采购合规度管控

在讲采购合规管理之前，我们先从企业整体内部控制上做个前序。企业在日常运营过程中，存在一些列的风险，如所有者管理者的内部交易、关联交易，员工的收受回扣、虚报利益申报、操纵数据，供应商虚假、行贿员工等。为了保持利益相关方保持对公司的信心，企业运营必须遵守外部法律、内部流程的要求，企业有必要进行内部控制。

常见外部法律主要有《企业会计准则》、《国际会计准则》等、另外美国上市公司需要遵守《萨班斯法案》（Sarbanes-Oxley），国内上市的需要遵守《企业内部控制审计指引》等。

这些法律规定的目的无疑都是让企业处于规范运作之下，例如萨班斯302条款要求由首席执行官和财务主管在内的企业管理层，对公司财务报告的内部控制按季度和年度就以下事项发表声明（予以证实）。萨班斯404条款要求，管理层在其年度文件中提供关于与财务报告有关的内部控制的年度评估报告，公司管理层需对内部控制进行报告，担任公司年报审计的会计公司应当对其进行测试和评价，并出具评价报告。为了满足两个条款的要求，上市公司必然投入大量人财物进行管理，但就执行效果而言，大量上市公司的内控缺陷被暴露出来，从而得以改善。

中国也有《企业内部控制审计指引》类似萨班斯法案的法律，指出企业内部控制配套指引的上市公司和非上市大中型企业，应当对内部控制的有效性进行自我评价，披露年度自我评价报告，同时应当聘请会计师事务所对财务报

告内部控制的有效性进行审计并出具审计报告。其他的相关法律规定不在此一一赘述。

除了外部法律以外，内部要建立内部控制体系，管理层管理层要对其业务流程的内部控制的构成负责，通过内部审核流程来判断是否履行相应责任来监督公司的内部控制机制。

内控按业务循环划分有销售、采购、制造、物流、人力、研发、费用、库存、财务报告等，常见的内控基本原则COSO（CommitteeOf Sponsoring Organizations），公司建立控制环境，进行风险评估，实施控制活动，期间伴随着信息沟通和持续培训，并进行监控改善。

采购合规度主要包括包含采购规章制度和流程的建立以及进行风险定期评估，常见三类主要自测指标有：未经批准的供应商选择方式、违规采购、过期等，其他次要自测指标有过期合同、供应商配额未有效执行、寻源记录文件过期、价格有效期过期等，可以根据企业实际采购业务情况进行调整。

采购合规的管理主要在企业内部控制环境的基础上，执行相关采购，制定相关采购流程，在识别风险的基础上，进行相关的控制活动，日常管理中

主要根据流程控制点进行自测与改善，采购部内部的内审团队定期进行监控审查，并配合公司审计或者外部审计的审计工作。

在企业采购咨询项目过程，曾遇到关于采购审计的一些案例，比如审计部门要不要参与到企业的采购招标过程中。很多企业采购的管理层认为，为了避免采购风险，一定要让审计部门派人参与整个招标过程，并进行会签，他们的观点是，审计部门都签了字，再出问题的话就不是采购部门自己的事情了。但其实这是治标不治本的，公司审计部门并不懂采购业务，采购招标过程冗长复杂，审计部门不得不增加人手来应付，但是即使参与了招标，也只是走过场，成了形式合规。笔者在曾经咨询过的一家客户就遇到过采购部和审计部就审计部该不该参与招标以及多少采购金额的招标该参与的事情争论不休。还遇到某公司审计部对采购部员工进行钓鱼执法的故事。还有公司采购流程规定不清晰，审计部审计随意性较大，比如审计部审查采购某物品的价格是不是市场上最低的价格，如果不是最低的价格就违规，对员工就要实施罚款，这是矫枉过正的例子了。

归根结底，采购的合规度是建立在风险识别以及合理的采购规章制度和流程的基础上，在这个基础上之上，采购部内部也有必要设立专门的内控团队，建立风险防范机制和风险控制体系进行日常的风险控制，并逐步改善内控缺陷，满足公司运营的内控要求。

最后用IBM总部的资深审计师对内控的解释作为结尾：“其实内部控制最直接的功用就是对股东和投资人有个交待，在他们询问公司用什么来保证公司的账目和业务是真实可信的时候，完备的内部控制就是最好的证明。”