【原】供应链风险控制管理的三个步骤

在上一篇文章中我谈到了供应链的风险，在文末中提到我们不能一味被动地接受风险，需要主动地去管理供应的风险。具体需要怎么做？我在下文中具体展开讨论。

风险是具有不确定性，同时也是客观存在的，只要有供应链的活动的地方，就会有风险。

让我们来举一个例子，我们经常会光顾的传统早餐摊。如果老板在早上没有准备好面粉黄豆等原材料，那么就没有办法做大饼和豆浆，供应不了顾客。

如果没有办理卫生许可证，小店可能被要求关门停业没法做生意。这些都是供应链活动里的风险。

在前文中提到的舍弗勒事件里，因为其滚针供应商没有通过环保评审，而差点造成上海通用在内的众多客户停产，就是一起非常典型的供应链风险案例。

究竟什么是供应链风险管理？

供应链风险管理（Supply Chain Risk Management）是指系统化的识别、评估、量化潜在的供应链断裂风险，其目的是控制风险的发生和降低风险的负面影响或损失。

随着制造业管理水平发展的日趋成熟，供应链风险管理也愈来愈受到企业的重视。

2011年3月11日的东日本大地震，对于日本的汽车行业造成了巨大的影响，本土和海外的工厂都采取了减产甚至停产的措施，韩国车企趁此机会顺势抢占了市场的份额。

日本车企本田和日产在大地震后认识到风险管理的重要性，开发了新的系统来识别紧急事故中供应链可能发生的中断，这也可以算是亡羊补牢，为时不晚。

那么企业该如何控制供应链的风险？

我认为可以从事前、事中和事后三个步骤来控制和减少供应链的风险。这三个步骤相互关联，使得风险管理体系更加的完整，成为一个完整的闭环（Closed-loop）。

事前 — 预防风险发生

企业应该对于一些潜在的风险进行识别、分析和评估。

一、识别风险

首先，我们需要进行风险识别，把风险归一下类。比如有产能瓶颈造成交货紧张的风险、有供货问题的供应商、在设计阶段就存在隐患的产品、曾经发生过的或已被识别的风险等等。

说到外部原材料，就不能不提到卡拉杰克供应矩阵（Kraljic’s supply matrix）。

根据原材料的战略重要性和获取的难易程度，卡拉杰克模型将采购原料分为四个类别：

很显然，我们需要对于Core Competency Materials额外地关注，因为他们供应风险大，战略重要性又高。

二、分析风险

在分析的过程中，需要把风险定义成为不同的等级。怎么定义呢？这里有一个常用的公式：

风险等级 = 发生的概率 x 损失的程度

让我们来举二个例子：

超市货物失窃，超市丢东西很常见，损失却是不大的。这属于概率高，但是程度低的类型。

整车客户停产，舍弗勒的供应商不能供应原料，这种事情发生的概率很小，但是造成的损失是巨大的，最大可能影响三千亿GDP（数据来源：舍弗勒的紧急求助函）。

我们也可以用一个矩阵，来归纳风险的等级。

三、评估风险

根据定义的风险等级，企业评估是接受或是不能接受风险。

对于超市货物失窃的风险来说，很有可能评估后发现，增加安保防窃的费用比丢失的商品价值更高，所以这种风险是可以接受的。

对于舍弗勒来说，如果造成了客户整车厂的停产，这不仅仅是销售上的损失，还会影响到企业在市场上的声誉。

客户们可能会认为舍弗勒是个不靠谱的合作伙伴，没有能力来管理好自己的供应链，管理体系存在巨大的漏洞等等。所以舍弗勒是万万不能接受这样的风险的。

如何量化评估风险？有一个公式可以作为参考：

风险的成本 = 

发生后预计的损失 x 可能发生的概率

使用这个公式大概能对比一下防范风险的费用和实际发生后造成的损失。对于企业来说，只能是两权相害取其轻，选择成本较低的那一种方法。

总结一下，企业首先要把风险归归类，然后分析风险发生的概率和可能的损失，最后评估需要采取的行动。企业应该尽量在源头处防范风险的发生，这个阶段风险控制的成本是最低的。

事中 — 控制风险扩大

面对风险，有二种的行动方式，第一种是预防，第二种是控制。

预防是主动性的措施，是在风险真实发生之前，采取一些行动使得风险发生的概率和严重性降低。

比如早餐摊的老板，在前一天的晚上检查是否有足够的面粉和黄豆原料，如果不够的话，还有点时间来安排补货。这样一来，隔天早上缺料的风险就大大降低了。

如果风险事件发生了，企业就应该立即采取行动，控制风险的进一步扩大，同时保护客户不会受到此事件影响。

比如，企业在客户端发现不良品后，应该先使用5W2H方法来对问题进行分析，对库存产品进行挑选和隔离，并采取遏制措施。

接下来要做的就是保护客户的权益，与客户进行积极沟通，在客户的仓库进行挑选，迅速安排补货或者换货。

在上一篇文章中的案例里，正是因为我公司有红色预警这样的机制和完善的全球供应网络，所以才能在最短的时间内协调原材料供应，防止了缺料的风险危及到客户。

事后 — 减少风险损失

在风险事件得到有效控制后，企业就要考虑如何修复或者减少风险带来的损失。

企业应该分析风险发生的根本原因，并采取行动彻底消除问题的源头，确保同类的风险事件不会再次发生。

企业也可以把风险事件发生的整个过程进行经验总结，并在企业内部和外部传递经验。

这些经验积累，也有助于企业预防其他潜在的风险发生，并且不断完善风险管理体系。

企业需要制作一份风险管理手册，明确如何预防风险，制定应急的措施，并且要落实责任到人，最后需要定期回顾，确保这套体系文件是行之有效的。

风险是相对的，不是绝对的。只要企业积极采取预防风险的行动措施，就可以尽可能地防范风险或减少损失。