供應鏈全面風險識別方法探索

張 輝，賈 越，申震宇，馬 月

（1.北京飛航捷迅物資有限責任公司，北京 100074；2.中國航天科工飛航技術研究院，北京 100074）

1 引言

2020年新冠肺炎疫情肆虐，許多國家封鎖國境、限制人員流動、生產停滯，致使一些重要產品供應鏈中斷，重創(chuàng)世界經濟。我國是世界口罩產量最大的國家，武漢附近的仙桃市是我國醫(yī)用口罩的主要產地，受停產影響，在疫情初期醫(yī)用口罩供應嚴重不足。歐美等發(fā)達國家的醫(yī)療體系在應對新冠肺炎流行疾病疫情方面暴露出重大問題，新冠肺炎核酸檢測試劑盒、醫(yī)用口罩、防護服、呼吸機等醫(yī)療資源供應保障困難重重，多次發(fā)生相互截攔、高價強購其它國家過境醫(yī)用物資的情況。美國總統(tǒng)特朗普、國務卿蓬佩奧在不同場合表示把供應鏈“留在美國”的重要性，提出要將中國和其它美國以外醫(yī)療設備供應鏈轉移回美國。許多國家的領導人也紛紛要求評估本國的產業(yè)鏈供應鏈的安全性，媒體也大力炒作全球供應鏈風險。

2 新形勢下供應鏈風險識別面臨的挑戰(zhàn)

經濟全球化越來越依賴復雜的供應鏈，一些看似不相關的風險因素也會對供應鏈正常運行造成巨大影響，這些風險因素的關聯(lián)關系越來越復雜，現(xiàn)行的風險識別方法在殘酷的現(xiàn)實面前頻頻受到挑戰(zhàn)。

現(xiàn)代風險管理始于安全，職業(yè)健康安全管理體系推薦的風險識別、評價、應對方法得到廣泛認同與推廣。國際標準化組織在風險管理理論的指導下，發(fā)布了ISO/DIS 31000《風險管理原則與實施指南》、ISO/IEC 31010《風險管理風險評估技術》等風險管理標準和ISO/PAS 28000《供應鏈安全管理體系規(guī)范》等供應鏈安全標準。很多企業(yè)開展了供應鏈安全風險識別和風險管理，但是對大范圍突發(fā)流行病疫情、自然災害、區(qū)域沖突等條件下的供應鏈風險考慮不周，現(xiàn)有的供應鏈風險識別方法難以適應急劇變化的經營環(huán)境，風險識別的全面性不夠，難以識別深層次的重大風險，亟需探索適應新形勢的風險識別方法。

我國國有企業(yè)風險管理聚焦于財務風險等方面，主要依靠黨風廉政建設和紀審監(jiān)查系統(tǒng)進行管理，近年我國在反腐敗方面取得了巨大成效，預防了一些重大經濟風險發(fā)生。但是，近幾年頻頻暴露出食品安全、環(huán)境污染、安全生產、關鍵技術與零部件進口等方面的重大風險，說明我國供應鏈風險識別也是不全面的。

3 基于供應鏈功能的風險分類

3.1 現(xiàn)行供應鏈風險管理范圍的局限性

經過多年的發(fā)展和探索，國際上對風險管理的基本原則形成了統(tǒng)一認識，從ISO 9001《質量管理體系要求》、ISO 14001《環(huán)境管理管理體系要求及使用指南》、ISO 45001《職業(yè)健康安全管理體系要求及使用指南》到ISO/DIS 31000《風險管理原則與實施指南》、IEC 62198《項目風險管理應用指南》、ISO/PAS 28000《供應鏈安全管理體系規(guī)范》等都遵守共同的風險管理原則和過程（如圖1所示）。

圖1 風險管理原則和過程

我國參考國際航空航天質量標準（IAQS）9134、美國機動車工程師協(xié)會標準SAE ARP 9134 和歐洲航空航天工業(yè)協(xié)會標準AECMA EN 9134《供應鏈風險管理指南》等標準的技術內容[1]，制定了GB/T 24420-2009《供應鏈風險管理指南》。該標準適用于傳統(tǒng)的供應鏈風險管理，重點關注供應商風險和產品風險。但是，在供應鏈管理環(huán)節(jié)之中除了直接供應商，還包括全級次供應商和用戶，如二級供應商、三級供應商……間接用戶和最終用戶。其規(guī)定的產品風險管理主要是為滿足ISO9000 質量管理體系要求，但是除了產品質量之外，市場需求、產品設計研發(fā)、物料供應、生產制造、存儲、流通加工、運輸、安裝、使用、維護、退貨、報廢、回收處理以及供應鏈信息系統(tǒng)等過程都會對產品實現(xiàn)和使用過程造成風險。故GB/T 24420-2009 標準規(guī)定風險管理與評估內容范圍不能覆蓋產品全生命周期的風險管理要求。

我國國有企業(yè)歷來重視安全生產、消防安全、交通安全、環(huán)境保護、職業(yè)衛(wèi)生、保密、網(wǎng)絡與信息安全，國家相關法律法規(guī)標準完備。企業(yè)發(fā)生安全事故，也會影響到供應鏈正常運行，所以安全生產等風險也應該是供應鏈風險管理的重要內容。供應鏈涉及的財務、供應商、質量、安全、環(huán)保、職業(yè)衛(wèi)生、知識產權、保密、網(wǎng)絡與信息安全等各類風險跨部門、跨行業(yè)，難以協(xié)同。

供應鏈鏈條上眾多的風險管理內容涉及不同專業(yè)領域，傳統(tǒng)的按職能分塊管理很難進行全面風險識別。由于供應鏈的復雜性，如果鏈條中一個環(huán)節(jié)中斷，整個供應鏈條就有可能被破壞，需要對供應鏈各環(huán)節(jié)各類風險進行全面風險識別，全面風險識別首先需要進行風險分類。

3.2 基于供應鏈功能的風險分類

供應鏈的作用和目的是將顧客所需的產品（含服務）在約定的時間、地點保質保量地交付。保障供應是供應鏈的主要功能，在風險識別時，可以把保障供應看作是供應鏈風險管理的核心內容。圍繞保障供應進行供應鏈風險識別，可以把風險分為四類（如圖2 所示）。一是產品風險，主要包括涉及產品本身的質量風險、安全風險、環(huán)境污染風險等，供應鏈的載體和運作對象是產品，沒有了產品，供應鏈就失去了意義，產品發(fā)生風險，自然會影響到保障供應，所以產品風險是供應鏈風險管理的重要內容；二是經濟風險，經濟風險是傳統(tǒng)的風險管理重點，供應鏈運作的目標是為供應鏈利益攸關者的整體效益達到最佳，經濟風險直接影響供應鏈利益攸關者，供應鏈利益攸關者的經濟利益遭受損失，必然會影響到保障供應，所以經濟風險是供應鏈利益攸關者都關注的重點；三是人員風險，雖然智能化程度越來越高，但供應鏈還是靠人的運作來完成，供應鏈運作節(jié)點上重要人員的變化、缺失或非預期干預也會導致保障供應出現(xiàn)問題，所以人員的風險也是供應鏈風險管理必需要考慮的內容；四是環(huán)境風險，包含內部環(huán)境、外部環(huán)境風險。生產服務保障條件、安全生產、消防安全、交通安全、環(huán)境保護、職業(yè)衛(wèi)生、保密、網(wǎng)絡與信息安全等風險也都屬于環(huán)境風險的內容。內部環(huán)境易于掌握，外部環(huán)境如地區(qū)、國家間的貿易環(huán)境、流行疫情、區(qū)域戰(zhàn)爭等環(huán)境條件對供應鏈的影響巨大，此次新冠肺炎疫情讓全世界體驗到了外部環(huán)境給供應鏈帶來的巨大風險，所以有必要提高對環(huán)境風險的重視程度。

4 基于供應鏈業(yè)務流程的全面風險識別方法

4.1 基于業(yè)務流程的上下游風險識別

圖2 基于供應鏈功能的風險分類

風險管理最重要的一環(huán)就是風險評估，風險識別是風險評估的開端，只有風險識別充分客觀全面，才能進行科學的風險評價，采取有效的應對措施。高層管理者研究分析問題時，經常要求深挖一鍬，以發(fā)現(xiàn)問題的深層原因。高明的棋手下棋時至少思考后續(xù)三步棋怎么走，每一步落子的位置有什么風險，阿爾法狗（AlphaGo）的計算步驟就更長了，并對每一處落子位置和風險進行概率運算，也就是落子的風險識別與評估。深謀遠慮的供應鏈風險管理者對供應鏈進行全面風險識別時，不但要看到眼前的風險，還要按流程考慮下游有什么風險，更要考慮流程的上游有什么風險。供應鏈風險識別時一般要考慮到當前流程上游的三個階段和下游三個階段的風險。“三個階段”是大概數(shù)，本意眼光放長遠，基于流程上下求索才能發(fā)現(xiàn)隱藏較深的重大風險。比如，高精武器裝備的供應鏈流程很長，2018 年10 月美國發(fā)布《評估和強化制造與國防工業(yè)基礎及供應鏈彈性》的非密版報告指出了美國國防工業(yè)供應鏈的風險，還特別指出稀土等資源完全依賴于競爭性國家等。稀土本是冶煉金屬材料的礦物原料，可見美國國防工業(yè)供應鏈已經考慮到了產業(yè)源頭的風險。

4.2 圍繞業(yè)務的全面風險識別

圍繞保障供應，按供應鏈業(yè)務主流程從產品、經濟、人員、環(huán)境四個方面進行風險識別、分析和評價，能比較全面地反映供應鏈風險。以“采購”業(yè)務為例，以產品制造為主線向供應鏈流程上游推演三步，對產品組裝、零部件生產、物料供應等主要流程的主要風險進行識別,向下游推演三步，對產品的安裝調試、使用維護、回收報廢等主要流程的主要風險進行識別，如圖3所示。主要流程有一個環(huán)節(jié)發(fā)生重大風險，都會影響到保障供應。以某重要復雜裝備采購為例，圍繞產品風險向供應鏈流程上游推演三步：裝備的組裝生產線發(fā)生爆炸事故，裝備交付會延遲；生產某關鍵重要零部件的專用進口機床損壞，會影響裝備組裝；某關鍵零部件的特種原材料遭到禁運，會影響零件生產；這一切風險都會影響到保障供應。還以某重要復雜裝備采購為例圍繞產品風險向下游推演三步：安裝裝備的場地不足，遲遲不能啟用；顧客現(xiàn)有人員不會操作這個裝備，裝備發(fā)揮不了效能；裝備報廢時產生重大環(huán)境污染或有重大安全隱患，可能會影響顧客的選購；這一切都會對供應鏈利益攸關者多方共贏造成影響。按流程依次對經濟風險、人員風險、環(huán)境風險進行識別，再對采購所在單位內部風險進行識別就比較全面了。按業(yè)務主流程進行風險識別主要是為了發(fā)現(xiàn)影響供應連續(xù)性的重大風險，如：關鍵核心技術、獨家供方、進口產品、脆弱環(huán)節(jié)等。根據(jù)供應鏈的復雜程度和產品的重要性，風險識別還可以進一步向上游延伸到產業(yè)源頭，向下游延伸到物品徹底消失殆盡，如圖3所示。

圖3 采購風險識別示意圖

圖4 簽訂合同風險識別示意圖

具體項目或操作過程的風險識別還可以進一步按細化的操作流程進行識別，以“簽訂采購合同”為例，供應鏈的風險向上游推演三步，對商務談判、技術談判、供方選擇等流程的風險進行識別,向下游推演三步，對預付款、啟運、到貨等流程的風險進行識別。這些流程中有一個環(huán)節(jié)發(fā)生問題，都會影響到保障供應。以某重要復雜裝備簽訂采購訂貨合同為例向上游推演三步的風險有：商務談判的底牌被對手掌握，談判會被動；負責技術談判的人員不懂得這類裝備知識，可能會被蒙騙；供方有重大財務危機而不掌握，會帶來經濟風險；這一切風險都會影響合同簽訂方的利益。還以某重要復雜裝備簽訂采購合同為例，向下游推演三步的風險有：遲遲不付款，供方就有可不組織生產，耽誤進度；運輸裝備沒有防護，有可能在運輸過程中造成裝備損壞；到貨之后存放在露天場所無防護，惡劣天氣可能影響裝備精度；這一切都會給供應鏈利益攸關方造成損失，如圖4 所示。

4.3 利益攸關方風險識別

供應商管理歷來是供應鏈風險管理的重點。供應鏈是為最終客戶服務的，沒有了客戶，供應鏈就失去了意義，所以客戶也應該是供應鏈風險管理的主要內容。參與供應鏈運作的利益攸關方除了供需主線上的組織和個人之外，還包括為保障供應鏈順暢運行的，并從供應鏈運作中獲得利益的所有組織和個人，如運輸企業(yè)、倉儲企業(yè)、電商平臺、財務結算平臺、網(wǎng)絡環(huán)境平臺等，這些利益攸關方對供應鏈運作也會產生影響，如運輸過程污染、庫房火災、商家跑路、網(wǎng)絡不通等都會造成供應鏈中斷。所以按供應商和客戶這條主線進行風險識別時，應考慮參與供應鏈運作所有的利益攸關方的風險。以供應商和客戶為主線把供應鏈的供應風險向上游推演三步，甚至推演到供應源頭，再向下游推演到顧客，對供應鏈條上的主要運作單位進行風險識別（如圖5所示），才能比較全面地掌握有關利益攸關方的風險。2020年5月15日，美國商務部宣布即將修改出口管理規(guī)則，根據(jù)這項規(guī)則變動，即使芯片本身不是美國開發(fā)設計，但只要外國公司使用了美國芯片制造設備，就必須得到美國政府的許可，才能向華為或其附屬公司提供芯片。2020年5月19日，美國財政部宣布對名為Shanghai Saint Logistics Limited的一家中國物流公司實施制裁，理由是，美國政府認為該公司擔任了伊朗馬漢航空公司的總銷售代理，為該航空公司提供中伊航線的貨運預訂服務?？梢娒绹鴮Ω偁巼业拇驂哼M一步向利益攸關的間接供應商和中間服務商延伸了。

圖5 利益攸關方風險識別示意圖

供應鏈上的每個組織都處于不同種類的風險之中，供應鏈的參與主體受到來自外部環(huán)境和內部不利因素影響而形成風險。把以上風險識別方式結合起來，才能比較全面地識別供應鏈風險，發(fā)現(xiàn)深層風險。

5 結論

傳統(tǒng)的供應鏈風險識別方法在發(fā)生大范圍突發(fā)流行病疫情、自然災害、區(qū)域沖突、貿易戰(zhàn)等情況下對風險的全面性和深層風險認識不足。圍繞保障供應，從產品風險、經濟風險、人員風險、環(huán)境風險等四個方面進行識別，識別風險時按業(yè)務流程向供應鏈上下游延伸，才能比較全面地識別風險，發(fā)現(xiàn)深層風險。