供应链全面风险识别方法探索

张 辉，贾 越，申震宇，马 月

（1.北京飞航捷迅物资有限责任公司，北京 100074；2.中国航天科工飞航技术研究院，北京 100074）

1 引言

2020年新冠肺炎疫情肆虐，许多国家封锁国境、限制人员流动、生产停滞，致使一些重要产品供应链中断，重创世界经济。我国是世界口罩产量最大的国家，武汉附近的仙桃市是我国医用口罩的主要产地，受停产影响，在疫情初期医用口罩供应严重不足。欧美等发达国家的医疗体系在应对新冠肺炎流行疾病疫情方面暴露出重大问题，新冠肺炎核酸检测试剂盒、医用口罩、防护服、呼吸机等医疗资源供应保障困难重重，多次发生相互截拦、高价强购其它国家过境医用物资的情况。美国总统特朗普、国务卿蓬佩奥在不同场合表示把供应链“留在美国”的重要性，提出要将中国和其它美国以外医疗设备供应链转移回美国。许多国家的领导人也纷纷要求评估本国的产业链供应链的安全性，媒体也大力炒作全球供应链风险。

2 新形势下供应链风险识别面临的挑战

经济全球化越来越依赖复杂的供应链，一些看似不相关的风险因素也会对供应链正常运行造成巨大影响，这些风险因素的关联关系越来越复杂，现行的风险识别方法在残酷的现实面前频频受到挑战。

现代风险管理始于安全，职业健康安全管理体系推荐的风险识别、评价、应对方法得到广泛认同与推广。国际标准化组织在风险管理理论的指导下，发布了ISO/DIS 31000《风险管理原则与实施指南》、ISO/IEC 31010《风险管理风险评估技术》等风险管理标准和ISO/PAS 28000《供应链安全管理体系规范》等供应链安全标准。很多企业开展了供应链安全风险识别和风险管理，但是对大范围突发流行病疫情、自然灾害、区域冲突等条件下的供应链风险考虑不周，现有的供应链风险识别方法难以适应急剧变化的经营环境，风险识别的全面性不够，难以识别深层次的重大风险，亟需探索适应新形势的风险识别方法。

我国国有企业风险管理聚焦于财务风险等方面，主要依靠党风廉政建设和纪审监查系统进行管理，近年我国在反腐败方面取得了巨大成效，预防了一些重大经济风险发生。但是，近几年频频暴露出食品安全、环境污染、安全生产、关键技术与零部件进口等方面的重大风险，说明我国供应链风险识别也是不全面的。

3 基于供应链功能的风险分类

3.1 现行供应链风险管理范围的局限性

经过多年的发展和探索，国际上对风险管理的基本原则形成了统一认识，从ISO 9001《质量管理体系要求》、ISO 14001《环境管理管理体系要求及使用指南》、ISO 45001《职业健康安全管理体系要求及使用指南》到ISO/DIS 31000《风险管理原则与实施指南》、IEC 62198《项目风险管理应用指南》、ISO/PAS 28000《供应链安全管理体系规范》等都遵守共同的风险管理原则和过程（如图1所示）。

图1 风险管理原则和过程

我国参考国际航空航天质量标准（IAQS）9134、美国机动车工程师协会标准SAE ARP 9134 和欧洲航空航天工业协会标准AECMA EN 9134《供应链风险管理指南》等标准的技术内容[1]，制定了GB/T 24420-2009《供应链风险管理指南》。该标准适用于传统的供应链风险管理，重点关注供应商风险和产品风险。但是，在供应链管理环节之中除了直接供应商，还包括全级次供应商和用户，如二级供应商、三级供应商……间接用户和最终用户。其规定的产品风险管理主要是为满足ISO9000 质量管理体系要求，但是除了产品质量之外，市场需求、产品设计研发、物料供应、生产制造、存储、流通加工、运输、安装、使用、维护、退货、报废、回收处理以及供应链信息系统等过程都会对产品实现和使用过程造成风险。故GB/T 24420-2009 标准规定风险管理与评估内容范围不能覆盖产品全生命周期的风险管理要求。

我国国有企业历来重视安全生产、消防安全、交通安全、环境保护、职业卫生、保密、网络与信息安全，国家相关法律法规标准完备。企业发生安全事故，也会影响到供应链正常运行，所以安全生产等风险也应该是供应链风险管理的重要内容。供应链涉及的财务、供应商、质量、安全、环保、职业卫生、知识产权、保密、网络与信息安全等各类风险跨部门、跨行业，难以协同。

供应链链条上众多的风险管理内容涉及不同专业领域，传统的按职能分块管理很难进行全面风险识别。由于供应链的复杂性，如果链条中一个环节中断，整个供应链条就有可能被破坏，需要对供应链各环节各类风险进行全面风险识别，全面风险识别首先需要进行风险分类。

3.2 基于供应链功能的风险分类

供应链的作用和目的是将顾客所需的产品（含服务）在约定的时间、地点保质保量地交付。保障供应是供应链的主要功能，在风险识别时，可以把保障供应看作是供应链风险管理的核心内容。围绕保障供应进行供应链风险识别，可以把风险分为四类（如图2 所示）。一是产品风险，主要包括涉及产品本身的质量风险、安全风险、环境污染风险等，供应链的载体和运作对象是产品，没有了产品，供应链就失去了意义，产品发生风险，自然会影响到保障供应，所以产品风险是供应链风险管理的重要内容；二是经济风险，经济风险是传统的风险管理重点，供应链运作的目标是为供应链利益攸关者的整体效益达到最佳，经济风险直接影响供应链利益攸关者，供应链利益攸关者的经济利益遭受损失，必然会影响到保障供应，所以经济风险是供应链利益攸关者都关注的重点；三是人员风险，虽然智能化程度越来越高，但供应链还是靠人的运作来完成，供应链运作节点上重要人员的变化、缺失或非预期干预也会导致保障供应出现问题，所以人员的风险也是供应链风险管理必需要考虑的内容；四是环境风险，包含内部环境、外部环境风险。生产服务保障条件、安全生产、消防安全、交通安全、环境保护、职业卫生、保密、网络与信息安全等风险也都属于环境风险的内容。内部环境易于掌握，外部环境如地区、国家间的贸易环境、流行疫情、区域战争等环境条件对供应链的影响巨大，此次新冠肺炎疫情让全世界体验到了外部环境给供应链带来的巨大风险，所以有必要提高对环境风险的重视程度。

4 基于供应链业务流程的全面风险识别方法

4.1 基于业务流程的上下游风险识别

图2 基于供应链功能的风险分类

风险管理最重要的一环就是风险评估，风险识别是风险评估的开端，只有风险识别充分客观全面，才能进行科学的风险评价，采取有效的应对措施。高层管理者研究分析问题时，经常要求深挖一锹，以发现问题的深层原因。高明的棋手下棋时至少思考后续三步棋怎么走，每一步落子的位置有什么风险，阿尔法狗（AlphaGo）的计算步骤就更长了，并对每一处落子位置和风险进行概率运算，也就是落子的风险识别与评估。深谋远虑的供应链风险管理者对供应链进行全面风险识别时，不但要看到眼前的风险，还要按流程考虑下游有什么风险，更要考虑流程的上游有什么风险。供应链风险识别时一般要考虑到当前流程上游的三个阶段和下游三个阶段的风险。“三个阶段”是大概数，本意眼光放长远，基于流程上下求索才能发现隐藏较深的重大风险。比如，高精武器装备的供应链流程很长，2018 年10 月美国发布《评估和强化制造与国防工业基础及供应链弹性》的非密版报告指出了美国国防工业供应链的风险，还特别指出稀土等资源完全依赖于竞争性国家等。稀土本是冶炼金属材料的矿物原料，可见美国国防工业供应链已经考虑到了产业源头的风险。

4.2 围绕业务的全面风险识别

围绕保障供应，按供应链业务主流程从产品、经济、人员、环境四个方面进行风险识别、分析和评价，能比较全面地反映供应链风险。以“采购”业务为例，以产品制造为主线向供应链流程上游推演三步，对产品组装、零部件生产、物料供应等主要流程的主要风险进行识别,向下游推演三步，对产品的安装调试、使用维护、回收报废等主要流程的主要风险进行识别，如图3所示。主要流程有一个环节发生重大风险，都会影响到保障供应。以某重要复杂装备采购为例，围绕产品风险向供应链流程上游推演三步：装备的组装生产线发生爆炸事故，装备交付会延迟；生产某关键重要零部件的专用进口机床损坏，会影响装备组装；某关键零部件的特种原材料遭到禁运，会影响零件生产；这一切风险都会影响到保障供应。还以某重要复杂装备采购为例围绕产品风险向下游推演三步：安装装备的场地不足，迟迟不能启用；顾客现有人员不会操作这个装备，装备发挥不了效能；装备报废时产生重大环境污染或有重大安全隐患，可能会影响顾客的选购；这一切都会对供应链利益攸关者多方共赢造成影响。按流程依次对经济风险、人员风险、环境风险进行识别，再对采购所在单位内部风险进行识别就比较全面了。按业务主流程进行风险识别主要是为了发现影响供应连续性的重大风险，如：关键核心技术、独家供方、进口产品、脆弱环节等。根据供应链的复杂程度和产品的重要性，风险识别还可以进一步向上游延伸到产业源头，向下游延伸到物品彻底消失殆尽，如图3所示。

图3 采购风险识别示意图

图4 签订合同风险识别示意图

具体项目或操作过程的风险识别还可以进一步按细化的操作流程进行识别，以“签订采购合同”为例，供应链的风险向上游推演三步，对商务谈判、技术谈判、供方选择等流程的风险进行识别,向下游推演三步，对预付款、启运、到货等流程的风险进行识别。这些流程中有一个环节发生问题，都会影响到保障供应。以某重要复杂装备签订采购订货合同为例向上游推演三步的风险有：商务谈判的底牌被对手掌握，谈判会被动；负责技术谈判的人员不懂得这类装备知识，可能会被蒙骗；供方有重大财务危机而不掌握，会带来经济风险；这一切风险都会影响合同签订方的利益。还以某重要复杂装备签订采购合同为例，向下游推演三步的风险有：迟迟不付款，供方就有可不组织生产，耽误进度；运输装备没有防护，有可能在运输过程中造成装备损坏；到货之后存放在露天场所无防护，恶劣天气可能影响装备精度；这一切都会给供应链利益攸关方造成损失，如图4 所示。

4.3 利益攸关方风险识别

供应商管理历来是供应链风险管理的重点。供应链是为最终客户服务的，没有了客户，供应链就失去了意义，所以客户也应该是供应链风险管理的主要内容。参与供应链运作的利益攸关方除了供需主线上的组织和个人之外，还包括为保障供应链顺畅运行的，并从供应链运作中获得利益的所有组织和个人，如运输企业、仓储企业、电商平台、财务结算平台、网络环境平台等，这些利益攸关方对供应链运作也会产生影响，如运输过程污染、库房火灾、商家跑路、网络不通等都会造成供应链中断。所以按供应商和客户这条主线进行风险识别时，应考虑参与供应链运作所有的利益攸关方的风险。以供应商和客户为主线把供应链的供应风险向上游推演三步，甚至推演到供应源头，再向下游推演到顾客，对供应链条上的主要运作单位进行风险识别（如图5所示），才能比较全面地掌握有关利益攸关方的风险。2020年5月15日，美国商务部宣布即将修改出口管理规则，根据这项规则变动，即使芯片本身不是美国开发设计，但只要外国公司使用了美国芯片制造设备，就必须得到美国政府的许可，才能向华为或其附属公司提供芯片。2020年5月19日，美国财政部宣布对名为Shanghai Saint Logistics Limited的一家中国物流公司实施制裁，理由是，美国政府认为该公司担任了伊朗马汉航空公司的总销售代理，为该航空公司提供中伊航线的货运预订服务。可见美国对竞争国家的打压进一步向利益攸关的间接供应商和中间服务商延伸了。

图5 利益攸关方风险识别示意图

供应链上的每个组织都处于不同种类的风险之中，供应链的参与主体受到来自外部环境和内部不利因素影响而形成风险。把以上风险识别方式结合起来，才能比较全面地识别供应链风险，发现深层风险。

5 结论

传统的供应链风险识别方法在发生大范围突发流行病疫情、自然灾害、区域冲突、贸易战等情况下对风险的全面性和深层风险认识不足。围绕保障供应，从产品风险、经济风险、人员风险、环境风险等四个方面进行识别，识别风险时按业务流程向供应链上下游延伸，才能比较全面地识别风险，发现深层风险。