企业供应链合规管理实务研究

关于供应链管理与采购，很多人经常会问一个问题：采购管理与供应链管理之间是什么关系？大家很容易把采购管理与供应链管理相混淆。要回答这个问题就先要对供应链管理进行正确的定义。笔者根据个人多年的工作实践和结合大学供应链管理专业学习理解，给供应链管理下了一个定义：供应链管理是原材料到最终产品或消费者全过程的价值链规划与持续优化。这种全过程的价值链规划与持续优化，是通过灵活多样的采购方式来确定供应商与采购价格，并编入规划好的供应链上的某个部分，成为一个企业供应链上的供应链伙伴。即进入供应链上的供应商是经过“采购”选择出来的，与企业形成了相对最优选择的供应链伙伴关系。随着企业外部要素供求市场的不断变化，如果市场上产生了更优的供应商与价格，企业会对已有供应链伙伴中的某个供应商，通过再采购进行替换，从而实现供应链绩效的持续优化，使得原材料到最终产品或到消费者全过程的价值创造更优。通过对更优的供应商与价格的再采购竞选，选中在满足同功能前提下质量、价格更优的供应商，实现不断降低采购成本，提高产品品质的目的。这个过程是一个动态、持续优化的过程，即供应链管理是一个动态管理过程。因此，对于一个持续经营的企业来说，供应链不是静止的，而是动态的。在供应链的各个环节，市场上都可能出现不同的更加优秀的供应商，其会被企业通过每年定期或者不定期的再采购方式，选择进来，并不断选优。综上所述，供应链管理是原材料到最终产品或到消费者全过程的价值链规划与持续优化。那么，从实务层面如何落实供应链管理呢？

供应链合规管理的战略定位

笔者认为供应链合规管理的战略定位包括以下3个方面。

首先，供应链合规管理是现代企业高质量发展的基石。供应链合规管理非常重要，它是企业的生命线。特别是在产品制造类企业，很多采购标的都会成为最终产品的构成部分。供应商所供应的物料、设备、原材料，如果出现问题，问题就会进入最终产品，这是致命的。比如，质量不合格的建筑原材料进入工程现场，成为建筑物的一部分，这个建筑工程就会存在致命的建筑质量隐患。因此，可以说供应链合规管理是现代企业高质量发展的基石。高质量发展是什么？是要向市场提供好产品、好服务。好产品、好服务来自企业有好的供应链。供应链上的供应商所供应的产品是好的原材料、好的加工产品，才称得上是好的供应链。技术符合标准、质量合格等合规表现是好产品的基本内涵。

其次，供应链合规管理给供应商提出了比合法经营更高的管理要求，是供应商面临的一个市场机遇。新时代的国企、跨国公司在面向全球构建供应链时，会提出一个新要求：进入企业供应链上的供应商的产品合规性品质如何。供应链合规管理将驱动供应链上的供应商加强合规管理工作。反之，供应商加强和实施合规管理会成为供应商优先进入国企供应链的竞争软实力。

最后，供应链合规管理是供应链安全的基本要求。供应链安全的内涵有两个方面：一是保证供应，不断供；二是供应的物料是安全的、合规（符合技术与质量要求、标准）的。例如，近期网上披露的英国血液污染事件，问题就出在血液制品采购供应过程中的质量把关不严。

合规管理的概念和内涵

随着合规管理的发展与普及，其概念也在不断变化。

第一，企业合规管理职业化。作为新时代的一个新职业，企业合规管理已经纳入了国家正式的职业通道。2022年，企业合规师出现在《中华人民共和国职业分类大典（2022年版）》中，成为商务专业人才里编号为2-06-07-14的一个新职业。

第二，企业合规管理认证标准已经发布。2021年4月，国际标准化组织发布标准《合规管理体系　要求及使用指南》（ISO 37301:2021），这是一个A类认证标准。截至目前，据估计已有40多个国家等同转化为本国的认证标准，成为企业继质量、安全与环境管理体系认证标准以外的又一个新的管理体系认证标准。2022年10月12日，我国等同转化的国家标准《合规管理体系 要求及使用指南》（GB/T 35770-2022）发布实施，替代了之前等同转化的《合规管理体系 指南》（GB/T 35770-2017）。市场的嗅觉往往是非常灵敏的，作为一个可以认证的管理体系标准，自发布以来，已经有很多企业开始申请合规管理体系认证。截至2023年底，据估计获得合规管理体系认证的企业数量为500～600家。2024年上半年，咨询合规管理体系认证的企业数量明显上升。企业为什么想要认证？一些企业工作人员表示，因为部分业主招标有合规管理体系认证方面的资质要求。这一新动向值得关注，合规管理体系认证需求市场正在逐步觉醒。特别是那些涉及跨国公司业务的企业，在国际市场中可能会碰到明确要求具有国际认可的合规管理体系认证资质。

第三，企业合规管理的定义。《中央企业合规管理办法》（国务院国有资产监督管理委员会令第42号）中给出了“合规管理”的定义：合规管理是指企业以有效防控合规风险为目的，以提升依法合规经营管理水平为导向，以企业经营管理行为和员工履职行为为对象，开展的包括建立合规制度、完善运行机制、培育合规文化、强化监督问责等有组织、有计划的管理活动。根据最新的国际标准和我国等同转化的国家标准要求，企业合规管理是指对企业产品以及生产经营过程持续遵守“合规义务”的管理，其中合规义务是指具有强制性的、企业必须遵守的要求和企业自愿选择要遵守的要求。企业生产经营过程及提供的产品、服务需要遵守相关的法律法规、规则、标准以及企业与利益相关方自愿约定的要求等，在国际标准、国家标准中称作“合规义务”。值得特别注意的是，合规义务是一个二元的定义，也就是说一个企业要遵守的合规义务来自两个方面：一是具有强制性的，必须遵守的要求；二是企业自愿选择要遵守的要求。自愿选择要遵守的要求往往是指企业与其利益相关方自愿约定的。这一点很重要，因为同行业的两家企业，它们都在一个细分的行业里。比如，两家企业都是酒店，强制性要遵守的要求基本一样，但是由于两家酒店的市场定位和战略规划不同，瞄准的市场客户群不同，两家酒店自愿选择要遵守的要求一般是不同的。这样一来，两家酒店要遵守的“合规义务清单”就是不同的，这导致两家酒店的运营品质不同，在市场上的竞争力不同，面临的合规风险也不同。所以，在同样细分行业里的两家企业，其合规义务可能是不同的。

第四，合规义务的范围与结构。按照以上对合规义务的定义，一家企业要遵守的合规义务结构如图1所示。图1中的圆圈越大，要求越低，越往外围，要求越低。如最外围的国家法律法规标准是具有强制性的，是最低的要求，是底线；其次是社会公德、商业道德标准，会高于法律法规要求；再次是企业自愿选择对利益相关方自愿约定选择的要求，这些要求会更高，因为企业要以此区别于竞争对手，获得市场客户优先认可；最后是企业为了保证员工履职与办理工作事项过程的合规，会根据这些外部的强制性要求、自愿选择的要求，建立健全企业内部规章制度，如同建立一道防火墙，来预防和隔离企业的业务行为，避免违反那些强制性的要求和自愿选择要遵守的要求，如此，员工的履职方式才是安全的、正确的。

图1 企业合规义务内容的结构图

第五，企业的利益相关方是企业确定合规义务的来源。也就是说，一家企业要遵守的合规义务来自与其存在特定利益关系的利益相关方的合法合理要求。企业利益相关方包括企业在市场对接的可以发布具有强制性的法律法规和强制性标准的执法机构、监管机构等部门，也包括企业的客户、供应商和其他供应商，企业会自愿与它们约定要遵守的要求。从执法机构、监管机构到客户，再到企业的合作伙伴，甚至到企业内部的员工，这些利益相关方对企业的生产经营与提供的产品服务都有各自的要求，即合法合理的期望和需求，这是确定一个企业适用合规义务的主要依据。合规管理与企业供应链有密切关系，供应链由企业供应各环节的供应商及其他合作伙伴构成，一家企业要把产品做好，其供应链上的合作伙伴非常重要。它们能否提供优质的产品和原材料，直接决定企业最终提供给消费者的产品是否优质，它们是企业产品本身合规的基础和来源。

第六，企业合规的实质。从合规义务的来源看，一个企业合规的实质是企业提供的产品、服务以及提供产品、服务的相关过程要持续满足利益相关方的合法合理要求。这些企业利益相关方的合法合理要求中，企业的生产经营及产品与服务满足了客户的合法合理要求，企业的产品与服务过程就做到了适销对路；满足了企业供应链上的供应商及其他合作伙伴，企业就可以与供应商合作共赢、共生、共同成长；满足了员工的合法合理要求，企业团队的生产力就会不断提高；满足了执法机构监管机构要求，企业就不会受罚；满足了社会公德、商业道德，企业就能保持良好的市场品牌形象。不论是合规国际标准《合规管理体系　要求及使用指南》（ISO 37301：2021）还是我国等同转化的国家标准，对合规管理的核心要义都是企业和组织要搭建一个共生、共赢、共同成长的利益相关方的生态圈。这样的合规是企业基业长青的基石，唯有如此，企业才能成为一个长期成功发展的企业。

供应链合规的价值

供应链合规的价值，是决定企业加强供应链合规的动力。对于采购企业来说，主要有3个方面的价值。

第一，控制企业供应链上的合规风险。对于企业来说，控制风险是首要的。强化供应链合规管理能够确保企业不出现违规负面事件，或者大大降低发生的概率。不合规会导致许多负面后果，包括企业名誉损害、人员伤害、环境损害、经济损失、行政处罚、民事责任和刑事责任等。供应链上的供应商在向企业提供原材料和服务时，如果出现不合规，不合规的后果将输入到采购它们的企业中，引起连锁的不合规事件。因为供应商原材料的质量问题，导致采购企业的产品出现严重质量问题、安全问题，这样的案例时有发生。

第二，提升客户满意度和信用。企业如果加强了供应链合规管理，那么企业供应链上的供应商所供应的原材料、部品、配件将是优质的，履约将更加可靠。其客户就会认为企业生产的产品原材料、部品、配件是可靠的。这也满足了客户对风险穿透控制的要求，客户将更加满意和信任企业。一个企业想生产出好产品，仅仅依靠自己是实现不了的，还需要供应链上的供应商一起合规，才能够让采购企业整体实现合规。

第三，实现企业产品质量持续稳定。企业产品的质量稳定需要自身的合规生产与控制，也离不开供应商的合规生产与控制，因为构成产品的原材料、部品、配件是由供应商生产制作的。比如，采购企业是一家制药的企业，加强供应链合规管理，确保供应链上的供应商向企业供应的制药原材料是优质的，企业所制造药品的品质就有了源头上的保障，并且能够实现制药企业产品质量的持续稳定，这一点尤其重要。制药企业有持续合规的供应链，就能够持续获得优质的制药原材料，最终制成的药品质量就可以保持稳定。因此，加强企业供应链合规管理，能够确保企业生产的产品质量持续稳定、可靠。

供应链合规对于企业供应链上的供应商来说，同样有3个方面的价值：一是让客户放心。如果供应链上的供应商自身加强了合规管理，能让客户更加放心，客户会觉得企业供应的产品、生产经营过程是有品质保障的。二是能够获得客户后续稳定的订单机会。由于供应商加强了合规管理，客户会认为供应的产品品质是可以预期的，履约也是可以预期的，客户会愿意再次合作，再次下订单。三是更快获得新客户的订单。供应商加强了合规管理，会在老客户那里形成市场口碑，传播给潜在客户，让企业与潜在客户快速建立信任关系，从而获得新客户的订单。

供应链合规管理策划

既然加强合规管理对供应链管理方和供应链上的供应商都有重要意义，那么如何进行企业的供应链合规管理策划？

对于企业来说，不同的企业由于战略使命愿景不同，其合规义务的边界也就不同，合规义务不同，企业对生产经营和产品服务的标准也不同。因此，采购企业对供应链上的供应商所供应的原材料质量要求、合规要求也不同。供应链合规管理要求要与之相匹配，要对应在采购企业的合规义务层级上。供应链合规管理策划核心点在于供应链合规管理要求是否与采购企业的合规义务层级一致。根据采购企业的战略使命愿景，不同采购企业所选择的企业合规义务层级是不同的，整体来看，有5个层级，如图2所示。

图2 企业合规层级示意图

如图2所示，企业能够选择的最低层级是刑事合规层级。即企业以刑事合规零发生为合规预期的合规义务层级，不违法犯罪是最低的合规义务边界确定标准。如果某个采购企业确定的是刑事合规层级的合规品质，合规义务以刑事合规义务为基准，那么采购企业所面对的供应链供应商，在某种意义上也是以刑事合规义务的边界来要求的。

比刑事合规层级高一级的是行政合规层级。即企业以“刑事合规＋行政合规”零发生为合规预期的合规义务层级，不违法犯罪、不被行政处罚是最低的合规义务边界确定标准。如果某个采购企业确定的是“刑事合规＋行政合规”零发生为目标的合规预期，那么其所对应的供应链上的供应商至少也是处于行政合规层级的。

比行政合规层级高一级的是民事合规层级。即企业以“刑事合规＋行政合规＋民事合规”零发生为合规预期的合规义务层级，不违法犯罪、不被行政处罚、不发生民商事纠纷是最低的合规义务边界确定标准。如果某个采购企业确定的是“刑事合规＋行政合规＋民商事合规”零发生为目标的合规预期，采购企业在选择供应链上供应商的要求会更加严格。采购企业和供应商需要遵守的合规义务就包括刑事合规义务、行政合规义务和民事合规义务，也就是说3种合规义务都遵守的供应商才能符合采购企业的合规要求。

比民事合规层级高一级的是道德合规层级。即企业以“刑事合规＋行政合规＋民事合规＋道德合规”零发生为合规预期的合规义务层级，不违法犯罪、不被行政处罚、不发生民商事纠纷、不发生违背社会公德及商业道德事件是采购企业合规义务边界确定标准。如果某个采购企业确定的是“刑事合规＋行政合规＋民商事合规＋道德合规”零发生为目标的合规预期，采购企业的合规品质就需要达到刑事、行政、民事加道德合规的“四星”层级。到了合规“四星”层级，采购企业对供应链上的供应商的合规要求就比较高了。

比道德合规层级高一级的是价值合规层级。即企业以“刑事合规＋行政合规＋民事合规＋道德合规”零发生，并追求企业自身价值合规为合规预期的合规义务层级，不违法犯罪、不被行政处罚、不发生民商事纠纷、不发生违背社会公德及商业道德事件，并且达到价值合规的高度是采购企业合规义务边界确定标准。如果某个采购企业的合规层级到达价值合规层级，其与供应链上的供应商的合作基本上是一体化的。

综上所述，供应链上的供应商合规要求要与企业自身选择的合规层级及确定的合规义务一致、对应，这是供应链合规管理策划的基本匹配原则，可以理解为采购企业与供应链上的供应商“志同道合”原则。采购企业按照这一匹配原则设定供应链上的供应商提供的产品质量标准和过程标准，这将是采购企业评估供应商是否能够进入合格供应商的核心评价标准，然后通过适用的各种采购方式确定供应商；作为采购企业供应链上的供应商，确保供应的原材料、部品、部件与采购企业的产品质量要求是匹配的，即两者之间遵守的合规义务是相同的，这是确保供应链合规管理有效的关键。

如何实现企业供应链合规

综上所述，采购企业要选择合适的供应商合作，供应商与其要求相匹配的核心在于双方在供应标的中遵守的合规义务必须是相同的，如何实现？实务中，除了正常的采购供应业务风险尽调和将采购企业对供应商（外包方）合规要求、管控措施、合规目标、处罚约定等写入合作协议以外，还应该按照合作前合规风险尽调、合作过程中合规监督和合作后合规评价“三段式”方式来进行持续的供应链合规管理优化，通过持续改进实现企业供应链的持续稳定和高质量。

首先是合作前的合规风险尽调。潜在的供应商是否符合采购企业的合规要求？采购企业要在合作前进行一次无差别的供应商、外包方合规风险尽调，对供应商、外包方的合规层级以及合规管理能力作出评价。一方面，评价其是否与企业最终产品质量要求相匹配；另一方面，评价其合规管理能力的水平如何，以确定公司可否接受、供应商（外包方）是否需要改造以及公司是否需要在合作期间对供应商（外包方）进行更多管控等。供应商合规风险尽调表举例，如表1所示。外包方合规风险尽调表举例，如表2所示。具体合规风险尽调内容包括：对供应商或者供应商的供应商提供的产品和服务本身是否合格，其质量标准是否达到采购企业的合规义务层级要求，要做出是否匹配的判断；对输入的合规风险、对其可能对采购企业引起的刑事风险、对其过去3年的违规情况进行分析。必要时确认其是否进行过第三方的合规认证，是否建立了合规管理体系，并要求其提供合规报告，声明有效的合规管理情况，甚至需要采购企业进入供应商的场所，进行第二方的验证。例如，跨国公司在中国发展供应链上的供应商时，很早就开始了合规风险尽调。碰到部分中国企业在技术上很优秀，但是在合规管理能力方面不达标的情况，部分跨国公司还会辅导中国企业建立合规管理体系，在验证合格后，再进入该跨国公司的供应链。

表1 供应商合规风险尽调表

表2 外包方合规风险尽调表

其次是在合作过程中的合规监督与管理。合规要求应该写进采购企业与供应商、外包方的采购合同。供应商（外包方）进入合作状态后，采购企业会持续地对供应商、外包方的合规风险管理情况进行监督评价。对于前面合规风险尽调中，发现可能引发刑事责任和市场投标资格行政处罚风险的，应提高对其合规监督检查的频次。供应商、外包方作为采购企业的合作伙伴，其合规服务监督检查表举例如表3所示。

表3 合作伙伴合规服务监督检查表

最后是一项合作完成后，对合作伙伴进行合规评价。以具体合作协议为范围的整个合作期间的真实情况为依据，对合作伙伴展现出来的合规管理能力进行评价。

对合作伙伴的合规管理能力评价表举例如表4所示。

表4 合作伙伴合规管理能力评价表

以上是采购企业供应链合规管理落地的合作前合规风险尽调、合作过程中合规监督和合作后合规评价“三段式”介绍。

作者简介：樊光中，国家市场监督管理总局认证认可技术研究中心企业合规师工作能力验证核心授课老师，ISO 37301：2021《合规管理体系 要求及使用指南》全程制定中国专家组成员。本文系其在第四届招标采购与产业链供应链管理前沿论坛上的演讲内容摘编。