《電力企業(yè)供應鏈合規(guī)風險管理實施指南》

附件1

1

前言

本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)

則》的規(guī)定起草。

請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。

本文件由中國電力企業(yè)聯(lián)合會提出。

本文件由中國電力企業(yè)聯(lián)合會標準化技術委員會歸口。

本文件起草單位：

本文件主要起草人：XX、。

II

引言

為深入貫徹國家能源安全新戰(zhàn)略，落實保障產(chǎn)業(yè)鏈供應鏈安全穩(wěn)定要求，確保電力企業(yè)

供應鏈在依法合規(guī)的軌道上運行。按照“強內(nèi)控、防風險、促合規(guī)”目標要求，堅持“基于

風險、系統(tǒng)化、規(guī)范化、持續(xù)改進”原則，在供應鏈領域引入風險管理理論，在總結實踐經(jīng)

驗基礎上，針對電力企業(yè)供應鏈業(yè)務特點和風險類型，提出供應鏈合規(guī)風險管理方法，為規(guī)

范和加強供應鏈合規(guī)管理，促進供應鏈業(yè)務規(guī)范、高效、廉潔提供指南。

本指南明確了供應鏈合規(guī)風險管理的理論、原則、流程和方法，為開展合規(guī)風險的識別、

分析、評價、應對、監(jiān)督檢查、溝通交流等工作提供了參考標準。

III

電力企業(yè)供應鏈合規(guī)風險管理實施指南

1范圍

本文件提供了電力企業(yè)供應鏈合規(guī)風險管理通用指南。

本文件適用于各種類型和規(guī)模的電力企業(yè)在供應鏈所有環(huán)節(jié)中開展的合規(guī)管理活動。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期

的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括

所有的修改單）適用于本文件。

ISO31000風險管理指南

GB/T23694風險管理術語

GB/T24353風險管理原則與實施指南

GB/T24420供應鏈風險管理指南

GB/T26317公司治理風險管理指南

GB/T27914企業(yè)法律風險管理指南

GB/T27921風險管理風險評估技術

GB/T35770合規(guī)管理體系要求及使用指南

3術語和定義

GB/T23694界定的以及下列術語和定義適用于本文件。

3.1

合規(guī)compliance

履行電力企業(yè)供應鏈的全部合規(guī)義務。

[來源：ISO37301，有修改]

3.2

合規(guī)義務complianceobligations

電力企業(yè)供應鏈強制遵守的需求，以及電力企業(yè)供應鏈自愿選擇遵守的需求。

注1：需求指電力企業(yè)的經(jīng)營管理及員工經(jīng)濟活動行為符合法律法規(guī)、監(jiān)管規(guī)定、行業(yè)

準則和企業(yè)章程、規(guī)章制度以及國際條約、規(guī)則等要求。

注2：法律法規(guī)、監(jiān)管規(guī)定、行業(yè)準則范圍可包括

a)企業(yè)所在國的法律法規(guī)、監(jiān)管要求、行業(yè)準則相關要求。

b)供應鏈業(yè)務活動涉及的國際法律、國際監(jiān)管相關要求。

c)企業(yè)上級公司（集團公司）的涉及供應鏈管理的規(guī)章制度相關要求。

d)與企業(yè)內(nèi)部涉及供應鏈管理的規(guī)章制度、規(guī)范流程以及職業(yè)道德的相關要求。

[來源：ISO37301，《中央企業(yè)合規(guī)管理指引（試行）》“第二條”。有修改]

4

3.3

合規(guī)風險compliancerisk

電力企業(yè)供應鏈因未能遵循法律法規(guī)、監(jiān)管要求、行業(yè)規(guī)則、企業(yè)制度規(guī)定、管理準則，

而可能遭受法律制裁或監(jiān)管處罰、經(jīng)濟或聲譽等直接損失，以及影響電力穩(wěn)定安全供應、社

會經(jīng)濟發(fā)展等間接損失的風險。

[來源：《中央企業(yè)合規(guī)管理指引（試行）》“第二條”]

3.4

合規(guī)風險管理complianceriskmanagement

電力企業(yè)以有效防控供應鏈合規(guī)風險為目的，根據(jù)合規(guī)管理程序主動識別和管理可能存

在的供應鏈合規(guī)風險，并提出防范措施和改進方法的管理活動。

[來源：《中央企業(yè)合規(guī)管理指引（試行）》“第二條”]

3.5

供應鏈supplychain

生產(chǎn)及流通過程中，涉及將產(chǎn)品提供給最終用戶所形成的網(wǎng)鏈結構。

注：本指南所稱電力企業(yè)供應鏈是指為實現(xiàn)電力順利產(chǎn)生、輸送至消費者的目標，以保

障電力企業(yè)電力設施建設和維護、電力企業(yè)正常運轉所需的物資供應鏈（也可包含工程及服

務內(nèi)容），是電力企業(yè)響應內(nèi)部需求，將供應商（制造商、物流商、分銷商、服務商等）、

內(nèi)部配送中心以及內(nèi)部最終用戶連成一個整體的網(wǎng)鏈結構。

[來源：GB/T24420—2009，3.1，有修改]

3.6

風險庫riskregister

是風險信息庫的簡稱，為全面記錄、管理風險而形成的風險管理數(shù)據(jù)集，包含風險對象、

風險識別、風險分析、風險評價、風險應對等風險管理活動和風險責任主體的數(shù)據(jù)。

4電力企業(yè)供應鏈合規(guī)風險管理原則

為全面實現(xiàn)電力企業(yè)供應鏈全周期管理、全過程服務保障、全方位風險防控和全要素效

能管控目標，電力企業(yè)供應鏈合規(guī)風險管理應遵循下列原則：

a)合規(guī)性：電力企業(yè)及其員工有責任確保其在供應鏈活動中的經(jīng)營管理行為，符合法律

法規(guī)、監(jiān)管規(guī)定、行業(yè)準則和企業(yè)規(guī)章制度以及國際條約、規(guī)則等要求。

b)整合性：供應鏈合規(guī)風險管理要成為供應鏈經(jīng)營管理活動的一部分；將合規(guī)管理、

風險管理、內(nèi)控體系建設整合實施。

c)全面性：堅持將合規(guī)風險要求覆蓋各業(yè)務領域、各部門、各級子企業(yè)和分支機構、

全體員工，貫穿決策、執(zhí)行、監(jiān)督全流程。

d)系統(tǒng)性：利用系統(tǒng)性方法，全面考慮影響電力企業(yè)供應鏈合規(guī)的各類因素，組織內(nèi)

外部資源，有效提升合規(guī)風險管理效率，并產(chǎn)生一致、可比、可靠的結果。

e)動態(tài)性：隨著企業(yè)內(nèi)部和外部環(huán)境的變化，電力企業(yè)合規(guī)風險可能也隨之變化。以

適當和及時的方式預測、監(jiān)督、掌握和響應這些變化。

f)協(xié)同性：因供應鏈風險的傳遞性，電力企業(yè)供應鏈合規(guī)風險管理要確保提供最有效

5

并適合組織的信息共享方式，推動供應鏈業(yè)務相關部門以及企業(yè)合規(guī)、審計等監(jiān)督

部門齊抓共管，實現(xiàn)供應鏈合規(guī)風險的協(xié)同管控。

g)文化性：供應鏈活動參與人員、參與各方之間有效溝通，尤其是決策者在合規(guī)風險

管理中適當、及時的參與，形成電力企業(yè)供應鏈合規(guī)風險管理文化。

h)持續(xù)性：通過學習和經(jīng)驗積累，形成長效機制，不斷提高電力企業(yè)供應鏈合規(guī)風險

管理水平。

5供應鏈合規(guī)風險管理流程

電力企業(yè)供應鏈合規(guī)風險管理貫穿于供應鏈決策和經(jīng)營管理的各個環(huán)節(jié)。電力企業(yè)供應

鏈合規(guī)風險管理包括確定供應鏈合規(guī)管理范圍、環(huán)境及準則，合規(guī)風險評估，合規(guī)風險應對，

合規(guī)風險檢查和監(jiān)督，如圖1所示。其中，合規(guī)風險評估包括合規(guī)風險識別、合規(guī)風險分析

和合規(guī)風險評價等三個步驟。

在整個供應鏈合規(guī)風險管理流程中，應考慮內(nèi)部和外部環(huán)境、人員行為和文化因素的變

化，開展更新和調(diào)整。

在供應鏈合規(guī)風險管理全過程中應保持有效溝通，并保留必要記錄。

溝檢

通查

與與

記監(jiān)

錄督

圖1電力企業(yè)供應鏈風險管理流程

6供應鏈合規(guī)風險管理范圍、環(huán)境、準則確定

6.1概述

電力企業(yè)應確定供應鏈合規(guī)管理的范圍；關注影響供應鏈合規(guī)的內(nèi)、外部環(huán)境變化；主

動識別、分析和評價風險；結合相關方風險管控要求，確定供應鏈合規(guī)風險準則。

6.2供應鏈合規(guī)風險管理范圍確定

6.2.1電力企業(yè)供應鏈合規(guī)風險管理是企業(yè)全面風險管理的有機組成部分，貫穿于企業(yè)

決策和供應鏈管理的各個環(huán)節(jié)，可以用于電力企業(yè)的供應鏈戰(zhàn)略制定與執(zhí)行、供應鏈策劃及

運營、供應鏈監(jiān)督評價過程。

電力企業(yè)應確定供應鏈合規(guī)風險涉及的邊界和適用性的管理范圍，可包括以下內(nèi)容之一：

6

a)集團內(nèi)所有供應鏈業(yè)務。

b)集團部分分支機構供應鏈業(yè)務。

c)供應鏈某部分業(yè)務。

6.2.2在確定電力企業(yè)供應鏈合規(guī)風險范圍時，應考慮下列因素：

a)企業(yè)內(nèi)外部問題，及其與供應鏈合規(guī)風險的相關性。

b)企業(yè)結構、任務和責任等。

c)企業(yè)合規(guī)管理目標，相關方對本企業(yè)合規(guī)要求。

d)企業(yè)對供應鏈風險的承受程度。

e)供應鏈合規(guī)風險目標。

f)企業(yè)供應鏈業(yè)務職責。

6.2.3電力企業(yè)可按供應鏈業(yè)務范圍界定為供應鏈合規(guī)風險管理范圍，通常包括計劃管理、

采購活動管理、合同管理、供應商管理、質(zhì)量管理、倉儲配送管理、逆向物資管理、應急物

資管理及供應鏈金融等業(yè)務活動，對上述業(yè)務涉及的流程、活動等開展合規(guī)風險管理。

注：逆向物資管理主要包括逆向物資回收、閑置物資管理和報廢物資管理三個業(yè)務內(nèi)容。

逆向物資是指指退役物資（資產(chǎn)）、工程結余物資、工程余料、達到輪換年限的儲備物資等，

經(jīng)鑒定后分為報廢物資和閑置物資。

6.3內(nèi)外部環(huán)境信息收集

6.3.1內(nèi)部合規(guī)環(huán)境信息收集

電力企業(yè)應分析內(nèi)部環(huán)境及其變更對實現(xiàn)供應鏈合規(guī)管理目標的影響，內(nèi)部環(huán)境包括但

不限于：

a)企業(yè)的方針、目標以及實現(xiàn)目標的策略。

b)企業(yè)結構、任務和責任等。

c)企業(yè)涉及供應鏈管理的規(guī)章制度（含上級企業(yè)）。

d)企業(yè)供應鏈風險的內(nèi)部相關方及其價值觀。

e)企業(yè)供應鏈的信息系統(tǒng)、信息流和決策過程。

f)企業(yè)供應鏈的資金、時間、人力、過程、系統(tǒng)和技術等方面的管控能力。

g)企業(yè)供應鏈合規(guī)管理的歷史數(shù)據(jù)。

6.3.2外部合規(guī)環(huán)境信息收集

電力企業(yè)應分析外部環(huán)境及其變更對實現(xiàn)供應鏈合規(guī)管理目標的影響，外部環(huán)境包括但

不限于：

a)行業(yè)業(yè)務模式及特點。

b)國際、國內(nèi)和當?shù)氐恼?、法律、文化、技術、經(jīng)濟、自然環(huán)境等可能影響企業(yè)供

應鏈管理的信息。

c)影響到企業(yè)供應鏈合鏈管理目標的關鍵因素及其趨勢，如：法律法規(guī)、監(jiān)管要求的變

化，環(huán)保組織的要求，新相關方的產(chǎn)生等。

d)外部相關方及其訴求、價值觀和風險偏好。

6.4電力企業(yè)供應鏈合規(guī)風險準則確定

6.4.1電力企業(yè)應從風險類型、風險偏好、風險控制成本等不同維度，應用定性或定量方法

確定供應鏈合規(guī)風險準則，確保供應鏈合規(guī)風險管理與企業(yè)的價值觀、目標、風險管控需求

以及相關方利益保持一致。

6.4.2電力企業(yè)應根據(jù)內(nèi)外部環(huán)境變化，動態(tài)調(diào)整供應鏈合規(guī)風險準則。

6.4.3確定供應鏈合規(guī)風險準則時要考慮但不限于以下因素：

7

a)企業(yè)風險管理、合規(guī)管理目標以及風險偏好情況；

b)企業(yè)供應鏈合規(guī)風險范圍；

c)業(yè)務開展頻率、風險事件發(fā)生可能性、嚴重程度及度量方法；

d)風險等級的劃分標準；

e)相關方可接受的風險等級；

f)對電力安全運行的影響大?。?/p>

g）對產(chǎn)業(yè)鏈/供應鏈安全穩(wěn)定的直接、間接影響因素。

7供應鏈合規(guī)風險評估

7.1概述

7.1.1供應鏈合規(guī)風險評估有助于決策者充分掌握風險及其原因、后果及其可能性，主要作

用包括以下幾個內(nèi)容：

a)為是否應該開展某些供應鏈活動提供決策依據(jù)。

b)為是否需要應對風險提供依據(jù)。

c)供應鏈合規(guī)風險應對策略的選擇。

d)確定風險應對的優(yōu)先順序。

e)選擇最合適的風險應對策略，將風險的不利影響控制在可以接受的水平。

7.1.2企業(yè)應定期開展供應鏈合規(guī)風險評估，持續(xù)完善風險應對措施。在開展風險評估過程

中，應考慮以下因素：

a)評估的技術和方法。

b)法律法規(guī)和標準要求。

c)現(xiàn)有的管理方法和措施。

d)常規(guī)和異常情況。

e)歷史事故/事件。

7.1.3當企業(yè)供應鏈出現(xiàn)下列情況時，應立即開展合規(guī)風險評估，動態(tài)更新應對措施。

a)外部環(huán)境、社會責任發(fā)生重大變化。

b)企業(yè)戰(zhàn)略發(fā)生重大調(diào)整。

c)供應鏈運行過程中暴露的高風險問題。

d)外部監(jiān)督、內(nèi)部合規(guī)審查等發(fā)現(xiàn)的高風險問題。

e)新的業(yè)務流程或作業(yè)任務。

f)新的風險評估技術和方法的應用。

7.2供應鏈合規(guī)風險識別

風險識別是通過識別風險源、影響范圍、事件原因、潛在后果等，生成一個全面的風

險列表的過程，按照確定風險評估對象、實施風險識別和制定風險庫等三個步驟，充分考慮

有關事件可能帶來的損失、其中蘊含的機會、所處環(huán)境等因素，確保風險全面識別。

7.2.1供應鏈合規(guī)風險識別對象確定

電力企業(yè)應依據(jù)確定的供應鏈合規(guī)風險管理范圍，構建符合自身供應鏈業(yè)務特點的供應

鏈合規(guī)風險識別對象框架?？筛鶕?jù)自身的不同需要，選擇以上不同的角度或不同角度的組合，

構建供應鏈合規(guī)風險識別對象框架，確保風險識別的全面性。

a)根據(jù)供應鏈業(yè)務鏈條性特點，對供應鏈主要業(yè)務活動進行梳理，以發(fā)現(xiàn)每一個環(huán)節(jié)業(yè)

務活動可能存在的風險。企業(yè)各層級的供應鏈合規(guī)風險識別對象可不一致，但應與

8

該層級業(yè)務管理幅度相適應。（如表1，某電網(wǎng)企業(yè)供應鏈合規(guī)風險識別對象框架與

企業(yè)層級對照表示例）

表1某電網(wǎng)企業(yè)供應鏈合規(guī)風險識別對象框架與企業(yè)層級對照表示例

集團企業(yè)省級企業(yè)地市級、縣級

——

供應鏈風險識別對象供應鏈風險識別對象供應鏈風險識別對象

一級業(yè)務二級業(yè)務三級業(yè)務四級業(yè)務

入庫

出庫

倉庫出入庫

沖紅

倉庫運行管理退庫

倉庫盤點盤點

倉儲配送管理物資保管保養(yǎng)物資保管保養(yǎng)作業(yè)

配送計劃配送計劃

運力確認

物資配送管理

配送實施運單執(zhí)行

配送費用支付申請

評價管理

……

b)根據(jù)電力企業(yè)組織機構設置，對涉及供應鏈各業(yè)務管理職能部門/崗位的業(yè)務管理范

圍或工作職責梳理，發(fā)現(xiàn)各崗位可能存在的供應鏈合規(guī)風險。

c)根據(jù)供應鏈業(yè)務相關性，對相關方的有關活動進行梳理，發(fā)現(xiàn)可能導致本企業(yè)合規(guī)風

險的行為。

d)根據(jù)引發(fā)供應鏈合規(guī)風險的規(guī)定，通過對與供應鏈相關的法律法規(guī)、行業(yè)監(jiān)管要求、

企業(yè)規(guī)章制度逐項、逐條梳理，發(fā)現(xiàn)其中的合規(guī)風險。

e)根據(jù)以往發(fā)生的案例識別，通過對供應鏈領域內(nèi)外部發(fā)生的案例進行梳理，發(fā)現(xiàn)電力

企業(yè)可能存在的合規(guī)風險。

7.2.2供應鏈合規(guī)風險識別

7.2.2.1電力企業(yè)在實施供應鏈合規(guī)風險識別時，一般應對照供應鏈合規(guī)風險對象框架進行

梳理，采用情景分析法、流程節(jié)點法、頭腦風暴法、問卷調(diào)查、訪談調(diào)研、德爾菲法、檢查

表法等方法，確定合規(guī)風險識別對象。各企業(yè)可以結合自身實際，提出更加適合本企業(yè)的風

險評估方法，比如：運用三要素法識別廉潔風險（附錄C）。

7.2.2.2電力企業(yè)可逐步推進供應鏈合規(guī)風險識別工作。第一步，識別國家法律法規(guī)、行業(yè)

監(jiān)管要求執(zhí)行存在的合規(guī)風險；第二步，分析企業(yè)內(nèi)部檢查發(fā)現(xiàn)的合規(guī)風險；第三步，深入

分析業(yè)務流程、信息化建設等環(huán)節(jié)的合規(guī)風險，實現(xiàn)合規(guī)風險的全面識別。

7.2.2.3為準確有效識別風險，電力企業(yè)可參考以下標準，對供應鏈合規(guī)風險進行分類管理：

a)按合規(guī)風險后果分類；

b)按風險來源分類；

c)按風險產(chǎn)生因素分類。

7.2.2.4電力企業(yè)可從供應鏈合規(guī)風險后果角度可分為廉潔風險、交付風險、財產(chǎn)風險、

安全風險、網(wǎng)絡風險、輿情風險、其他合規(guī)風險。各類風險示例見表2。

表2電力企業(yè)供應鏈合規(guī)風險分類示例

9

序號合規(guī)風險分類示例

1廉潔風險因違反廉潔相關法律法規(guī)而發(fā)生廉潔風險領導受托干預招標

因違反行業(yè)準則和企業(yè)規(guī)章而導致未按期未依企業(yè)規(guī)定及時辦理應急物資

交付風險

2向客戶交付貨物、服務的風險出庫，導致物資未及時送達

因違反相關法律法規(guī)、企業(yè)規(guī)章而發(fā)生合未按照國家資產(chǎn)評估標準評估報

財產(chǎn)風險

3同索賠、資產(chǎn)閑置或損失的風險廢物資，導致報廢物資評估過低

因違反相關法律法規(guī)、企業(yè)規(guī)章而發(fā)生環(huán)作業(yè)人員未按照規(guī)定正確搬運物

安全風險

4境索賠、作業(yè)人員受傷害的風險資，受到傷害

因違反相關法律法規(guī)、企業(yè)規(guī)章制度而發(fā)業(yè)務員利用微信發(fā)出評標專家名

網(wǎng)絡風險

5生網(wǎng)絡不安全的風險單，導致未開標前專家信息泄露。

因違反相關法律法規(guī)、企業(yè)規(guī)章制度而發(fā)因采購質(zhì)疑處理不及時，導致供

輿情風險

6生影響企業(yè)聲譽輿論的風險應商用網(wǎng)絡發(fā)泄不滿

7其他合規(guī)風險上述合規(guī)風險以外的其他合規(guī)風險。

7.3供應鏈合規(guī)風險分析

7.3.1概述

7.3.1.1開展供應鏈合規(guī)風險分析時，要考慮導致合規(guī)風險事件的原因、合規(guī)風險事件發(fā)

生的可能性及其后果，應當包括以下工作：

a）識別管控風險的現(xiàn)有措施。

b）基于業(yè)務實際及管控措施的有效性，分析危害轉化為風險的可能性、暴露和后果的

嚴重性。

c）依據(jù)風險后果，確定風險類別。

d）選擇風險分析方法，分析風險大小。

7.3.1.2合規(guī)風險分析一般采用定性或定量（半定量）方法，也可以是這些方法的組合。

一般情況下，企業(yè)可先采用定性分析方法，確定主要合規(guī)風險，再根據(jù)可獲得的信息，對其

余風險進行定量（半定量）分析。

7.3.1.3在對合規(guī)風險事件發(fā)生的可能性和影響程度進行分析時，可綜合釆用建模、專家

意見以及經(jīng)驗推導方法，在此過程中要注意與供應鏈相關方進行溝通，降低模型和專家意見

局限性的影響。

7.3.1.4考慮廉潔風險發(fā)生條件而對其采用三要素法（見附錄C）。

7.3.2定性分析

定性分析宜從風險可能造成的風險后果確定風險等級，后果嚴重程度分級方法示例見附

錄D。

7.3.3半定量分析

7.3.3.1在對合規(guī)風險進行半定量風險分析時，需要考慮三個因素：后果的嚴重程度；業(yè)

務發(fā)生頻率；因現(xiàn)有控制措施的有效性不足導致事件發(fā)生的可能性。

7.3.3.2風險評估公式：

風險值=后果（S)×暴露（E)×可能性（P）

式中：

——“后果（S）”即風險事件可能造成的最嚴重后果，示例見附錄D；

——“暴露（E）”指業(yè)務開展的頻率，示例見附表3；

——“可能性（P）”是指因現(xiàn)有控制措施的有效性不足導致不良后果發(fā)生的可能性，

示例見附表4。

10

表3業(yè)務開展的頻率（E）賦值示例

序號業(yè)務開展的頻率（E）分值

1每天至少開展一次5

2每周至少開展一次4

3每月至少開展一次3

4每季度至少開展一次2

5每年至少開展一次1

6一年以上開展一次0.5

7.3.3.3不同類型合規(guī)風險，影響其發(fā)生可能性因素有所不同。各因素對可能性影響程度

權重不同，且各因素間的權重比因合規(guī)風險類型不同而有差異。在對供應鏈合規(guī)風險發(fā)生可

能性進行分析時，應重點考慮以下因素：

a）外部監(jiān)管的完善程度和執(zhí)行力度，包括相關規(guī)章制度的完善程度，以及相關監(jiān)管部

門的執(zhí)行力度等；

b)現(xiàn)有合規(guī)風險管理體系的完善與執(zhí)行力度，包括電力企業(yè)內(nèi)部用以控制相關合規(guī)風

險的策略、規(guī)章、制度的完善程度及執(zhí)行力度等,

c)相關人員法律素質(zhì),包括電力企業(yè)內(nèi)部相關人員對相關政策、法律法規(guī)、電力企業(yè)規(guī)

章制度以及法律風險控制技巧的了解、掌握程度等；

d)相關方的綜合狀況,包括相關方的綜合資質(zhì)、履約能力、過往記錄、合規(guī)風險偏好等；

e)所涉及工作的頻次，即與合規(guī)風險相關的工作在一定周期內(nèi)發(fā)生的次數(shù)。

f)是否存在利益沖突、自由裁量權的大小、業(yè)務是否受到監(jiān)督。

表4可能性（P）賦值示例

序號不良后果發(fā)生的可能性分值

1極有可能，如果危害事件發(fā)生，即產(chǎn)生最可能和預期的結果5

2十分可能4

3可能3

4很少的可能性，據(jù)說曾經(jīng)發(fā)生過2

5相當少但確有可能，多年沒有發(fā)生過1

6百萬分之一的可能性，盡管暴露了許多年，但從未發(fā)生過0.5

7.4供應鏈合規(guī)風險評價

7.4.1風險等級確定原則

將供應鏈風險分析的結果與企業(yè)風險準則比較，以確定風險等級。

7.4.2風險等級確定

根據(jù)半定量SEP法，確定風險等級可分為“高”、“中”、“低”、“極低”。風險等

級劃分及處理時限示例見附表5。

表5風險等級劃分及處理時限示例

風險等級劃分依據(jù)處理時限

高風險1000≤風險值需要立即采取糾正措施

中等風險500≤風險值＜1000需要持續(xù)關注，采取積極的糾正措施

低風險200≤風險值＜500需要持續(xù)關注，是否采取措施視具體情況

極低風險風險值＜200需要結合業(yè)務開展或定期關注

7.5風險發(fā)布

11

對查找出的合規(guī)風險進行歸類，確定合規(guī)風險，對每個合規(guī)風險設置相應的編碼和名稱，

并將這些合規(guī)風險統(tǒng)一列表，列示每一合規(guī)風險適用的法律法規(guī)或相關制度條款內(nèi)容、可能

產(chǎn)生的違規(guī)后果、涉及的部門、涉及的法律主體、風險后果及可能性等信息，形成供應鏈合

規(guī)風險評估表。供應鏈合規(guī)風險評估表示例參見附錄A。

8供應鏈合規(guī)風險應對

8.1概述

8.1.1供應鏈合規(guī)風險應對是電力企業(yè)根據(jù)供應鏈合規(guī)風險評價結果，采取一種或多種改

變供應鏈風險發(fā)生可能性或后果的措施，將供應鏈合規(guī)風險控制在電力企業(yè)可承受的范圍。

8.1.2電力企業(yè)在進行供應鏈合規(guī)風險應對決策時，應當充分考慮內(nèi)外部環(huán)境信息，包括

相關方的利益訴求、風險承受度、供應鏈管理目標，特別是法律法規(guī)、行業(yè)監(jiān)管、上級及本

企業(yè)規(guī)章制度的要求。

8.1.3供應鏈合規(guī)風險應對包括選擇應對策略、評估應對現(xiàn)狀、制定應對措施及計劃、實

施應對措施四個環(huán)節(jié)。

8.2選擇供應鏈合規(guī)風險應對策略

8.2.1供應鏈合規(guī)風險應對策略包括風險規(guī)避、風險轉移、風險控制、風險承擔和其他策

略。選擇合規(guī)風險應對策略至少要考慮以下幾方面的因素：

a)電力企業(yè)的戰(zhàn)略目標、核心價值觀和社會責任等。

b)電力企業(yè)對供應鏈合規(guī)風險管理的目標、價值觀、資源、偏好和承受度等。

c)供應鏈合規(guī)風險應對策略的實施成本與預期收益。

d)相關方的訴求和價值觀、對合規(guī)風險的認知和承受度以及對某些合規(guī)風險應對策略

的偏好。

e)剩余風險情況。

8.2.2風險規(guī)避是選擇放棄、停止或拒絕等方式規(guī)避面臨的供應鏈合規(guī)風險，是一種消極

方法。如，電力企業(yè)某部門擬采用邀請招標方式選擇主變設備，方案審查時招標領導小組發(fā)

現(xiàn)理由不充分，作出終止該項采購的決定。采取風險規(guī)避策略時，須考慮以下因素：

a)若實施，供應鏈合規(guī)風險不可避免，或發(fā)生的可能性極大且后果無法承受。如，招標

文件設置傾向性條款。

b)經(jīng)濟上不劃算。若采取其他措施，風險控制措施投入成本遠大于實施該項活動所預

期活動獲得收益（收益包括經(jīng)濟收益、社會效益）。如，電力企業(yè)項目部門要求供

應商提前供貨，供應商索賠遠高于所得收益。

c)剩余風險或產(chǎn)生的新風險仍無法接受。

8.2.3風險轉移是電力企業(yè)借用合同或協(xié)議，將風險轉移至其他個人或其他組織上，或由

其他個人或其他組織分擔風險，將大風險換為小風險，是一種積極方法。風險一旦發(fā)生時，

將損失的一部分轉移到有能力承受或控制項目風險的個人或組織。如，貴重電力設備運輸時

進行投保，將運輸過程中財產(chǎn)風險轉移至保險公司。風險轉移有兩種方式：

a)轉移風險。電力企業(yè)通過契約、合同、經(jīng)濟、金融工具將可能遭受的法律責任轉嫁

給其他個人或組織。

b)分擔風險。面臨的合規(guī)風險，劃分為若干個風險較小而價值低的獨立單位，以減少

電力企業(yè)遭受風險損失的承擔。

8.2.4風險控制是指通過緩和或預知等手段來降低風險發(fā)生的可能性或減緩風險帶來的不

利后果，以達到風險減少的目的，是一種積極方法?？刂骑L險可從下列方向確定措施：

12

a)消除具有負面影響的風險源。如，為防范蓄電池污染環(huán)境，采用即拆除即回收方式。

b)改變風險事件發(fā)生的可能性大小及其分布的性質(zhì)。如，電力企業(yè)為防范基層單位采

購廉潔風險，持續(xù)加大集團采購力度，是控制廉潔風險發(fā)生范圍的方法。

c)改變風險事件發(fā)生的可能后果。

8.2.5風險承擔是指電力企業(yè)為尋求機遇、主動地選擇承擔風險后果。風險承擔并不意味

對風險放任不管，而是有心理預期，并適當關注風險變化，防止惡化。電力企業(yè)在下列情形

時可以考慮風險承擔：

a)接受的成本或后果比采取其他策略的代價更低。如，電力企業(yè)某項目采購公告發(fā)布

后，發(fā)現(xiàn)存在傾向條款，決定中止該項采購，對此存在供應商索賠的風險，但相對

于違反招投標法，承擔索賠風險明顯小。

b)預測的最大可能損失比較低，而且這些損失是電力企業(yè)短期能夠承受的。如，電力

企業(yè)為預防冬季冰災，加大相關配網(wǎng)設備材料儲備量，導致短期儲備量超上級企業(yè)

規(guī)定。

c)企業(yè)具有控制損失的能力。

8.3供應鏈合規(guī)風險應對現(xiàn)狀評估

8.3.1擬定供應鏈合規(guī)風險應對措施前，應從管理措施、控制措施兩個方面對現(xiàn)有風險應

對措施效果開展評估，為完善風險應對措施及策略提供支撐。

8.3.2管理措施現(xiàn)狀評估包括：

a)資源配置，即人員、設備、資金以及組織架構能否滿足風險應對需要；

b)職責權限，即風險管理的職責和權限，是否滿足權力制衡要求；

c)責任機制，即風險管理獎懲機制，是否推動風險管理責任落實；

d)合規(guī)審查，即業(yè)務實施過程的日常合規(guī)審查機制，是否全面、有效；

e)專業(yè)審查，即對合規(guī)問題開展專項審查機制，是否覆蓋高風險環(huán)節(jié)。

8.3.3一般采用訪談、實地檢查等方式開展控制措施現(xiàn)狀評估，包括：

a)執(zhí)行者能力要求，即與供應鏈合規(guī)風險應相關的內(nèi)部執(zhí)行者是否有明確的資質(zhì)、能

力要求；

b)合規(guī)風險意識，即相關人員對供應鏈合規(guī)風險的存在、可能造成的后果，以及如何

開展合規(guī)風險應對等方面是否有必要的認識和理解。

c)規(guī)章制度執(zhí)行情況。執(zhí)行者是否嚴格執(zhí)行相關規(guī)定，是否選擇性執(zhí)行企業(yè)規(guī)章制度。

d)過程監(jiān)控，即是否要求對持續(xù)性業(yè)務管理活動進行定期或不定期的監(jiān)督和控制、證

據(jù)資料保留、信息溝通和預警；是否逃避監(jiān)督。

e)信息化情況，即是否運行信息化工具開展業(yè)務，信息系統(tǒng)流程是否與規(guī)章制度一致，

并切實運用。

f)作業(yè)環(huán)境，即是作業(yè)面是否符合規(guī)章制度，保管物資是否受控。

8.4供應鏈合規(guī)風險應對措施和計劃制定

8.4.1應對措施

8.4.1.1電力企業(yè)應根據(jù)風險應對策略，結合合規(guī)風險應對現(xiàn)狀評估結果，不斷完善應對措

施。風險應對措施包含以下幾種類型：

a)資源配置類，即設立或調(diào)整與合規(guī)風險應對相關的機構、人員，補充經(jīng)費或風險準

備金等。如，增設供應鏈監(jiān)督崗位，開展供應鏈全業(yè)務合規(guī)監(jiān)督工作。

b)制度、流程類，即制定或完善與合規(guī)風險應對相關的制度、流程，將供應鏈合規(guī)風

險納入到流程控制中,確保合規(guī)風險管理工作融入到供應鏈日常管理工作，固化到制度流程，

形成內(nèi)控措施，確保供應鏈合規(guī)風險管理在電力企業(yè)內(nèi)部的統(tǒng)一理解和執(zhí)行。如，建立采購

方案審查流程，明確各級審查內(nèi)容及審查人員。

13

c)標準、規(guī)范類，即針對特定合規(guī)風險，編寫標準、規(guī)范等文件，明確執(zhí)行要求，制

定違規(guī)違法行為處罰條款。如，建立評標現(xiàn)場作業(yè)標準，評標專家嚴格按標準步驟

開展評標工作。

d)加強監(jiān)督類，即加強監(jiān)督力量或監(jiān)督層級控制風險。如，開展評標現(xiàn)場視頻監(jiān)督。

d)技術手段類，即利用技術手段，將風險防范措施固化到信息系統(tǒng)中。如，信息系統(tǒng)

開發(fā)框架招標物資分配模型，防范人員廉潔風險。

e)信息類，即針對某些合規(guī)風險時間發(fā)布預警信息。如，建立供應鏈合規(guī)風險管理平

臺，嵌入流程發(fā)現(xiàn)風險后自動通知。

f)活動類，即開展某些專項活動，規(guī)避、降低或轉移某些合規(guī)風險。

g)培訓類，即對某些關鍵崗位人員進行合規(guī)風險培訓，提高其合規(guī)風險意識和合規(guī)風

險管理技能。

8.4.1.2電力企業(yè)可采用一種或多種組合措施，控制供應鏈合規(guī)風險。結合風險管控策略，

宜建立《供應鏈合規(guī)風險應對措施表》，示例見附錄B。

8.4.1.3風險控制措施的制定和評估是一個遞進的過程。在擬定風險控制措施后，應評估其

剩余風險是否可以接受。如不能接受，則應調(diào)整或制定新的風險控制措施，并再一次評估新

的風險控制措施效果，直到剩余風險可以承受。

8.4.1.4電力企業(yè)應注重風險管控過程的關鍵性技術研究，在研究成果應用前,也應進行風

險評估，并制定風險控制措施。

8.4.2應對計劃

8.4.2.1電力企業(yè)每年根據(jù)近期內(nèi)外環(huán)境變化和上一年度風險管控效果，確定一定時期內(nèi)中

等及以上合規(guī)風險，制定綜合管控措施及管控目標，形成年度風險管理策略并發(fā)布，指導年

度風險管理工作方向和重點，避免發(fā)生系統(tǒng)性、顛覆性風險。

8.4.2.2電力企業(yè)可根據(jù)自身的需求和資源狀況，電力企業(yè)合規(guī)風險管理牽頭管理機構針對

高風險建立預警制度，即根據(jù)對內(nèi)外部風險環(huán)境變化的監(jiān)控結果,及時發(fā)布供應鏈合規(guī)風險

預警信息，并制定相應的應急預案。定期評審供應鏈合規(guī)風險應急預案,確保其持續(xù)的適宜

性、充分性和有效性。應急預案中至少包括以下信息：

a)涉及的具體業(yè)務及管理活動、控制風險名稱。

b)應急處理的相關組織機構、處理流程、溝通機制和應急措施，確保電力企業(yè)對突發(fā)

合規(guī)風險事件的及時反應,有效控制突發(fā)合規(guī)風險事件對電力企業(yè)造成的影響。

c)資源需求和配置方案。

d)報告和監(jiān)督、檢查的要求。

8.5供應鏈合規(guī)風險應對措施實施

8.5.1風險控制措施執(zhí)行

8.5.1.1電力企業(yè)各級供應鏈管理部門應針對已發(fā)布或預警的風險，分解風險控制措施并制

訂執(zhí)行計劃，將風險控制措施執(zhí)行計劃納入日常工作計劃一并實施和跟蹤。按照風險等級、

風險種類、管理專業(yè)、企業(yè)層級，確定風險應對崗位、應對人員，相關方的具體防控任務。

8.5.1.2供應鏈合規(guī)風險可結合電力企業(yè)管理層級開展分層分級管理，對合規(guī)風險事件后果

嚴重程度為一級的風險（見附錄D）開展提級管控。

8.5.1.3集團公司供應鏈管理部門對高、中級風險實施一級管控，省級公司供應鏈管理部門

對低風險實施二級管控，地市級公司供應鏈管理部門對極低風險實施三級管控。

a)一級管控:制定專項措施，及時檢查落實，定期向上級供應鏈管理部門報告進度。

b)二級管控:列入常態(tài)化管控重點，定期關注風險變化。

14

c)三級管控:定期抽查風險變化。

8.5.2風險動態(tài)管理

8.5.2.1電力企業(yè)應對內(nèi)外部各類檢查揭示的供應鏈問題、事故事件中暴露的供應鏈問題、

內(nèi)外部環(huán)境變化，結合日常工作開展風險評估，及時識別新風險，擬定應對措施，按照動態(tài)

管理機制發(fā)起調(diào)整工作。

8.5.2.2在對供應鏈合規(guī)風險進行管控時，有可能會引起其他風險變化，應實時跟蹤、監(jiān)控

風險應對效果和環(huán)境變化信息，動態(tài)開展風險評估，及時補充完善應對措施。

8.5.2.3電力企業(yè)各級供應鏈管理部門應評估風險管控成效，通過實時或周期性調(diào)整，調(diào)整

風險等級或補充風險管控措施。已有風險管控措施調(diào)整或風險等級上調(diào)、新增風險執(zhí)行實時

調(diào)整，風險庫中的各項風險每年集中調(diào)整。

9檢查和監(jiān)督

9.1電力企業(yè)宜實時跟蹤供應鏈內(nèi)外部合規(guī)風險環(huán)境的變化，及時監(jiān)督和檢査供應鏈合規(guī)

風險管理流程的運行狀況，以確保供應鏈合規(guī)風險應對計劃的有效執(zhí)行,并根據(jù)發(fā)現(xiàn)的問題

對供應鏈合規(guī)風險管理工作進行持續(xù)改進。

9.2電力企業(yè)供應鏈合規(guī)風險管理監(jiān)督和檢査的內(nèi)容可包括但不限于以下內(nèi)容：

a）內(nèi)外部合規(guī)風險環(huán)境的變化，如法律法規(guī)、相關政策的出臺和變化，國際產(chǎn)業(yè)鏈供

應鏈的變化，電力企業(yè)自身戰(zhàn)略的調(diào)整改變等；

b）監(jiān)測供應鏈合規(guī)風險事件,分析趨勢及其變化并從中吸取教訓；

c）對照供應鏈合規(guī)風險應對計劃檢査工作進度與計劃的偏差，保證風險應對措施的設

計和執(zhí)行有效；

d）報告關于合規(guī)風險變化、風險應對計劃的執(zhí)行進度和風險管理方針的遵循情況；

e）實施供應鏈合規(guī)風險管理績效評估。

9.3電力企業(yè)應關注風險處理后的剩余風險的性質(zhì)和程度。將剩余風險記錄在案，接受監(jiān)測，

酌情考慮進一步的應對處理。

9.4電力企業(yè)各級供應鏈合規(guī)風險管理機構應對供應鏈風險管理工作進行檢查與監(jiān)督工作。

供應鏈合規(guī)風險檢查、監(jiān)督方式應采用分為常態(tài)化方式、專項方式和飛行方式。

a）常態(tài)化方式，如高風險崗位自評、業(yè)務部門自查、每半年同級供應鏈風險管理機構

檢查、每年對所屬子企業(yè)檢查的評價機制。

b）專項方式，包括對巡視巡察、審計及供應鏈業(yè)務監(jiān)督等發(fā)現(xiàn)的重點、難點、突發(fā)問

題和業(yè)務管理薄弱環(huán)節(jié)，有針對性地組織開展調(diào)查、分析研究工作。

c）飛行方式，采用現(xiàn)場監(jiān)督為主，定期或不定期選取某一區(qū)域、單位、業(yè)務環(huán)節(jié)、潛

在風險等，不發(fā)通知、不打招呼、直達現(xiàn)場開展監(jiān)督工作。

10溝通和記錄

10.1溝通

10.1.1電力企業(yè)在供應鏈合規(guī)風險管理過程的每個階段都應當與相關方有效溝通，以保證

實施合規(guī)風險管理的相關人員和相關方能夠充分了解企業(yè)面臨的合規(guī)風險及其給企業(yè)帶來

的影響，正確理解企業(yè)合規(guī)風險管理策略，有效執(zhí)行企業(yè)合規(guī)風險管理活動。

10.1.2供應鏈合規(guī)風險管理溝通的內(nèi)容包括：

a）國家和各級政府最新發(fā)布的供應鏈管理法律法規(guī)和文件。

b）供應鏈管理文件、標準及要求、責任。

c）內(nèi)外部變化及相關的供應鏈管理風險信息。

15

d）供應鏈風險管理方針、目標與指標。

e）國家、行業(yè)、本系統(tǒng)有關供應鏈管理的事故/事件信息。

f）供應鏈管理會議紀要、簡報、簡訊及其他供應鏈管理信息。

g）建議/抱怨，及其處理結果。

h）相關方的需求和業(yè)務辦理中的信息交互。

10.1.3電力企業(yè)應結合供應鏈合規(guī)風險評估表、供應鏈合規(guī)風險應對表，形成完整的供應

鏈風險庫，建立信息系統(tǒng)開展供應鏈合規(guī)風險管控工作，實時發(fā)布、傳遞、審批風險，對風

險進行分析、預警、評估，實現(xiàn)風險信息共享、高效流轉、動態(tài)調(diào)整。

10.1.4電力企業(yè)應建立供應合規(guī)風險傳遞渠道，可采用風險報告單或提示函等方式，通知

上級或下級企業(yè)或相關方，促使其對新增風險或調(diào)整風險進行風險評估，實現(xiàn)風險管理上下

貫通、橫向協(xié)同。

10.1.5企業(yè)在對外發(fā)布信息之前，應根據(jù)信息敏感程度開展輿情風險評估，制定管控措施,

履行審批手續(xù)。

10.2記錄

電力企業(yè)在進行合規(guī)風險管理過程中，應及時記錄與風險管理有關的信息。

在建立風險管理記錄機制時，應考慮但不限于以下方面：

a）出于管理目的而重復使用信息的需要；

b）進一步分析供應鏈合規(guī)風險和調(diào)整風險應對措施的需要；

c）供應鏈合規(guī)風險管理活動的可追溯要求；

d）溝通的需要；

e）企業(yè)本身持續(xù)學習的需要；

f）建立和維護記錄所需的成本和工作量；

g）獲取信息的方法、讀取信息的容易程度和儲存媒介；

h）記錄保留期限管理。

16

附錄A

（資料性附錄）

電網(wǎng)企業(yè)供應鏈合規(guī)風險評估示例

表A某省電網(wǎng)公司供應鏈合規(guī)風險評估示例

基礎信息區(qū)合規(guī)義務信息區(qū)合規(guī)風險分析、評價區(qū)

SEP法

涉及到的法律、三要素法（限廉潔風

序號一級二級業(yè)業(yè)務事風險涉及到上級企業(yè)涉及到的企業(yè)管風險種風險發(fā)生后果嚴重程風險等

單位風險源風險法規(guī)及相關要險用）

業(yè)務務項代碼的規(guī)章制度要求理要求類的可能性度級

求SEPABC

專家管理員未及

未及時修責任人承擔

某省招標（非時請技術人員對

采購專家抽補的專家《某網(wǎng)級電網(wǎng)公網(wǎng)絡風其他民事、行

1電網(wǎng)招標）管專家抽取系統(tǒng)進可能5033低風險

管理取抽取系統(tǒng)司采購管理規(guī)定》險政責任、被解

公司理行維護導致評標

漏洞除勞動合同

專家信息泄露

《中華人民共和《某網(wǎng)級電網(wǎng)公

供應供應為特定供《某省電網(wǎng)公司

采購專責受賄為國招標投標法》司采購管理規(guī)定》、

鏈策鏈策采購策略應商量身采購管理辦法》、廉潔風

2執(zhí)行特定供應商量身《中華人民共和《某網(wǎng)級電網(wǎng)公是是是高風險

劃管略管管理定制的采《某省電網(wǎng)公司險

定制采購方案國招標投標實施司非招標采購方

理理購方案采購策略》

條例》式管理辦法》

《中華人民共和《某省電網(wǎng)公司

專家管理員未對

某省評標專家國招標投標法》《某網(wǎng)級電網(wǎng)公采購管理辦法

采購評標現(xiàn)評標專家進行廉廉潔風

3電網(wǎng)招標管理不當?shù)脑u《中華人民共和司采購專家管理（2021）》、《某是是否中風險

管理場管理潔談話，導致評險

公司分國招標投標實施辦法》省電網(wǎng)公司采購

標專家受賄

條例》專家管理細則》

某省倉儲不規(guī)范的庫管員不規(guī)范的《某省電網(wǎng)公司責任人被通

倉庫運行《中華人民共和財產(chǎn)風極低風

4電網(wǎng)配送出入庫出入庫作出入庫作業(yè)導致倉儲配送實施細極有可能報批評或以555

管理國安全生產(chǎn)法》險險

公司管理業(yè)公司資產(chǎn)損失則》下處分

倉庫負責人未做

某省倉儲從吊臂下好安全交底，導

倉庫運行《中華人民共和作業(yè)風極低風

5電網(wǎng)配送出入庫橫穿的配致配合人員從吊《某省電網(wǎng)公司極有可能造成輕傷1人1053

管理國安全生產(chǎn)法》險險

公司管理合人員臂下橫穿被掉落倉庫作業(yè)規(guī)范》

的物資砸傷

某省未及時回逆向物流專責長《某省電網(wǎng)公司造成較大范

逆向報廢物資危險廢《中華人民共和其他合

6電網(wǎng)收處置的時間未處置危廢危險廢物回收處十分可能圍的環(huán)境破5014低風險

物流管理物處置國環(huán)保法》規(guī)風險

公司危險廢物物導致環(huán)境污染置實施細則》壞

《中華人民共和

供應監(jiān)督專責未及時

某省國招標投標法》《某網(wǎng)級電網(wǎng)公《某省電網(wǎng)公司延遲交付30

鏈監(jiān)供應鏈投質(zhì)疑投處理不及處理投訴導致物交付風

7電網(wǎng)《中華人民共和司供應鏈監(jiān)督管供應鏈監(jiān)督管理極有可能天以上60天5035中風險

督管訴處理訴處理時的投訴資購買不及時，險

公司國招標投標實施理辦法》實施細則》以下

理項目無物資可用

條例》

17