供应商走访，如何穿透“纸面合规”？

     走进那间位于居民楼的“公司”，面对90后老板A的热情接待，一切看起来都很美好，直到我问起那10名员工的工位，空气突然安静——“他们都出外勤去了”，他笑着说，眼神却避开了我环顾空荡房间的视线。

     这个瞬间，正是内控走访供应商的缩影：在细节中洞察真相，穿透“纸面合规”的迷雾。今天，供应商已成为企业风险的延伸体，其财务、合规、运营上的问题，都可能通过供应链迅速传导，给企业带来风险。基于COSO内部控制框架，本文将分享一套经过实战检验的的方法论，让每一次供应商走访，都成为业务稳健前行的坚实基石。

     01  管理供应商风险的必要性

     内控的人员的核心职责是 “识别 - 评估 - 应对（处理）” 风险，而供应商作为价值链关键环节—— 从质量、履约到合规，任何一个模块出问题，都可能引发连锁反应，成为企业的外部风险入口 。

     风险传导器：单一节点风险可引发系统性冲击

     1）财务风险：某餐饮企业向冷链供应商预付 30% 的款项后，供应商突发资金链断裂，预付款险些形成坏账，同步导致数百万元食材因冷链中断变质；

     2）合规风险：某电子企业因上游供应商废水排放超标，被监管部门连带处罚数万元，企业 ESG 评级同步下调；《中华人民共和国水污染防治法》强化了企业对供应商环境风险的管控义务，CDP（全球环境信息披露组织）也已将供应商环境管理纳入核心指标，进一步强化企业责任；

     3）运营风险：某汽车零部件供应商隐瞒批次性质量缺陷，导致整车厂商召回万余辆汽车，直接损失超千万元。

     声誉关联体：供应商污点的 “指数级放大效应”

     某快消品牌因供应商使用童工的视频传播，股价单日暴跌12%，投资者索赔金额超10亿元。 社媒时代，供应商的伦理缺陷、合规问题已成为企业声誉 “黑天鹅” 的重要源头。

     02  供应商走访方法论

     内控的核心目标是 “防范风险、保障运营、提升效益”，面对供应商风险，要建立全生命周期管控体系。该防线落地的前序关键动作——供应商考察，围绕 “能力匹配、风险可控、合作可持续” 三个维度，按以下三步开展，辅以量化评估和风险管控。

     1）前期准备：明确标准，避免盲目考察；拆解需求，联合各相关部门产出并制定评估表，将需求转化为可量化的评估维度。

     2）实地走访：多维度验证，穿透式调研；结合员工访谈，了解项目协作流程、问题解决机制，判断团队专业性和配合度。走访可破解 “数据与现实的鸿沟”：书面材料可能美化，但现场环境、人员操作较难伪装；实地走访可穿透 “纸面合规”。

     比如：某医疗企业考察现场发现，供应商灭菌车间与员工食堂共用通风系统，存在交叉污染风险，而该问题未在供应商提交的合规报告中体现。

图：内控走访的"六不"原则

     3）评估决策：量化打分，风险前置，持续监控。

     •考察报告需包含 “现状 - 风险 - 建议” ，附财务指标表等佐证材料。

     •风险分级与处置：高风险，如资质造假等红线问题；中风险，如产能不足等；针对不同的风险区域采取不同的管理举措，常用的分级管理包括拉黑、淘汰、冻结等。对于低风险供应商，仍需关注整改建议并完成跟进，实现供应商考察的闭环管理。

     •考察资料归档：含问卷、访谈记录、第三方报告、实地照片等，符合审计追溯要求。

     •持续动态监控：AI预警系统，绩效评估，年度复评等。

     供应商走访不是一次性的检查，而是建立长期风险管控机制的起点。当内控通过走访将风险拦截在合作之前，它的角色就从成本中心转向了价值创造，这确保了企业的资源能投入到真正可靠、能带来增长的合作伙伴身上。

     03  供应商走访中的挑战与应对

     从事内控工作5年，我走访过近百家供应商，不同品类的供应商特征不尽相同。 不同的的老板接待内控走访，有热情，当然也有抵触。走访，除了职业化的本身，与人沟通又何尝不是一场又一场攻心战。

图：供应商分品类考察重点示例

     我走访过传统制造业、食堂、软件开发、数据科技、线下活动、剧宣营销、游戏IP版权衍生品制作等品类的供应商。它们的所有者身上，烙印着极其差异的时代个性与成长曲线，70/80/90年代的创业者，集合于“有点梦想”和“热爱金钱”，滋生出不同特征的风险 。我们用穿越时代的内控方法来侦察，也遇见了不少笑泪交织的故事。

     案例1：模糊其词背后的猫腻

     A，90后，营销传播公司老板， 2013年毕业，工作一年后创立了自己的营销公司。他的得体与通透，认知与决断力，感性与创造，都使得这家公司足够耀眼。但在这个没有壁垒的行业，我必须在有限的走访时间内验证最关键的问题 ，最终我通过三个要素，定位出了核心风险点：该公司系空壳公司，我们终止了合作。

     1）  合同溯源锚定“三要素”：人员社保核团队、办公场地核存续、过往项目核履约。

     A的办公地在居民楼，现场没有员工，当我问及公司简介10人员工时，他说员工今天都出外勤了。我继续追问：“那他们的工位在哪，你这房间没有多余的桌子，更没有办公室设备。”A只说道：“我们公司是90后/00后团队，他们都是不缺钱的人，光体验生活来了，不好管理。”他没有正面回复我的疑问。

     2）  分品类风险管理要点：服务类供应商要盯人员与办公真实性，营销类供应商要盯流量质量与资源权属。A这家传播服务类的供应商，命中了真实性风险。我们回头又抽看了过往的项目交付，存在虚假验收、价格虚高等情况，考察结束后在推进挽损的同时，终止了合作。

     内控视角的走访，从来不是“挑刺”而是守底线。那些资质与实际不符、社保记录异常、流量数据虚高的小破绽，正是空壳供应商的“命门”。去年我们拦截多家空壳供应商，规避了很多潜在的损失。

     案例2：财务风险背后的苦衷

     从联系开始，B大哥，一个IP衍生品制造公司的老板，就充满了抵触，推开他办公室的门时，他满眼不耐烦，点了一支烟，自顾自抽了起来。我试图用真诚换取信任，用专业分析风险；后来他敞开心扉，与我畅聊两小时。

     1）财务状况与资金风险：B一开始拒绝披露近三年的财报，访谈中得知，疫情、中美贸易战及经济内循环等因素对他的公司造成了巨大冲击。营业额从数亿元下降至千万，账面资金数据表现较差，资产负债率超出安全区。尽管B的公司在一线城市有一整栋4层楼的办公空间，有近百名员工，也有摆满一整面墙壁的手办产品，但糟糕的财务状况使其存在较大的资金风险，不符合考察标准。

     2）单项目决策对公司的影响：2年前，B接了一个其他公司的大单，这个客户超越了他的掌控，他投入到不熟悉的领域——智能AI硬件产品。投入生产一年后，客户突发变动，产品没能上市，货款也没收回，全砸手里了。生意场上天然规定了乙方的姿态，即使乙方的人，是一个硬气的人。B虽然在努力挽回损失，但这种不确定性和风险也是考察的重要评估因素。

     我来时，他没有接待；我走时，他充满欢笑。希望这几小时，对他来说也是愉快的。即便遗憾，但他的公司仍然没能通过考察。与人沟通，要“用心“；代表公司与其他公司的沟通，则从属于职业行为，要用”专业“——做出更准确的判断，才能优化供应商合作，降低潜在风险。

     04  结语

     现在，AIGC 重构内容生产、3D 打印颠覆制造逻辑、Web3.0 重定义产权关系；但无论技术如何迭代，内控的本质始终是 “用系统化的确定性，驾驭合作伙伴间的不确定性”。未来，内控供应商管理将进一步向 “数字化（实时监控）、智能化（AI 风险预警）、差异化（精准匹配策略）” 演进。