《电力企业供应链合规风险管理实施指南》

附件1

1

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规

则》的规定起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由中国电力企业联合会提出。

本文件由中国电力企业联合会标准化技术委员会归口。

本文件起草单位：

本文件主要起草人：XX、。

II

引言

为深入贯彻国家能源安全新战略，落实保障产业链供应链安全稳定要求，确保电力企业

供应链在依法合规的轨道上运行。按照“强内控、防风险、促合规”目标要求，坚持“基于

风险、系统化、规范化、持续改进”原则，在供应链领域引入风险管理理论，在总结实践经

验基础上，针对电力企业供应链业务特点和风险类型，提出供应链合规风险管理方法，为规

范和加强供应链合规管理，促进供应链业务规范、高效、廉洁提供指南。

本指南明确了供应链合规风险管理的理论、原则、流程和方法，为开展合规风险的识别、

分析、评价、应对、监督检查、沟通交流等工作提供了参考标准。

III

电力企业供应链合规风险管理实施指南

1范围

本文件提供了电力企业供应链合规风险管理通用指南。

本文件适用于各种类型和规模的电力企业在供应链所有环节中开展的合规管理活动。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期

的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括

所有的修改单）适用于本文件。

ISO31000风险管理指南

GB/T23694风险管理术语

GB/T24353风险管理原则与实施指南

GB/T24420供应链风险管理指南

GB/T26317公司治理风险管理指南

GB/T27914企业法律风险管理指南

GB/T27921风险管理风险评估技术

GB/T35770合规管理体系要求及使用指南

3术语和定义

GB/T23694界定的以及下列术语和定义适用于本文件。

3.1

合规compliance

履行电力企业供应链的全部合规义务。

[来源：ISO37301，有修改]

3.2

合规义务complianceobligations

电力企业供应链强制遵守的需求，以及电力企业供应链自愿选择遵守的需求。

注1：需求指电力企业的经营管理及员工经济活动行为符合法律法规、监管规定、行业

准则和企业章程、规章制度以及国际条约、规则等要求。

注2：法律法规、监管规定、行业准则范围可包括

a)企业所在国的法律法规、监管要求、行业准则相关要求。

b)供应链业务活动涉及的国际法律、国际监管相关要求。

c)企业上级公司（集团公司）的涉及供应链管理的规章制度相关要求。

d)与企业内部涉及供应链管理的规章制度、规范流程以及职业道德的相关要求。

[来源：ISO37301，《中央企业合规管理指引（试行）》“第二条”。有修改]

4

3.3

合规风险compliancerisk

电力企业供应链因未能遵循法律法规、监管要求、行业规则、企业制度规定、管理准则，

而可能遭受法律制裁或监管处罚、经济或声誉等直接损失，以及影响电力稳定安全供应、社

会经济发展等间接损失的风险。

[来源：《中央企业合规管理指引（试行）》“第二条”]

3.4

合规风险管理complianceriskmanagement

电力企业以有效防控供应链合规风险为目的，根据合规管理程序主动识别和管理可能存

在的供应链合规风险，并提出防范措施和改进方法的管理活动。

[来源：《中央企业合规管理指引（试行）》“第二条”]

3.5

供应链supplychain

生产及流通过程中，涉及将产品提供给最终用户所形成的网链结构。

注：本指南所称电力企业供应链是指为实现电力顺利产生、输送至消费者的目标，以保

障电力企业电力设施建设和维护、电力企业正常运转所需的物资供应链（也可包含工程及服

务内容），是电力企业响应内部需求，将供应商（制造商、物流商、分销商、服务商等）、

内部配送中心以及内部最终用户连成一个整体的网链结构。

[来源：GB/T24420—2009，3.1，有修改]

3.6

风险库riskregister

是风险信息库的简称，为全面记录、管理风险而形成的风险管理数据集，包含风险对象、

风险识别、风险分析、风险评价、风险应对等风险管理活动和风险责任主体的数据。

4电力企业供应链合规风险管理原则

为全面实现电力企业供应链全周期管理、全过程服务保障、全方位风险防控和全要素效

能管控目标，电力企业供应链合规风险管理应遵循下列原则：

a)合规性：电力企业及其员工有责任确保其在供应链活动中的经营管理行为，符合法律

法规、监管规定、行业准则和企业规章制度以及国际条约、规则等要求。

b)整合性：供应链合规风险管理要成为供应链经营管理活动的一部分；将合规管理、

风险管理、内控体系建设整合实施。

c)全面性：坚持将合规风险要求覆盖各业务领域、各部门、各级子企业和分支机构、

全体员工，贯穿决策、执行、监督全流程。

d)系统性：利用系统性方法，全面考虑影响电力企业供应链合规的各类因素，组织内

外部资源，有效提升合规风险管理效率，并产生一致、可比、可靠的结果。

e)动态性：随着企业内部和外部环境的变化，电力企业合规风险可能也随之变化。以

适当和及时的方式预测、监督、掌握和响应这些变化。

f)协同性：因供应链风险的传递性，电力企业供应链合规风险管理要确保提供最有效

5

并适合组织的信息共享方式，推动供应链业务相关部门以及企业合规、审计等监督

部门齐抓共管，实现供应链合规风险的协同管控。

g)文化性：供应链活动参与人员、参与各方之间有效沟通，尤其是决策者在合规风险

管理中适当、及时的参与，形成电力企业供应链合规风险管理文化。

h)持续性：通过学习和经验积累，形成长效机制，不断提高电力企业供应链合规风险

管理水平。

5供应链合规风险管理流程

电力企业供应链合规风险管理贯穿于供应链决策和经营管理的各个环节。电力企业供应

链合规风险管理包括确定供应链合规管理范围、环境及准则，合规风险评估，合规风险应对，

合规风险检查和监督，如图1所示。其中，合规风险评估包括合规风险识别、合规风险分析

和合规风险评价等三个步骤。

在整个供应链合规风险管理流程中，应考虑内部和外部环境、人员行为和文化因素的变

化，开展更新和调整。

在供应链合规风险管理全过程中应保持有效沟通，并保留必要记录。

沟检

通查

与与

记监

录督

图1电力企业供应链风险管理流程

6供应链合规风险管理范围、环境、准则确定

6.1概述

电力企业应确定供应链合规管理的范围；关注影响供应链合规的内、外部环境变化；主

动识别、分析和评价风险；结合相关方风险管控要求，确定供应链合规风险准则。

6.2供应链合规风险管理范围确定

6.2.1电力企业供应链合规风险管理是企业全面风险管理的有机组成部分，贯穿于企业

决策和供应链管理的各个环节，可以用于电力企业的供应链战略制定与执行、供应链策划及

运营、供应链监督评价过程。

电力企业应确定供应链合规风险涉及的边界和适用性的管理范围，可包括以下内容之一：

6

a)集团内所有供应链业务。

b)集团部分分支机构供应链业务。

c)供应链某部分业务。

6.2.2在确定电力企业供应链合规风险范围时，应考虑下列因素：

a)企业内外部问题，及其与供应链合规风险的相关性。

b)企业结构、任务和责任等。

c)企业合规管理目标，相关方对本企业合规要求。

d)企业对供应链风险的承受程度。

e)供应链合规风险目标。

f)企业供应链业务职责。

6.2.3电力企业可按供应链业务范围界定为供应链合规风险管理范围，通常包括计划管理、

采购活动管理、合同管理、供应商管理、质量管理、仓储配送管理、逆向物资管理、应急物

资管理及供应链金融等业务活动，对上述业务涉及的流程、活动等开展合规风险管理。

注：逆向物资管理主要包括逆向物资回收、闲置物资管理和报废物资管理三个业务内容。

逆向物资是指指退役物资（资产）、工程结余物资、工程余料、达到轮换年限的储备物资等，

经鉴定后分为报废物资和闲置物资。

6.3内外部环境信息收集

6.3.1内部合规环境信息收集

电力企业应分析内部环境及其变更对实现供应链合规管理目标的影响，内部环境包括但

不限于：

a)企业的方针、目标以及实现目标的策略。

b)企业结构、任务和责任等。

c)企业涉及供应链管理的规章制度（含上级企业）。

d)企业供应链风险的内部相关方及其价值观。

e)企业供应链的信息系统、信息流和决策过程。

f)企业供应链的资金、时间、人力、过程、系统和技术等方面的管控能力。

g)企业供应链合规管理的历史数据。

6.3.2外部合规环境信息收集

电力企业应分析外部环境及其变更对实现供应链合规管理目标的影响，外部环境包括但

不限于：

a)行业业务模式及特点。

b)国际、国内和当地的政治、法律、文化、技术、经济、自然环境等可能影响企业供

应链管理的信息。

c)影响到企业供应链合链管理目标的关键因素及其趋势，如：法律法规、监管要求的变

化，环保组织的要求，新相关方的产生等。

d)外部相关方及其诉求、价值观和风险偏好。

6.4电力企业供应链合规风险准则确定

6.4.1电力企业应从风险类型、风险偏好、风险控制成本等不同维度，应用定性或定量方法

确定供应链合规风险准则，确保供应链合规风险管理与企业的价值观、目标、风险管控需求

以及相关方利益保持一致。

6.4.2电力企业应根据内外部环境变化，动态调整供应链合规风险准则。

6.4.3确定供应链合规风险准则时要考虑但不限于以下因素：

7

a)企业风险管理、合规管理目标以及风险偏好情况；

b)企业供应链合规风险范围；

c)业务开展频率、风险事件发生可能性、严重程度及度量方法；

d)风险等级的划分标准；

e)相关方可接受的风险等级；

f)对电力安全运行的影响大小；

g）对产业链/供应链安全稳定的直接、间接影响因素。

7供应链合规风险评估

7.1概述

7.1.1供应链合规风险评估有助于决策者充分掌握风险及其原因、后果及其可能性，主要作

用包括以下几个内容：

a)为是否应该开展某些供应链活动提供决策依据。

b)为是否需要应对风险提供依据。

c)供应链合规风险应对策略的选择。

d)确定风险应对的优先顺序。

e)选择最合适的风险应对策略，将风险的不利影响控制在可以接受的水平。

7.1.2企业应定期开展供应链合规风险评估，持续完善风险应对措施。在开展风险评估过程

中，应考虑以下因素：

a)评估的技术和方法。

b)法律法规和标准要求。

c)现有的管理方法和措施。

d)常规和异常情况。

e)历史事故/事件。

7.1.3当企业供应链出现下列情况时，应立即开展合规风险评估，动态更新应对措施。

a)外部环境、社会责任发生重大变化。

b)企业战略发生重大调整。

c)供应链运行过程中暴露的高风险问题。

d)外部监督、内部合规审查等发现的高风险问题。

e)新的业务流程或作业任务。

f)新的风险评估技术和方法的应用。

7.2供应链合规风险识别

风险识别是通过识别风险源、影响范围、事件原因、潜在后果等，生成一个全面的风

险列表的过程，按照确定风险评估对象、实施风险识别和制定风险库等三个步骤，充分考虑

有关事件可能带来的损失、其中蕴含的机会、所处环境等因素，确保风险全面识别。

7.2.1供应链合规风险识别对象确定

电力企业应依据确定的供应链合规风险管理范围，构建符合自身供应链业务特点的供应

链合规风险识别对象框架。可根据自身的不同需要，选择以上不同的角度或不同角度的组合，

构建供应链合规风险识别对象框架，确保风险识别的全面性。

a)根据供应链业务链条性特点，对供应链主要业务活动进行梳理，以发现每一个环节业

务活动可能存在的风险。企业各层级的供应链合规风险识别对象可不一致，但应与

8

该层级业务管理幅度相适应。（如表1，某电网企业供应链合规风险识别对象框架与

企业层级对照表示例）

表1某电网企业供应链合规风险识别对象框架与企业层级对照表示例

集团企业省级企业地市级、县级

——

供应链风险识别对象供应链风险识别对象供应链风险识别对象

一级业务二级业务三级业务四级业务

入库

出库

仓库出入库

冲红

仓库运行管理退库

仓库盘点盘点

仓储配送管理物资保管保养物资保管保养作业

配送计划配送计划

运力确认

物资配送管理

配送实施运单执行

配送费用支付申请

评价管理

……

b)根据电力企业组织机构设置，对涉及供应链各业务管理职能部门/岗位的业务管理范

围或工作职责梳理，发现各岗位可能存在的供应链合规风险。

c)根据供应链业务相关性，对相关方的有关活动进行梳理，发现可能导致本企业合规风

险的行为。

d)根据引发供应链合规风险的规定，通过对与供应链相关的法律法规、行业监管要求、

企业规章制度逐项、逐条梳理，发现其中的合规风险。

e)根据以往发生的案例识别，通过对供应链领域内外部发生的案例进行梳理，发现电力

企业可能存在的合规风险。

7.2.2供应链合规风险识别

7.2.2.1电力企业在实施供应链合规风险识别时，一般应对照供应链合规风险对象框架进行

梳理，采用情景分析法、流程节点法、头脑风暴法、问卷调查、访谈调研、德尔菲法、检查

表法等方法，确定合规风险识别对象。各企业可以结合自身实际，提出更加适合本企业的风

险评估方法，比如：运用三要素法识别廉洁风险（附录C）。

7.2.2.2电力企业可逐步推进供应链合规风险识别工作。第一步，识别国家法律法规、行业

监管要求执行存在的合规风险；第二步，分析企业内部检查发现的合规风险；第三步，深入

分析业务流程、信息化建设等环节的合规风险，实现合规风险的全面识别。

7.2.2.3为准确有效识别风险，电力企业可参考以下标准，对供应链合规风险进行分类管理：

a)按合规风险后果分类；

b)按风险来源分类；

c)按风险产生因素分类。

7.2.2.4电力企业可从供应链合规风险后果角度可分为廉洁风险、交付风险、财产风险、

安全风险、网络风险、舆情风险、其他合规风险。各类风险示例见表2。

表2电力企业供应链合规风险分类示例

9

序号合规风险分类示例

1廉洁风险因违反廉洁相关法律法规而发生廉洁风险领导受托干预招标

因违反行业准则和企业规章而导致未按期未依企业规定及时办理应急物资

交付风险

2向客户交付货物、服务的风险出库，导致物资未及时送达

因违反相关法律法规、企业规章而发生合未按照国家资产评估标准评估报

财产风险

3同索赔、资产闲置或损失的风险废物资，导致报废物资评估过低

因违反相关法律法规、企业规章而发生环作业人员未按照规定正确搬运物

安全风险

4境索赔、作业人员受伤害的风险资，受到伤害

因违反相关法律法规、企业规章制度而发业务员利用微信发出评标专家名

网络风险

5生网络不安全的风险单，导致未开标前专家信息泄露。

因违反相关法律法规、企业规章制度而发因采购质疑处理不及时，导致供

舆情风险

6生影响企业声誉舆论的风险应商用网络发泄不满

7其他合规风险上述合规风险以外的其他合规风险。

7.3供应链合规风险分析

7.3.1概述

7.3.1.1开展供应链合规风险分析时，要考虑导致合规风险事件的原因、合规风险事件发

生的可能性及其后果，应当包括以下工作：

a）识别管控风险的现有措施。

b）基于业务实际及管控措施的有效性，分析危害转化为风险的可能性、暴露和后果的

严重性。

c）依据风险后果，确定风险类别。

d）选择风险分析方法，分析风险大小。

7.3.1.2合规风险分析一般采用定性或定量（半定量）方法，也可以是这些方法的组合。

一般情况下，企业可先采用定性分析方法，确定主要合规风险，再根据可获得的信息，对其

余风险进行定量（半定量）分析。

7.3.1.3在对合规风险事件发生的可能性和影响程度进行分析时，可综合釆用建模、专家

意见以及经验推导方法，在此过程中要注意与供应链相关方进行沟通，降低模型和专家意见

局限性的影响。

7.3.1.4考虑廉洁风险发生条件而对其采用三要素法（见附录C）。

7.3.2定性分析

定性分析宜从风险可能造成的风险后果确定风险等级，后果严重程度分级方法示例见附

录D。

7.3.3半定量分析

7.3.3.1在对合规风险进行半定量风险分析时，需要考虑三个因素：后果的严重程度；业

务发生频率；因现有控制措施的有效性不足导致事件发生的可能性。

7.3.3.2风险评估公式：

风险值=后果（S)×暴露（E)×可能性（P）

式中：

——“后果（S）”即风险事件可能造成的最严重后果，示例见附录D；

——“暴露（E）”指业务开展的频率，示例见附表3；

——“可能性（P）”是指因现有控制措施的有效性不足导致不良后果发生的可能性，

示例见附表4。

10

表3业务开展的频率（E）赋值示例

序号业务开展的频率（E）分值

1每天至少开展一次5

2每周至少开展一次4

3每月至少开展一次3

4每季度至少开展一次2

5每年至少开展一次1

6一年以上开展一次0.5

7.3.3.3不同类型合规风险，影响其发生可能性因素有所不同。各因素对可能性影响程度

权重不同，且各因素间的权重比因合规风险类型不同而有差异。在对供应链合规风险发生可

能性进行分析时，应重点考虑以下因素：

a）外部监管的完善程度和执行力度，包括相关规章制度的完善程度，以及相关监管部

门的执行力度等；

b)现有合规风险管理体系的完善与执行力度，包括电力企业内部用以控制相关合规风

险的策略、规章、制度的完善程度及执行力度等,

c)相关人员法律素质,包括电力企业内部相关人员对相关政策、法律法规、电力企业规

章制度以及法律风险控制技巧的了解、掌握程度等；

d)相关方的综合状况,包括相关方的综合资质、履约能力、过往记录、合规风险偏好等；

e)所涉及工作的频次，即与合规风险相关的工作在一定周期内发生的次数。

f)是否存在利益冲突、自由裁量权的大小、业务是否受到监督。

表4可能性（P）赋值示例

序号不良后果发生的可能性分值

1极有可能，如果危害事件发生，即产生最可能和预期的结果5

2十分可能4

3可能3

4很少的可能性，据说曾经发生过2

5相当少但确有可能，多年没有发生过1

6百万分之一的可能性，尽管暴露了许多年，但从未发生过0.5

7.4供应链合规风险评价

7.4.1风险等级确定原则

将供应链风险分析的结果与企业风险准则比较，以确定风险等级。

7.4.2风险等级确定

根据半定量SEP法，确定风险等级可分为“高”、“中”、“低”、“极低”。风险等

级划分及处理时限示例见附表5。

表5风险等级划分及处理时限示例

风险等级划分依据处理时限

高风险1000≤风险值需要立即采取纠正措施

中等风险500≤风险值＜1000需要持续关注，采取积极的纠正措施

低风险200≤风险值＜500需要持续关注，是否采取措施视具体情况

极低风险风险值＜200需要结合业务开展或定期关注

7.5风险发布

11

对查找出的合规风险进行归类，确定合规风险，对每个合规风险设置相应的编码和名称，

并将这些合规风险统一列表，列示每一合规风险适用的法律法规或相关制度条款内容、可能

产生的违规后果、涉及的部门、涉及的法律主体、风险后果及可能性等信息，形成供应链合

规风险评估表。供应链合规风险评估表示例参见附录A。

8供应链合规风险应对

8.1概述

8.1.1供应链合规风险应对是电力企业根据供应链合规风险评价结果，采取一种或多种改

变供应链风险发生可能性或后果的措施，将供应链合规风险控制在电力企业可承受的范围。

8.1.2电力企业在进行供应链合规风险应对决策时，应当充分考虑内外部环境信息，包括

相关方的利益诉求、风险承受度、供应链管理目标，特别是法律法规、行业监管、上级及本

企业规章制度的要求。

8.1.3供应链合规风险应对包括选择应对策略、评估应对现状、制定应对措施及计划、实

施应对措施四个环节。

8.2选择供应链合规风险应对策略

8.2.1供应链合规风险应对策略包括风险规避、风险转移、风险控制、风险承担和其他策

略。选择合规风险应对策略至少要考虑以下几方面的因素：

a)电力企业的战略目标、核心价值观和社会责任等。

b)电力企业对供应链合规风险管理的目标、价值观、资源、偏好和承受度等。

c)供应链合规风险应对策略的实施成本与预期收益。

d)相关方的诉求和价值观、对合规风险的认知和承受度以及对某些合规风险应对策略

的偏好。

e)剩余风险情况。

8.2.2风险规避是选择放弃、停止或拒绝等方式规避面临的供应链合规风险，是一种消极

方法。如，电力企业某部门拟采用邀请招标方式选择主变设备，方案审查时招标领导小组发

现理由不充分，作出终止该项采购的决定。采取风险规避策略时，须考虑以下因素：

a)若实施，供应链合规风险不可避免，或发生的可能性极大且后果无法承受。如，招标

文件设置倾向性条款。

b)经济上不划算。若采取其他措施，风险控制措施投入成本远大于实施该项活动所预

期活动获得收益（收益包括经济收益、社会效益）。如，电力企业项目部门要求供

应商提前供货，供应商索赔远高于所得收益。

c)剩余风险或产生的新风险仍无法接受。

8.2.3风险转移是电力企业借用合同或协议，将风险转移至其他个人或其他组织上，或由

其他个人或其他组织分担风险，将大风险换为小风险，是一种积极方法。风险一旦发生时，

将损失的一部分转移到有能力承受或控制项目风险的个人或组织。如，贵重电力设备运输时

进行投保，将运输过程中财产风险转移至保险公司。风险转移有两种方式：

a)转移风险。电力企业通过契约、合同、经济、金融工具将可能遭受的法律责任转嫁

给其他个人或组织。

b)分担风险。面临的合规风险，划分为若干个风险较小而价值低的独立单位，以减少

电力企业遭受风险损失的承担。

8.2.4风险控制是指通过缓和或预知等手段来降低风险发生的可能性或减缓风险带来的不

利后果，以达到风险减少的目的，是一种积极方法。控制风险可从下列方向确定措施：

12

a)消除具有负面影响的风险源。如，为防范蓄电池污染环境，采用即拆除即回收方式。

b)改变风险事件发生的可能性大小及其分布的性质。如，电力企业为防范基层单位采

购廉洁风险，持续加大集团采购力度，是控制廉洁风险发生范围的方法。

c)改变风险事件发生的可能后果。

8.2.5风险承担是指电力企业为寻求机遇、主动地选择承担风险后果。风险承担并不意味

对风险放任不管，而是有心理预期，并适当关注风险变化，防止恶化。电力企业在下列情形

时可以考虑风险承担：

a)接受的成本或后果比采取其他策略的代价更低。如，电力企业某项目采购公告发布

后，发现存在倾向条款，决定中止该项采购，对此存在供应商索赔的风险，但相对

于违反招投标法，承担索赔风险明显小。

b)预测的最大可能损失比较低，而且这些损失是电力企业短期能够承受的。如，电力

企业为预防冬季冰灾，加大相关配网设备材料储备量，导致短期储备量超上级企业

规定。

c)企业具有控制损失的能力。

8.3供应链合规风险应对现状评估

8.3.1拟定供应链合规风险应对措施前，应从管理措施、控制措施两个方面对现有风险应

对措施效果开展评估，为完善风险应对措施及策略提供支撑。

8.3.2管理措施现状评估包括：

a)资源配置，即人员、设备、资金以及组织架构能否满足风险应对需要；

b)职责权限，即风险管理的职责和权限，是否满足权力制衡要求；

c)责任机制，即风险管理奖惩机制，是否推动风险管理责任落实；

d)合规审查，即业务实施过程的日常合规审查机制，是否全面、有效；

e)专业审查，即对合规问题开展专项审查机制，是否覆盖高风险环节。

8.3.3一般采用访谈、实地检查等方式开展控制措施现状评估，包括：

a)执行者能力要求，即与供应链合规风险应相关的内部执行者是否有明确的资质、能

力要求；

b)合规风险意识，即相关人员对供应链合规风险的存在、可能造成的后果，以及如何

开展合规风险应对等方面是否有必要的认识和理解。

c)规章制度执行情况。执行者是否严格执行相关规定，是否选择性执行企业规章制度。

d)过程监控，即是否要求对持续性业务管理活动进行定期或不定期的监督和控制、证

据资料保留、信息沟通和预警；是否逃避监督。

e)信息化情况，即是否运行信息化工具开展业务，信息系统流程是否与规章制度一致，

并切实运用。

f)作业环境，即是作业面是否符合规章制度，保管物资是否受控。

8.4供应链合规风险应对措施和计划制定

8.4.1应对措施

8.4.1.1电力企业应根据风险应对策略，结合合规风险应对现状评估结果，不断完善应对措

施。风险应对措施包含以下几种类型：

a)资源配置类，即设立或调整与合规风险应对相关的机构、人员，补充经费或风险准

备金等。如，增设供应链监督岗位，开展供应链全业务合规监督工作。

b)制度、流程类，即制定或完善与合规风险应对相关的制度、流程，将供应链合规风

险纳入到流程控制中,确保合规风险管理工作融入到供应链日常管理工作，固化到制度流程，

形成内控措施，确保供应链合规风险管理在电力企业内部的统一理解和执行。如，建立采购

方案审查流程，明确各级审查内容及审查人员。

13

c)标准、规范类，即针对特定合规风险，编写标准、规范等文件，明确执行要求，制

定违规违法行为处罚条款。如，建立评标现场作业标准，评标专家严格按标准步骤

开展评标工作。

d)加强监督类，即加强监督力量或监督层级控制风险。如，开展评标现场视频监督。

d)技术手段类，即利用技术手段，将风险防范措施固化到信息系统中。如，信息系统

开发框架招标物资分配模型，防范人员廉洁风险。

e)信息类，即针对某些合规风险时间发布预警信息。如，建立供应链合规风险管理平

台，嵌入流程发现风险后自动通知。

f)活动类，即开展某些专项活动，规避、降低或转移某些合规风险。

g)培训类，即对某些关键岗位人员进行合规风险培训，提高其合规风险意识和合规风

险管理技能。

8.4.1.2电力企业可采用一种或多种组合措施，控制供应链合规风险。结合风险管控策略，

宜建立《供应链合规风险应对措施表》，示例见附录B。

8.4.1.3风险控制措施的制定和评估是一个递进的过程。在拟定风险控制措施后，应评估其

剩余风险是否可以接受。如不能接受，则应调整或制定新的风险控制措施，并再一次评估新

的风险控制措施效果，直到剩余风险可以承受。

8.4.1.4电力企业应注重风险管控过程的关键性技术研究，在研究成果应用前,也应进行风

险评估，并制定风险控制措施。

8.4.2应对计划

8.4.2.1电力企业每年根据近期内外环境变化和上一年度风险管控效果，确定一定时期内中

等及以上合规风险，制定综合管控措施及管控目标，形成年度风险管理策略并发布，指导年

度风险管理工作方向和重点，避免发生系统性、颠覆性风险。

8.4.2.2电力企业可根据自身的需求和资源状况，电力企业合规风险管理牵头管理机构针对

高风险建立预警制度，即根据对内外部风险环境变化的监控结果,及时发布供应链合规风险

预警信息，并制定相应的应急预案。定期评审供应链合规风险应急预案,确保其持续的适宜

性、充分性和有效性。应急预案中至少包括以下信息：

a)涉及的具体业务及管理活动、控制风险名称。

b)应急处理的相关组织机构、处理流程、沟通机制和应急措施，确保电力企业对突发

合规风险事件的及时反应,有效控制突发合规风险事件对电力企业造成的影响。

c)资源需求和配置方案。

d)报告和监督、检查的要求。

8.5供应链合规风险应对措施实施

8.5.1风险控制措施执行

8.5.1.1电力企业各级供应链管理部门应针对已发布或预警的风险，分解风险控制措施并制

订执行计划，将风险控制措施执行计划纳入日常工作计划一并实施和跟踪。按照风险等级、

风险种类、管理专业、企业层级，确定风险应对岗位、应对人员，相关方的具体防控任务。

8.5.1.2供应链合规风险可结合电力企业管理层级开展分层分级管理，对合规风险事件后果

严重程度为一级的风险（见附录D）开展提级管控。

8.5.1.3集团公司供应链管理部门对高、中级风险实施一级管控，省级公司供应链管理部门

对低风险实施二级管控，地市级公司供应链管理部门对极低风险实施三级管控。

a)一级管控:制定专项措施，及时检查落实，定期向上级供应链管理部门报告进度。

b)二级管控:列入常态化管控重点，定期关注风险变化。

14

c)三级管控:定期抽查风险变化。

8.5.2风险动态管理

8.5.2.1电力企业应对内外部各类检查揭示的供应链问题、事故事件中暴露的供应链问题、

内外部环境变化，结合日常工作开展风险评估，及时识别新风险，拟定应对措施，按照动态

管理机制发起调整工作。

8.5.2.2在对供应链合规风险进行管控时，有可能会引起其他风险变化，应实时跟踪、监控

风险应对效果和环境变化信息，动态开展风险评估，及时补充完善应对措施。

8.5.2.3电力企业各级供应链管理部门应评估风险管控成效，通过实时或周期性调整，调整

风险等级或补充风险管控措施。已有风险管控措施调整或风险等级上调、新增风险执行实时

调整，风险库中的各项风险每年集中调整。

9检查和监督

9.1电力企业宜实时跟踪供应链内外部合规风险环境的变化，及时监督和检査供应链合规

风险管理流程的运行状况，以确保供应链合规风险应对计划的有效执行,并根据发现的问题

对供应链合规风险管理工作进行持续改进。

9.2电力企业供应链合规风险管理监督和检査的内容可包括但不限于以下内容：

a）内外部合规风险环境的变化，如法律法规、相关政策的出台和变化，国际产业链供

应链的变化，电力企业自身战略的调整改变等；

b）监测供应链合规风险事件,分析趋势及其变化并从中吸取教训；

c）对照供应链合规风险应对计划检査工作进度与计划的偏差，保证风险应对措施的设

计和执行有效；

d）报告关于合规风险变化、风险应对计划的执行进度和风险管理方针的遵循情况；

e）实施供应链合规风险管理绩效评估。

9.3电力企业应关注风险处理后的剩余风险的性质和程度。将剩余风险记录在案，接受监测，

酌情考虑进一步的应对处理。

9.4电力企业各级供应链合规风险管理机构应对供应链风险管理工作进行检查与监督工作。

供应链合规风险检查、监督方式应采用分为常态化方式、专项方式和飞行方式。

a）常态化方式，如高风险岗位自评、业务部门自查、每半年同级供应链风险管理机构

检查、每年对所属子企业检查的评价机制。

b）专项方式，包括对巡视巡察、审计及供应链业务监督等发现的重点、难点、突发问

题和业务管理薄弱环节，有针对性地组织开展调查、分析研究工作。

c）飞行方式，采用现场监督为主，定期或不定期选取某一区域、单位、业务环节、潜

在风险等，不发通知、不打招呼、直达现场开展监督工作。

10沟通和记录

10.1沟通

10.1.1电力企业在供应链合规风险管理过程的每个阶段都应当与相关方有效沟通，以保证

实施合规风险管理的相关人员和相关方能够充分了解企业面临的合规风险及其给企业带来

的影响，正确理解企业合规风险管理策略，有效执行企业合规风险管理活动。

10.1.2供应链合规风险管理沟通的内容包括：

a）国家和各级政府最新发布的供应链管理法律法规和文件。

b）供应链管理文件、标准及要求、责任。

c）内外部变化及相关的供应链管理风险信息。

15

d）供应链风险管理方针、目标与指标。

e）国家、行业、本系统有关供应链管理的事故/事件信息。

f）供应链管理会议纪要、简报、简讯及其他供应链管理信息。

g）建议/抱怨，及其处理结果。

h）相关方的需求和业务办理中的信息交互。

10.1.3电力企业应结合供应链合规风险评估表、供应链合规风险应对表，形成完整的供应

链风险库，建立信息系统开展供应链合规风险管控工作，实时发布、传递、审批风险，对风

险进行分析、预警、评估，实现风险信息共享、高效流转、动态调整。

10.1.4电力企业应建立供应合规风险传递渠道，可采用风险报告单或提示函等方式，通知

上级或下级企业或相关方，促使其对新增风险或调整风险进行风险评估，实现风险管理上下

贯通、横向协同。

10.1.5企业在对外发布信息之前，应根据信息敏感程度开展舆情风险评估，制定管控措施,

履行审批手续。

10.2记录

电力企业在进行合规风险管理过程中，应及时记录与风险管理有关的信息。

在建立风险管理记录机制时，应考虑但不限于以下方面：

a）出于管理目的而重复使用信息的需要；

b）进一步分析供应链合规风险和调整风险应对措施的需要；

c）供应链合规风险管理活动的可追溯要求；

d）沟通的需要；

e）企业本身持续学习的需要；

f）建立和维护记录所需的成本和工作量；

g）获取信息的方法、读取信息的容易程度和储存媒介；

h）记录保留期限管理。

16

附录A

（资料性附录）

电网企业供应链合规风险评估示例

表A某省电网公司供应链合规风险评估示例

基础信息区合规义务信息区合规风险分析、评价区

SEP法

涉及到的法律、三要素法（限廉洁风

序号一级二级业业务事风险涉及到上级企业涉及到的企业管风险种风险发生后果严重程风险等

单位风险源风险法规及相关要险用）

业务务项代码的规章制度要求理要求类的可能性度级

求SEPABC

专家管理员未及

未及时修责任人承担

某省招标（非时请技术人员对

采购专家抽补的专家《某网级电网公网络风其他民事、行

1电网招标）管专家抽取系统进可能5033低风险

管理取抽取系统司采购管理规定》险政责任、被解

公司理行维护导致评标

漏洞除劳动合同

专家信息泄露

《中华人民共和《某网级电网公

供应供应为特定供《某省电网公司

采购专责受贿为国招标投标法》司采购管理规定》、

链策链策采购策略应商量身采购管理办法》、廉洁风

2执行特定供应商量身《中华人民共和《某网级电网公是是是高风险

划管略管管理定制的采《某省电网公司险

定制采购方案国招标投标实施司非招标采购方

理理购方案采购策略》

条例》式管理办法》

《中华人民共和《某省电网公司

专家管理员未对

某省评标专家国招标投标法》《某网级电网公采购管理办法

采购评标现评标专家进行廉廉洁风

3电网招标管理不当的评《中华人民共和司采购专家管理（2021）》、《某是是否中风险

管理场管理洁谈话，导致评险

公司分国招标投标实施办法》省电网公司采购

标专家受贿

条例》专家管理细则》

某省仓储不规范的库管员不规范的《某省电网公司责任人被通

仓库运行《中华人民共和财产风极低风

4电网配送出入库出入库作出入库作业导致仓储配送实施细极有可能报批评或以555

管理国安全生产法》险险

公司管理业公司资产损失则》下处分

仓库负责人未做

某省仓储从吊臂下好安全交底，导

仓库运行《中华人民共和作业风极低风

5电网配送出入库横穿的配致配合人员从吊《某省电网公司极有可能造成轻伤1人1053

管理国安全生产法》险险

公司管理合人员臂下横穿被掉落仓库作业规范》

的物资砸伤

某省未及时回逆向物流专责长《某省电网公司造成较大范

逆向报废物资危险废《中华人民共和其他合

6电网收处置的时间未处置危废危险废物回收处十分可能围的环境破5014低风险

物流管理物处置国环保法》规风险

公司危险废物物导致环境污染置实施细则》坏

《中华人民共和

供应监督专责未及时

某省国招标投标法》《某网级电网公《某省电网公司延迟交付30

链监供应链投质疑投处理不及处理投诉导致物交付风

7电网《中华人民共和司供应链监督管供应链监督管理极有可能天以上60天5035中风险

督管诉处理诉处理时的投诉资购买不及时，险

公司国招标投标实施理办法》实施细则》以下

理项目无物资可用

条例》

17