建立基于风险基础的供应商合规管理

建立基于风险基础的供应商合规管理

编者按

本文作者索娜尔·辛哈（Sonal Sinha）是MetricStream公司助理副总裁，负责消费品、零售和科技行业的解决方案和策略。她拥有超过十年的工作经验，曾在谷歌、Visa和毕马威会计师事务所等公司从事风险管理、审计、咨询和合规工作。本文介绍了当前美国企业供应商的合规状况，以及如何建立基于风险基础的供应商合规管理，对于中国企业履行社会责任、开拓国际业务将有所助益。

由于诸如《反海外腐败法》（FCPA）、《英国反贿赂法》等法规，众多企业不得不将合规性和监测方面的工作扩展到企业自身范围之外，比如他们庞大的全球供应链。如果上游供应商出现不合规或不遵守政策的情况，企业将不能再忽视。因为，最终的后果，包括所有经济、品牌和声誉的损失，都将由与供应商（或供应商的供应商）有关系的企业来承担。

换句话说，现在的企业面临着前所未有的压力，他们要有效地设计、沟通、执行、监控、跟踪和解决供应商遵守不同司法管辖区和特定行业的法规，这将是一个艰巨的任务，因为今天的供应链是复杂、巨大、多层次的，分散在全球各地。

然而，对于所有企业而言，在整个供应链实现完整和实时的可见性势在必行。来自监管机构的压力持续快速上升，来自客户和消费者的期望和压力将上升得更快。对企业来说，关键问题是在风险和违规问题造成更大的经济损失之前，或影响品牌和声誉之前，进行预先识别和应对。

供应商的合规情况

由于成本和效率的原因，企业越来越多地采用新兴市场的供应商，但这也带来了各种各样的法规风险。在德勤（Deloitte）2012年的一份调查报告中，70%的高管表示，他们极其或非常关注新兴市场中与合规和诚信相关的风险。同时，只有40%的高管对自己的公司管理供应商合规风险的能力极其或非常有信心。如果公司是与第三方代理合作，只有36%的高管有这样的信心。

事实上，在许多企业，供应商的合规管理工作做得并不到位。以冲突矿产法规为例，首次报告的最后期限是2014年6月2日。然而，普华永道会计事务所最近的一个调查显示，25%的受访者仍然处于合规的早期阶段;26%的受访者要么在确定范围，要么还在规划和执行合理原产国调查（RCOI，reasonable country of origin inquiry）。

不幸的是，企业仍然视供应商合规为昂贵的负担。他们追求合规，主要是为了避免法律诉讼和监管处罚。然而，许多供应商的合规程序已被证明能产生可衡量的好处。美中贸易委员会（US-China Business Council ）的一份合规报告，讲述了一家拥有中国业务的美国公司如何评估约300名当地经销商遵守《反海外腐败法》的情况。通过这种做法，该公司淘汰了三分之二的分销商，提高了17%的利润率。

所以，如果供应商的合规管理不仅仅被视为一个必要的、监管规定的活动，而是也会产生商业价值的东西，就会产生一个问题：如何在整个供应链创建一种合规文化？

根据以往的经验以及与业内高管的交流，以下是几个值得采纳的良好经验。

视供应商合规为自身商业过程的延展

供应商可能是第三方机构，但他们也是你企业的延展，通过完成你自身不能完成的任务来推动你的事业发展。因此，在供应链中，有必要用和你的组织相同的努力、紧迫性以及责任来实施合规标准、政策和行动，这一点非常重要。

它首先决定于高层的态度。董事会、最高管理层和其他的高管层明白供应链风险管理和合规的重要性，以及合规对企业风险的影响，他们的支持和资源是非常重要的。一些高管会向所有的供应商（或至少是最高优先级的供应商）发送个性化信函，介绍组织的培训、教育和认证过程，此类信件强调了合规的重要性，并确保供应商清楚了相关要求。

为了创建一个真正具有合规和风险意识的供应链，另一个重要步骤是在第三方风险评估的基础上选择合适的供应商。除了你的一级供应商之外，要清楚你在和谁一起合作。仔细审查每一个供应商，并进行有效的尽职调查。找出谁是你供应商的供应商，了解他们的企业目标和合规目标，只选择那些和你目标一致的供应商。比起供应商对合规的承诺，企业可能会更注重供应商的成本，但从更长远来看，不合规的供应商将使你花费更多的成本。

一旦和供应商签订合同，就要确保他们基于你们的合规政策受到良好训练和教育。最好在一个在线知识库保存这些政策，以便供应商可以很容易地查询。这一点很重要，因为合规行为最终将归结为意识，而意识只能通过良好的沟通、培训和教育计划来提升。在整个企业和供应链的所有层次使用这些程序，以加强合规的信号。

激励你的供应商合规

当企业的一名员工有着高质量和始终如一的表现，他通常会得到认可和奖励。另一方面，如果供应商一贯遵循政策和法规，却很少会被注意到。相反，如果这些供应商未能合规或犯了错误，所有的眼睛都会盯着他们。

如果供应商是组织的一个延展，你应该像对待员工一样对待他们。在最近一次与大型零售商的谈话中，我了解到公司按照零售商的程序和进程对供应商采取货币和非货币性激励。激励供应商以一种更配合的方式合作，并对缺陷进行报告，这样做往往能加强合规行为。因此，你需要找到奖励你的供应商合规的合适方法。

你还可以简化合规手册，以一种明确和简洁的方式阐述你的目标和措施。这样的做法能使供应商更好地合规。

减少说教也能使合规行动更具合作性。和你的供应商实时共享合规行为数据，为他们提供一些关于最佳合规性实践的洞见。鼓励他们披露不足，并与他们紧密合作解决这些问题，而非惩罚他们。这将促使供应商对你更加开放和透明。

灵活的做法

一个合规专员面临的最大挑战是试图平衡全球法规和当地指令之间的差异。一些做法，如送礼，在一些国家被认为是不可接受和不能变通的，却可能是另一个国家当地文化的一个组成部分。所以，当你为供应商开发合规政策时，要把这些文化差异考虑进去。

最好的办法是建立一个整合的政策实施模式。在企业层面，制定关注整个供应链关键性合规问题和风险的工作准则和工作规程。在供应链层面，只要不违背基本政策的“精神”，允许这些合规政策具有适应当地文化所要求的某种程度灵活性。

同时，建立一个贯穿整个供应链的通用、标准化的合规控制和活动的分类报告系统。通过这种方式，从不同地方的供应商获取的数据可以汇聚到公司层面，能够为全球供应链合规的整体水平和地区性问题提供清晰、一致的观点。技术是这种模式能成功的一个重要因素。

基于风险水平管理供应商合规

供应商并不需要完全相同水平的控制或监控。例如，在美国，一个供应商可能不需要太多的反贿赂合规监测，而在贿赂风险较高的国家则不同。类似地，不接触敏感客户信息的供应商不需要达到与那些保存敏感信息的供应商相同的安全控制水平。

关键是要回答正确的问题。为什么你要使用这家供应商？这家供应商的业务涉及什么样的信息（例如，客户的机密信息）？上一次给这家供应商的评价是什么时候？这家供应商是否位于一个高风险地区？

基于这些问题，进行各供应商的合规风险评估，并对每个供应商的风险预测计分。相应地进行供应商排名，如果供应商是低风险的，他们不需要经常被进行审计。

使用数据驱动方法分析供应商的合规行为，需要你充分利用过去的供应商数据以及仿真和模型预测分析潜在供应商的合规风险，这些洞见可以在合规问题发生之前就对其进行预测和处理。

结论

已经发生的一些事件，如马肉丑闻、供应商剥削工人以及备受瞩目的腐败和贿赂实例，凸显出如果没有对供应商进行有效的管理、培训和监督，这些事情将快速扩散。在一个高度竞争的公共环境，一个简单的失误可能损害公司的品牌、价值、声誉，甚至生存。为了使企业与供应商密切合作，加强基于风险的合规势在必行。那些将供应链合规作为核心业务活动嵌入每个供应商流程以及为更广泛的供应商关系管理而努力的公司，一定会笑到最后。

（熊 辉 编译）