乏灵活性；错过里程碑和目标；在入口检查中没能通过，无法进入下一阶段；忽视整体目标；健康与安全、技术和其他运营风险；与某种特定类型项目有关的环境因素（STEEPLE）风险。 关键风险是：无法完成项目；不知道何时完成结果；没有对过程进行审计并为未来的项目获取经验教训。 2、项目计划的要素 要素描述 概要 项目目标和范围的简短摘要，如上所述 目标 对技术和利润目标更为详细的说明 一般方法 说明工作的管理方法和技术方法 合同内容 列出所有报告要求、客户提供的资源、联络安排、检查和取消程序等 进度计划 列出所有任务以及带有估算日期的里程碑 资源 预算和成本监督与控制程序 人事 项目所需的技能与专长 风