供应商审计：如何评估您看不见的事情

与供应商签订合同，您得到了一份关于约定事项的书面记录。合同没有告诉您的，是该供应商运营内部实际发生的事情。合同承诺与运营交付之间的落差，正是供应商风险所在——也是供应商审计发挥最重要作用的地方。

供应商审计的类型

• 质量审计：核实制造流程、质量管理体系及检验程序。ISO 9001认证是基础，但不能替代直接审计——它证明体系存在，而非体系有效运转。

• 环境与可持续性审计：核实对环境法规和买方可持续承诺的遵守情况，涵盖废物管理、排放控制、能源使用及化学品处理。

• 财务可行性审计：财务困难的供应商无论质量体系多好都是供应连续性风险，对于单一来源供应商尤为关键。

• 劳工与社会合规审计：核实工人权利——工时、薪酬、健康安全，以及禁止强迫劳动和童工。

• 网络安全审计：针对处理敏感数据或接入买方系统的供应商，核实访问控制、数据处理实践及事件响应能力。

审计生命周期

1. 规划。 明确审计范围、目标和标准；确定审计团队；提前向供应商沟通审计计划。

2. 执行。 三类证据收集方式：文件审查、访谈操作人员与管理层、直接观察设施和流程。三者结合至关重要——文件可以伪造，访谈可以排练，但现场实际操作难以被有效「演出」。

3. 报告。 按严重程度分类：关键（即时风险）、重大（须在规定时限内整改）或轻微。纠正措施要求须明确期限。

4. 跟进。 核实纠正措施——确认供应商已切实落实整改——是众多审计计划的薄弱环节。没有跟进，审计就变成了合规表演而非真正的风险管理工具。

管理审计疲劳

拥有多个重要客户的供应商常常面临审计疲劳。有效策略包括：与公认的第三方计划（SMETA、ISO、SA8000、SOC 2）对齐，采用基于风险的审计排期，以及在多个买方对同一供应商有共同利益时探索共享审计方案。

XNM咏询支持组织设计供应商审计计划、开展风险导向型供应商管理及采购治理工作。