安永认为，一个完善的企业合规管理体系应当从风险管控体系、流程和制度设计、绩效考核和分配机制设计、信息化管控平台四项能力建设为出发点，由企业战略层、管理层、执行层共同推动。供应链管理作为企业运营核心一环，是企业建立合规管理体系过程中至关重要的一部分。本文将从安永企业合规管理体系框架出发，专注探讨供应链合规管理体系的构建方式以及注意事项。

我们认为企业优化供应链合规管理通常需要从以下三个角度切入：

相较于其他部门，供应链相关部门因其涉及大量跨职能部门合作、外部供应商和第三方合作伙伴的协同，其业务模式和流程往往更加复杂。因此有效的供应链合规风险管理，应当是一套可以跨各业务组织整体的、集成的操作模型，即在企业整体供应链战略指导下，将合规监管要求有机嵌入各供应链相关的管理办法、流程文件、及角色职责中。因此，领先企业会倾向于采用一整套供应链合规管理方案来解决供应链各环节合规风险问题，增加供应链整体的协同性和敏捷性，以做出更好的风险决策。

全流程透明的供应链管理，是各行业领先型企业期望的最佳管理状态，也是帮助企业建立端到端供应链风险识别、评估和监控的有效手段。以供应商管理为例，多数企业会通过建立供应链生命周期管理体系，实现从供应商准入到退出的全流程可控，并借助第三方机构或数字化工具，有效监控和管理供应商在生命周期中各项表现，以获得足够的信息识别潜在合规风险并做出反应。

企业需要建立风险地图，即对已识别的风险属性进行分类，并利用风险矩阵判断风险的程度和等级。依据风险的类别和等级制定应对策略，以确保在实际运营中，一旦出现任何风险，相关责任人可以快速反应，降低风险影响程度及范围。同时，企业还需要积极汇总每次风险应对结果并对风险应对策略进行持续性的审查和修订，不断完善跨供应链需求、计划、采购、物流等不同业务的数据源管理工作，改进风险模型和预警机制，以实现供应链风险的主动管理。

在整个供应链管理体系中，采购管理领域由于涉及到大量企业资金及资产的内外部流动，及多经营主体间交易，通常成为企业最为关注的合规管理领域。而国企的身份和性质，使得其有着更严格的采购合规要求，以防范风险和腐败的滋生。与此同时，实施严格的采购合规风险管理，在保障国企自身流畅运转的同时，也有助于实现其所在地区的经济健康发展，对推进公平竞争、实现良好的市场交易环境和诚信的市场交易体系具有重大影响作用。

接下来我们将从实践层面出发，着重讨论国有企业应如何优化、提升其采购业务的合规管理。安永建议，企业应当从管控体系、制度及流程、应对机制、数字化建设四个方向发力，实现全方位的合规管理：

企业应明确供应链合规管理责任人，以督促合规管理流程的设计与实施。国有企业通常会成立由班子成员组成的供应链合规管理领导小组，并由总法律顾问担任合规管理负责人，承担组织领导和统筹协调工作。而对于日常供应链合规风险管理，则是由业务部门和相关职能部门，如采购部、财务部、IT等业务需求部门共同承担，内审或纪检部门会作为最后一道防线，对供应链合规管理体系以及工作情况进行监督及评估。

企业应深入解读自身所处行业相关的法律法规、规范等（如政府采购、阳光采购或招投标法的要求），结合自身业务特点，设置“合规红线”，将合规操作要求有机嵌入采购内部管理或指导办法中，使得业务执行人员在工作时有所依据，且均在合规范围内。采购合规管理人员也可通过定期维护制度、指导文件、操作手册等文件的方式，确保内部文件同最新的合规政策相匹配。

看似完美的采购流程，在执行过程中依然会存在一些潜在风险。企业应通过多样化业务场景及采购流程梳理，结合行业对标，充分识别各流程步骤的潜在风险点，建立风险地图，并对不同类型和等级的合规风险建立事前、事中、事后的全面应对措施。以招标过程中可能出现的围标串标为例：企业在事前可以通过制定合理的评标定标办法或扩大投标人的范围，减少利益相关人员接触；事中采用智能语义分析、大数据比对投标文件等方式实现实时监控；事后设置惩罚机制，减少风险重复发生的概率，对于重大项目可以对供应商开展合规调查、签订合规协议、明确工作指引、执行定期监察等，将合规管理由企业内部向外部拓展，避免因第三方跨越法律边界给企业造成不必要的经济与声誉损失。

除了专业化、高素质的合规专业队伍，信息化、数字化建设也是确保采购合规管理工作的顺利推进的有力保障。企业通过建立供应商风险预警平台可以显著提高供应商生命周期的可见性，最大程度上减少风险发生的概率。也可以借助机器学习，建立采购合规风险分析模型，帮助采购合规管理人员实现在线监控、挖掘预警的功能。

在“可持续发展”的背景下，建立可持续供应链，是实现国有企业高质量发展以及合规管理与时俱进的最卓越体现。安永认为，从基础到领先的可持续供应链建设通常会经历5个发展阶段：

► 起始期，这个阶段企业只有最基本的供应链合规标准或指导，且对可持续相关合规风险理解不足，最容易受到合规风险的影响。

► 导入期，企业初步建立起可持续供应链管理体系，但没有管理供应链合规的相关策略，仅专注于高风险领域的合规管理，未形成跨公司的一致性应对方式或合规管理体系。

► 成长期，这个阶段企业开始关注一些重要的合规问题，并能够根据程度及影响范围对风险进行排序。同时，参照可持续性标准，制定供应链运营流程，确定并汇报可持续供应链的KPI。但这个阶段，企业主要关注的还是短期的合规风险管理。

► 巩固期，这个阶段的企业会采用全球领先、通用的可持续标准和认证计划来管理供应链。如在供应商管理上，将可持续标准（如供应商的经营行为是否对气候变化有正面影响，设备或产品制造流程是否符合环保标准，在员工选择上是否保证人权及平等因素）融入供应商筛选、选择和管理流程。更进一步的，还可以将该管理方式推广到企业核心或战略供应商管理流程中，进一步管理降低风险。同时，建立衡量供应链可持续发展绩效计分卡或KPI，持续监控供应链可持续实施情况。

► 领先期，可持续成为企业文化和基因的一部分，供应链可持续性成为上游设计或采购决策的一部分。这时的企业通常已经成为行业的领导者，具备领先视野，更关注长期的风险和机遇，并能够做到积极公开其可持续供应链的关键指标，提升企业形象。

实际上，并不是所有企业的可持续供应链建设都需要从“初始期”开始。企业可通过评估当前管理能力、管理标准，来定位所处阶段，并规划切合自身情况的发展路径。

企业在建立并具备了一定的供应链合规管理能力后，也应当配合开展定期的合规能力提升培训，包括合规政策、制度学习、合规案例内部分享、工作坊讨论等形式，确保所有新老员工都可以熟知最新管理程序和监管变化，了解任何不合规行为及可能带来的影响，并授以应对合规风险的标准操作，加快推进企业实现供应链合规管理，最大程度降低内部合规风险。