供应链尽责管理实操指南

尽职调查审核指南

基于OECD尽责管理指南的审核手册（2025年版）

供矿产、制造、采购、贸易、零售行业的合规从业者使用 | 兼顾新手入门与专业人士深造

需要特别说明的是：审核是手段，但促进合规是目的，所以，本书尽可能兼顾供应商及审核员视角。

────────────────────────────────────────────────────────────────────────

如何使用本指南

本指南有意避免重复互联网上已大量存在的内容——OECD五步框架的通用介绍、各法规的基本条款释义、标准或品牌承诺声明，均可在OECD官网、各标准官网及各大ESG咨询公司的白皮书中找到。

本指南聚焦的是那些"框架文件告诉你应该做什么、但不告诉你怎么做"的部分：

• 实际文件要长什么样

• 矿产供应链中的"灰色地带"——ASM矿工经多层贸易商进入正规系统时，信息如何被稀释，以及如何在实践中应对

• 如何将数十个公开数据库的信息转化为内部可操作的风险评分，而非停留在"查阅参考"层面

• 如何判断信息的"权重"——在同一供应商同时触发多个风险信号时，哪个信号应优先处理

• 如何准备和观察一次矿产供应链核查（包括需要向供应商要求的具体文件清单）

• 如何用AI和自动化工具将整套系统从人工驱动转变为半自动运行（付费内容）

▌阅读路径建议　新手请从第一至第三章顺序阅读，完成基础政策文件框架后再进入风险评估章节。有经验的从业者可直接跳至第四章（风险情报系统建设）、第五章（行动决策矩阵）或第八章（AI自动化）。

第一章　必须创建的基础文件：从零建立政策体系

在开展任何实质性尽责管理工作之前，企业内部需要哪些书面文件？这些文件不是用于应付审核，而是企业用于开展供应链管理工作的法律依据、操作规程和沟通界面。以下六类文件按建议创建优先顺序排列：

• 文件1　供应链尽责管理（或尽职调查）政策（DD Policy）

• 文件2　供应商行为准则（Supplier Code of Conduct，SCoC）

• 文件3　内部治理章程与职责分工矩阵（RACI Matrix）

• 文件4　风险评估框架与评分方法（Risk Assessment Methodology）

• 文件5　供应商尽职调查问卷（SAQ）

• 文件6　申诉与救济机制程序文件（Grievance & Remediation Procedure）

▌常见错误：为了应对客户问询和审核，企业不断优化政策文件语言，而推迟启动实际的供应商信息收集。建议：文件1和文件2应在30天内完成v1.0版本并发布，哪怕尚不完美（完美是有效的敌人）。

1.1　文件1：供应链尽责管理（或尽职调查）政策模板

模板说明：M=必填，O=建议填写。以下为核心条款结构，企业可在此基础上扩展。

【模板】供应链负责任采购与尽职调查政策

M 文件编号与版本：DD-POL-001 v1.0

M 生效日期：[请填写]

M 批准人（职务）：首席执行官 / 董事会主席

M 适用范围：集团全体员工及在本公司授权下开展采购活动的第三方

M 审查周期：每年审查一次，或在相关法规发生重大变化时及时审查

第一条　政策目的

本公司承诺在其供应链的全部层级中识别、预防、减轻并追责对人权、劳工权利、环境和商业道德产生的负面影响，遵循《经合组织负责任商业行为尽责管理指南》（2018）及联合国《工商业与人权指导原则》（UNGPs）的框架。本政策不得低于以下适用法律的最低要求：[列举：德国LkSG / 欧盟CSDDD / UFLPA / 中国相关法规等]。

第二条　适用范围

本政策适用于供应链各层级，优先覆盖直接供应商（第一层级），并视风险程度向第二层级及原材料来源层级延伸。适用议题包括：强迫劳动（含债务劳役、人口贩卖）、童工、不安全工作条件、强制超时、歧视、结社自由受限、贿赂腐败、土地权利侵害、有害物质排放及非法采矿活动。

第三条　尽职调查流程

本公司依照OECD DDG五步法开展持续性供应链尽职调查：（1）建立管理体系；（2）识别与评估风险；（3）制定并实施应对措施；（4）追踪执行效果；（5）对外沟通与披露。各步骤具体操作详见配套操作规程[文件编号]。

第四条　供应商要求

所有供应商须签署并遵守《供应商行为准则》，并配合信息收集、现场访问及第三方核查。遵守情况将纳入供应商资质评估、续约决策及采购分配。

M M：矿产供应链专用条款：供应商须额外遵守《矿产负责任采购补充要求》，包括提供CMRT报告、证明冶炼厂RMAP合规状态，以及在高风险采区提供产地证明文件。

O O：UFLPA条款：如适用，详述对涉疆供应链的披露要求和处置程序

第五条　责任归属

[指定部门/岗位]负责本政策的日常执行。[指定跨职能委员会]每季度审查执行情况并向[董事会/ESG委员会]汇报。

第六条　举报与救济

任何供应链工人、社区成员或内部员工均可通过[邮箱/热线/匿名平台]提交申诉。公司承诺在收到申诉后[X]个工作日内进行初步回应，并保护举报人免受报复。

1.2　文件2：供应商行为准则（SCoC）必备条款

SCoC须作为采购合同附件，合同中须明确注明"违反SCoC构成重大违约"。否则SCoC仅为道德声明，不具法律约束力。以下列出必须覆盖的条款：

• 劳工标准基本条款（ILO核心公约）：禁止强迫劳动；禁止童工（工业/矿业不低于18岁）；结社自由与集体谈判权；同工同酬无歧视；遵守最低工资、法定福利、工时和休息日规定

• 健康与安全：安全工作环境；危险品管理规程；事故报告义务；个人防护设备提供

• 环境合规：遵守所在地环境法规；危险废物合规处置；禁止非法排放；新建制造基地须核查是否位于KBA（关键生物多样性区域，keybiodiversityareas.org）或自然保护区缓冲区；涉及农业原材料采购须符合EUDR反毁林要求

• 生物多样性与土地：禁止在2020年12月31日后毁林土地上采购农业原材料；在IFC关键栖息地内运营须提供净增益证明；须按TNFD LEAP方法识别并披露自然相关重大风险（战略供应商）

• 社区福祉：为受运营影响的周边社区设立独立申诉渠道；运营涉及原住民或传统社区土地须完成FPIC（自由事先知情同意）程序（参照IFC PS7）；禁止在未完成FPIC的情况下推进涉及原住民权利的项目

• 动物福利（适用于涉及活体动物的供应商）：遵守五大自由原则（Brambell框架）；禁止妊娠笼、无麻醉疼痛性处置、活体拔毛、强制填饲、抗生素促生长；屠宰须符合OIE人道致晕标准；鼓励持有RSPCA/GAP/ASC/RDS等认证

• 商业道德：禁止贿赂；利益冲突披露；反洗钱合规；数据保护

• M 矿产专用条款：对采购矿产开展OECD DDG尽职调查；披露所有冶炼厂/精炼厂名称及来源国；不得从武装团体控制矿区采购；支持独立核查；向二级供应商传递等效要求。

• M ASM特殊披露：如供应链含ASM矿产，额外披露矿区坐标（如可获取）、中间贸易商名称、采用的尽职调查措施（CRAFT评估、IPIS核查等）

• O 级联要求：供应商须将准则要求传递至其直接供应商，并负有监督其一级供应商合规的义务。

1.3　文件3：RACI矩阵（核心活动责任分配）

R=负责执行，A=最终问责，C=需咨询，I=知情即可：

• 供应商风险分级　R:采购/供应链 A:合规总监 C:法务 I:高管层

• SAQ收集与核查　R:采购 A:合规 C:质量 I:财务

• 高风险供应商整改计划　R:采购+合规 A:VP采购 C:法务+HR I:CEO

• 第三方核查委托　R:合规 A:合规总监 C:采购+法务 I:审计委员会

• 对外年度报告　R:ESG/合规 A:CEO C:法务+IR I:董事会

• 申诉案件处理　R:合规 A:合规总监 C:法务+HR I:CEO（重大案件）

• 政策年度审查　R:合规 A:CEO/董事会 C:全部职能部门 I:全体员工

1.4　供应商SAQ设计原则

大多数SAQ失败的原因是问题太多但信息密度低。以下原则帮助设计有效的SAQ：

• 分层设计：基础版（所有供应商，约15题）+ 矿产扩展版（矿产类，附加20题）+ 高风险扩展版（由基础版触发）

• 问"事实"而非"承诺"：不问"你是否承诺不使用童工"，而问"截至本季度，年龄16-18岁工人在总员工中占比？他们从事的工种是否经过职业健康风险评估？"

• M 矿产版关键题目：列出本季度所有3TG/钴/锂矿产供应商名称（含企业注册编号）；哪些已通过RMAP审核？对未通过RMAP的，如何核查其矿产来源？已知的所有冶炼厂名称及RMAP状态。

• 设计"一致性陷阱"：同一信息两种问法（如"最低时薪"和"月工资÷工时"），用于识别编造答案

• 要求附上证明文件（见第五章文件清单）

第二章　供应链图谱绘制：穿透多层贸易商与ASM迷雾

供应链图谱绘制是尽职调查中技术难度最高的一步。在矿产领域，现有指南文件对这一步的具体实施方式描述相当抽象。本章直接面对现实：矿产供应链中信息是如何被逐步稀释的，以及在有限信息条件下你能做什么。

2.1　矿产供应链的典型结构与信息流失节点

• 第一层：矿山——工业矿山（LSM）或手工/小规模采矿（ASM）

• ⚠ 第二层：初级加工 / 出口仓 / 矿石集散商（Comptoir） ← 信息损失的第一关键节点

• ⚠ 第三层：贸易中间商 ← 混合来源、多批次合并，信息进一步稀释

• 第四层：冶炼厂/精炼厂——OECD所说的"压缩点"（Pinch Point）

• 第五层：材料加工商

• 第六层：零部件制造商 → 产品制造商 → 品牌方 → 消费者

▌核心矛盾　OECD DDG要求溯源至冶炼厂，而RMI的RMAP仅对冶炼厂开展审核。即使冶炼厂通过了RMAP，也不等于其原料来源没有问题——它仅意味着冶炼厂在其采购环节执行了OECD流程。ASM矿产进入正规冶炼厂之前往往经过2-4个贸易商，每一层都可能发生混矿（commingling），使溯源在实践中极为困难。

2.2　贸易商问题：信息被如何系统性掩盖

模式A：合法混矿（Legal Commingling）

贸易商合并来自多个矿山的矿石，通常有合法商业逻辑，但合并后的批次已无法精确溯源至单一矿山。

• 识别方法：若产地证书对应的采购量远小于实际出货量，说明存在合并来源。要求供应商提供每个批次的来源明细（Lot Traceability Record）。

• 应对：接受合理混矿，但要求贸易商证明每个来源矿山均经过OECD合规评估，至少提供每个矿山的GPS坐标和合规状态。

模式B：标签替换（Relabeling）

高风险来源矿产被赋予低风险国家的产地标签，在DRC和中非地区极为普遍。

• 红旗信号：声称来自低风险地区，但价格显著低于市价；产地证书与物流路线不一致；无法提供出口国海关记录。

• 核查手段：与IPIS的DRC地图交叉核验贸易商报告的矿山坐标；要求提供出口申报文件（Export Declaration）而非仅产地证书；核查物流路线与声明来源地的地理合理性。

模式C：关联实体掩盖（Layered Beneficial Ownership）

贸易商通过多个法人实体隔离高风险关联（如武装团体参股），将问题矿产洗白。

• 识别方法：通过OpenSanctions、OFAC、UN制裁名单交叉检查贸易商的最终受益人（UBO）。要求贸易商提供UBO申报文件，与当地商业注册信息核对。

• 限制：低收入国家商业注册信息质量参差不齐，UBO申报制度不健全。可借助IPIS实地调查报告和Global Witness调查报道作为补充信号。

模式D：ASM/LSM混标

将手工采矿矿产标记为来自持有正规采矿许可证的工业矿山。

• 识别方法：核对矿山申报产量与海关出口量是否匹配——若实际出口量显著超过申报产量，说明存在混入ASM矿产的可能。委托IPIS等机构进行现场核查以核实矿山实际规模。

2.3　供应链图谱绘制实操步骤

• 步骤1：盘点采购矿种清单——确认OECD重点矿种（3TG、钴）、欧盟电池法规矿种（锂、镍、钴、天然石墨）和延伸关注矿种（云母、铝土矿、钨、PGMs）。

• 步骤2：识别涉及上述矿种的直接供应商，收集基础信息（营业执照、注册地址、主要客户、年采购量、与贸易商/矿山的关系描述）。

• 步骤3：要求直接供应商填写矿产溯源申报表，提供来源冶炼厂列表（含RMI编码）、贸易商关系链（至少到第一个贸易商）、对RMAP未覆盖冶炼厂的补充说明。

• 步骤4：将供应商提供的冶炼厂名称与RMI合规冶炼厂名单对比。对于未在名单中的冶炼厂，要求供应商解释合规状态，视风险程度决定是否委托核查或要求更换来源。

• 步骤5：对高风险矿种（冲突矿产、ASM比例高），向贸易商层级延伸，要求提供矿区访问记录，或委托IPIS/同等机构进行现场核查。

• 步骤6：将以上信息汇总为供应链地图（电子表格或可视化工具如Sourcemap），标注每个节点的风险状态和待核查项。

▌ASM实践提示　对于ASM来源的矿产，不要追求与工业矿山同等水平的溯源精度——这在实践中不可能实现。OECD DDG的立场是"按比例"——关键是能证明采取了与风险相称的合理措施。可接受的替代路径包括：供应商采用CRAFT Code自评、参与Fairmined或Fair Cobalt Alliance认证项目、或委托经认可机构对矿区进行独立访问评估。

第三章　情报系统建设：如何有意义地使用公开数据

目前可用于供应链尽职调查的公开数据库超过30个。问题不是信息太少，而是如何从海量公开信息中提炼出对你的具体供应链最相关的风险信号，并在有限工作时间内做出优先级判断。本章提供的不是工具清单（清单见第十章），而是使用逻辑。

3.1　数据权重层级：哪类信息触发行动

• 第一层　直接命中数据（Action-Triggering）：供应商/贸易商/冶炼厂直接出现在制裁名单（OFAC SDN、UFLPA Entity List、EU制裁、UN制裁）或CBP WRO清单中。一旦命中，必须立即暂停相关业务并启动法律评估，无需等待风险评分完成。

• 第二层　强相关风险信号：RMI合规冶炼厂名单比对不通过；IPIS数据库显示供应商声称矿区存在武装团体活动；BIS Entity List命中；DoL ILAB商品清单直接列出该矿种×来源国组合。

• 第三层　背景风险评分：来源国在TI-CPI、HIIK冲突指数、FSI脆弱国家指数上的综合评级；ITUC全球权利指数；Freedom House评级；Walk Free全球奴役指数。这些是背景信号，需与第一、二层信号结合判断，不能单独触发行动。

• 第四层　参考数据：全球奴役指数行业报告、Know the Chain行业基准、NGO调查报告。提供行业趋势和可信案例，不作为个别供应商风险评分的直接输入。

3.2　制裁与实体名单：精确筛查指南

多来源同时筛查的必要性

任何单一名单都有覆盖盲区。OFAC SDN主要覆盖美国制裁目标；EU制裁名单与OFAC有一定重叠（约40%）；UN制裁名单通常是各国制裁的最低公约数；UFLPA Entity List有其特殊针对性，与前述名单重叠率较低。建议通过OpenSanctions（汇聚329个来源）进行一次性多名单筛查，对新增/近期修订实体须回到各名单原始来源核实。

名称匹配的实际难题

中文企业名称的拉丁化拼写存在大量变体（粤语vs普通话拼音；缩写vs全称；注册名vs经营名）。建议：同时使用统一社会信用代码和多个可能的英文拼写方式筛查；对高风险关联企业使用UBO分析工具追踪最终控制人。

UFLPA名单的动态性

截至2025年3月，UFLPA Entity List已包含144+家实体，持续增加（2024年11月新增29家）。建议将UFLPA名单筛查纳入季度自动化更新流程，而非仅在供应商准入时筛查一次。

3.3　冲突与高风险地区识别：三角验证组合

单独使用任何一个冲突数据库都会导致漏判或误判。建议使用以下组合：

• HIIK冲突晴雨表（每年12月发布）：提供宏观冲突地区分类（1-5级），适合设定年度风险底线，确定哪些来源地区属于CAHRA的初始判断。

• ACLED（实时更新）：提供具体到县级的冲突事件定位，可与供应商（声称）矿区坐标叠加分析。如矿区半径50公里内12个月内有武装冲突事件记录，则应升级风险级别。ACLED的API支持按地理坐标查询，可集成至自动化系统。

• IPIS DRC矿区数据库：专针对DRC/刚果共和国/中非的矿区级数据，含2800+矿点的武装团体存在情况、矿种和开采状况。对于采购DRC矿产的企业，这是不可或缺的直接数据来源。

▌操作示例　某供应商声称其钴来自刚果东部某LSM矿山。操作步骤：(1)在IPIS地图检索该矿区坐标；(2)在ACLED查询该坐标周边50公里12个月内事件记录；(3)将HIIK对DRC卡塔加省的冲突评级纳入背景判断；(4)综合判断是否满足CAHRA认定条件。如三个来源均显示该区域存在活跃武装团体，该来源应标记为"CAHRA高风险"，触发第三方独立矿区核查要求。

3.4　矿种专属项目的实际使用方法

第一类：采购决策触发型——是否在名单上直接影响采购决策

• RMI RMAP　RMI RMAP合规冶炼厂名单（3TG+钴）：唯一由Dodd-Frank和OECD明确认可的冶炼厂审核项目，是电子/汽车行业合规的核心工具。供应商使用的冶炼厂未在合规名单上，应直接触发整改要求。

• LBMA　LBMA负责任黄金精炼厂名单：与OFAC SDN有联动（被制裁精炼厂自动失去LBMA认可资格）。黄金相关行业必检。

• RJC　RJC认证成员名单（黄金/PGMs/钻石）：珠宝行业全链认证。

第二类：采购支持型——认证结果可支持正面陈述，但缺失不直接触发违规

• ASI（铝）　已认证站点可视为铝供应链的较低风险来源，覆盖率仍在增长。

• CopperMark/NickelMark　覆盖铜/镍/锌/钼，已认证矿区和精炼厂可作为风险降低依据。NickelMark是CopperMark针对镍的扩展，共用基础设施。

• ResponsibleSteel　已认证矿区可视为钢铁供应链的正面信号。

• Fair Cobalt Alliance（钴）　Fair Cobalt Alliance的钴积分（credits）机制是目前少数可处理ASM钴来源的工具之一。

第三类：ASM专用型——专为非正规采矿设计，标准不同于工业矿山

• CRAFT Code v2.1　开源框架（CC BY-SA 4.0），v2.1版（2024年10月）完全与OECD DDG对齐，是最实用的ASM供应链评估工具。

• Fairmined　适用于ASM黄金/白银/PGMs，认证标准最严格，但认证供应量有限。

• Responsible Mica Initiative　专用于印度和马达加斯加云母，是化妆品/汽车涂料行业处理云母风险的主要工具。

第四章　风险评分体系：将多维信息转化为可操作的供应商评级

本章提供一套可直接部署的量化风险评分方法，将第三章的公开数据信息转化为每个供应商的综合风险得分，并映射至具体的管理行动要求。

4.1　评分框架总体设计（100分制，分越高风险越高）

• 地理风险（Country/Region Risk）：权重25%，满分20分

• 矿种固有风险（Mineral Inherent Risk）：权重25%，满分20分

• 供应链层级风险（Tier Opacity Risk）：权重20%，满分16分

• 供应商合规状态（Compliance Status）：权重20%，满分16分（反向评分：合规越好分越低）

• 制裁与监管暴露（Regulatory Exposure）：权重10%，满分8分；命中制裁名单者直接触发即时行动，不参与常规评分

综合风险评级划分：

• 极高风险（80-100）：立即行动，暂停采购，强化尽职调查

• 高风险（60-79）：90天内完成现场核查或等效评估，制定整改计划

• 中风险（40-59）：年度独立评估，SAQ每年更新，核实现有审核报告

• 低风险（20-39）：SAQ + 有效第三方审核报告，2年一次重新评估

• 极低风险（0-19）：简化SAQ，3年一次重新评估

4.2　维度一：地理风险评分（0-20分）

数据来源组合：TI-CPI + HIIK冲突晴雨表 + Freedom House + WJP法治指数 + FSI脆弱国家指数：

• TI-CPI<30（极高腐败）：+8分；30-49：+5分；50-69：+3分；>=70：+0分

• HIIK冲突等级4-5（战争/有限战争）：+6分；等级3（暴力危机）：+4分；等级2：+2分；等级0-1：+0分

• Freedom House"不自由"：+4分；"部分自由"：+2分；"自由"：+0分

• FSI>90：+2分；70-90：+1分；<70：+0分

▌示例对比　DRC：TI-CPI约20(+8)+HIIK等级5(+6)+不自由(+4)+FSI>100(+2) = 20/20。智利：TI-CPI约67(+3)+HIIK等级1(+0)+自由(+0)+FSI约45(+0) = 3/20。同一钴供应商，来源地不同，地理风险相差17分。

4.3　维度二：矿种固有风险（0-20分）

• 最高风险（+20）：钴（DRC来源，大量ASM+儿童劳动）；从CAHRA地区采购的3TG

• 高风险（+15）：云母（印度/马达加斯加ASM，儿童劳动）；钻石（Kimberley Process局限性已知）；黄金（ASM广泛分布，洗钱风险高）

• 中高风险（+10）：镍（印尼/菲律宾环境和劳工风险）；铝土矿（几内亚/加纳土地权利）；钨（中国占全球产量85%+，供应集中）

• 中风险（+6）：铜（智利/秘鲁有社区冲突记录）；钢铁（全球供应链复杂）；锂（原住民土地权利问题上升）

• 基准风险（+3）：铝（ASI覆盖中）；锡/钽/钨（非CAHRA来源）；铂族金属（南非主产，劳工情况已大幅改善）

4.4　维度三：供应链层级风险（0-16分）

• 直接采购自矿山（极少见）：+2分

• 直接采购自冶炼厂/精炼厂：+4分（透明度最高）

• 通过1个贸易商采购：+8分

• 通过2+个贸易商（多层中间商）：+12分

• 来源不明/无法追溯至冶炼厂：+16分（直接归入高风险触发行动）

• 折减项：供应商提供经核实的完整批次溯源记录，最高可折减-4分

4.5　维度四：供应商合规状态（0-16分，反向评分）

• 持有有效RMAP合规冶炼厂认证（3TG/钴）：本维度得分=4分（满分16分折减12分）

• 持有其他等效认证（IRMA、ASI、RJC CoC等）：折减10分，得分=6分

• 持有有效的社会责任审核报告且报告内无重大风险问题（SA8000、SMETA 4支柱、RBA VAP、SLCP等，且12个月内）：折减6分

• SAQ填报完整且通过内部核查：折减4分

• 无任何合规记录：+0折减（满分16分）

• 有既往重大不符合项记录未关闭：额外+4分

• 曾被发现数据造假：直接触发"极高风险"，不参与常规评分

4.6　维度五：制裁与监管暴露（0-8分）

• 来源国在美国/EU/UN制裁名单下特定行业范围内：+6分

• 供应商来自UFLPA高风险行业且位于特定地区的供应链内：+8分

• 供应商与被制裁实体有已知业务往来记录（虽然自身未被制裁）：+4分

• 位于DoL ILAB商品清单中的矿种x来源国组合：+3分

▌制裁命中处理原则　若供应商本身、其UBO、或其主要贸易商直接命中OFAC SDN、UFLPA Entity List、EU制裁或UN制裁名单，不进入常规评分流程，直接启动"即时暂停与法律评估"程序。

第五章　行动决策：审核委托、审核准备与现场执行

本章解决：在风险评分的基础上，如何执行对高风险供应商展开行动？涵盖：选择审核机构、起草委托书、确定审核内容和参与现场观察四个环节。

5.1　选择审核机构（Verification Body、Notifying Body）

• 资质认可：对于RMI RMAP核查，只有RMI认可的审核机构方可实施（名单见responsiblemineralsinitiative.org/rmap/audit-firms/）。对于CRAFT Code评估，目前无单一认可机构名单，但委托机构应有矿产供应链现场访问经验和当地语言能力。

• 地理准入：在DRC东部、中非等高风险地区开展现场核查的机构需要安全访问能力和当地合作网络。可核查机构是否与IPIS等本地机构有合作关系。

• 专业深度：矿产供应链核查（尤其是冶炼厂级）需要专业知识，与一般劳工合规审核不同。询问机构过去12个月内执行矿产供应链相关核查的次数和客户案例。

• 利益冲突管理：审核机构不应与被审核供应商存在咨询、培训等商业关系。委托合同中须明确利益冲突禁止条款。

• APSCA认可（劳工合规组件）：若审核包含工厂劳工合规部分，执行审核员须持有CSCA认证或来自APSCA会员机构。

5.2　审核委托书的必要内容

M 审核对象：冶炼厂名称/矿区名称/贸易商名称+地址+联系人

M 审核方法：文件审查（Desk Review）/ 现场访问（On-site Visit）/ 远程访问（Remote Assessment）

M 审核标准：如：OECD DDG五步法；RMI RMAP审核协议；CRAFT Code v2.1；定制化审核要求

M 覆盖矿种：如：钴；或3TG全矿种；或特定批次来源核查

M 地理范围：核查地点坐标范围（尤其对矿区级核查）

M M：重点审核项（必须明确列出）：武装团体存在/税收证据；原料来源批次记录完整性；ASM/LSM混合情况；工人访谈（须包含匿名保护措施）；拒绝访问或信息限制记录

M 报告格式要求：执行摘要；不符合项清单（分级）；证据附件；审核员APSCA认证编号（如适用）

M 数据共享权利：审核结果是否可向客户共享？是否可上传至SEDEX/RMI平台？

M 核查期限与费用：参考：《尽职调查成本指南》

5.3　供应商文件准备清单（按审核类型分）

以下文件清单应在审核开始前至少30天发送给供应商，并明确哪些须在现场审核时提供原件，哪些可提前提交（例如通过电邮发送）。

A类：所有供应商基础合规文件

• 营业执照/企业注册证明（含统一社会信用代码）

• 采矿许可证/精炼厂运营许可证（如适用）

• 环境影响评估报告（政府批准版）及最近一次环境监测报告

• 税务登记证明及最近12个月纳税记录（核查是否向武装团体缴纳非法税款）

• 主要客户与供应商名单（近12个月交易量前10名）

• 最近一次独立审核报告（如有）及对应的整改计划执行记录

B类：冶炼厂/精炼厂专属矿产溯源文件

• 所有矿产来源供应商清单（含地址、营业执照编号、采购量）

• 每个来源供应商/矿山的尽职调查记录（采用何种工具？如何审核合规性？）

• CMRT（冲突矿产报告模板）最新版本，含所有来源冶炼厂/矿山信息

• 原料采购记录（进料单、出口报关单、产地证书）——须覆盖该次审核抽查批次的完整链条

• RMI RMAP审核报告或同等认可的合规证明（如有）

• 对CAHRA地区来源矿产的专项尽职调查文件（若有此类来源）

• 拒绝从非合规来源采购的书面政策及执行记录案例

C类：涉及ASM来源专属文件

• ASM合作协议或采购合同（含对ASM矿工/合作社的行为准则要求）

• CRAFT Code自评报告（如已完成）或委托第三方CRAFT评估的委托书及报告

• ASM矿区访问记录（日期、访问人员、发现摘要）

• 与ASM矿工的销售/采购收据（证明经济利益归属于矿工而非武装团体）

• 矿区地理坐标（用于与IPIS地图交叉核验）

D类：劳工合规组件文件

• 工人名册（含雇用类型：直接雇用/劳务派遣/承包商）

• 近12个月薪资发放记录（须包含加班费计算明细）

• 考勤记录（须与薪资记录交叉一致）

• 学生工/实习生名册及相关协议（如有）

• 招募合同及招募费用声明（证明无债务劳役）

• 安全培训记录、事故报告记录（近12个月）

• 工人代表/工会委员会会议纪要（近12个月）

5.4　现场观察指南

审核前（提前1-2周）

• 研究该供应商/矿区的公开背景信息（IPIS数据、HIIK地区评级、历史审核记录），列出你最关注的3-5个关键问题

• 准备独立的观察记录表，记录时间线、地点顺序、接受访谈的工人特征等客观事实

审核中（关键观察点）

• 开场会议：审核机构是否明确告知供应商审核范围？管理层态度是配合还是多处设限？

• 文件核查阶段：观察员不干预，但记录审核员是否要求查阅B/C类文件，对缺失文件是否充分追问

• M 工人访谈：访谈是否在管理人员不在场的私密环境进行？访谈者是否使用工人母语？被访谈工人是随机选取还是供应商管理层安排？访谈内容是否涉及申诉渠道、工人对工资准确性的感知、是否自愿就业等？

• 矿区/设施巡检：审核员是否访问了全部区域，还是被限制进入某些区域？限制访问的区域名称和理由是什么？

• 如发现疑问，应向审核员私下反映，由审核员决定是否追加询问

审核后（报告阶段）

• 对比独立观察记录与审核员的报告草稿，若存在重要差异，以书面形式向审核机构提出，要求说明或修订

• 将审核报告中的不符合项与风险评分框架对照，判断是否需要调整该供应商的整体风险评级

第六章　核查后的风险缓解：整改、升级与负责任退出

有时候，尽职调查工作流程在核查报告发出后陷入"静默"——整改计划发给供应商，内部无人跟踪。本章聚焦于如何把整改落到实处，以及在整改失败时如何作出升级决定。

6.1　整改行动计划（CAP）有效设计

• 每项不符合项必须区分"即时纠正（Correction）"和"系统性纠正措施（Corrective Action）"：前者处理已发生的问题（如向工人补发欠付工资），后者修复导致问题的管理漏洞（如建立工资核查机制）。仅做前者不能防止复发。

• 严重不符合项（如CAHRA矿产混入）的CAP须包含：对问题来源矿产暂停采购及生效时间、替代供应商开发计划、向上级管理层和监管机构的报告时限。

• M 时限标准：严重级<=30天；重大级<=60天；次要级<=90天。超过时限未关闭者，自动升级至高一级处理程序。

• 跟踪机制：每个CAP须指定内部跟踪负责人（非审核机构），并在系统中设置到期提醒。

6.2　分级应对策略

场景A：供应商意愿强，能力不足（最常见）

• 核心策略：能力建设支持。提供：文件记录模板（CMRT填报指导、批次追踪表格）；组织供应商培训；连接供应商与认证项目（如CRAFT评估机构）；提供一次"辅导复查"机会。

• 边界：若经过两个整改周期后能力仍显著不足，须评估是否为"无法改进"的系统性问题，考虑切换至能力更成熟的替代供应商。

场景B：供应商能力具备，但合规意愿存疑

• 红旗信号：文件准备充分但存在一致性矛盾；工人访谈与文件记录出入明显；对特定区域访问设限；回答模糊或转移话题。

• 策略：加强独立核查频率（年度改为半年度）；要求额外证明文件；采用突击审核；考虑启用独立监察员进行平行访查。

场景C：极高风险或零容忍违规（强迫劳动、武装团体参与证明）

• 不适用整改流程——直接执行：立即暂停相关批次/供应商采购（48小时内书面确认）；通知内部法律顾问评估是否触发向监管机构的主动报告义务；记录全部决策依据。

• 若情况涉及人身伤害：评估是否须直接提供救济（Remediation）——包括支持受害方获取医疗/法律援助、提供经济补偿、协助其转移至安全环境。

6.3　负责任退出（Responsible Disengagement）

OECD DDG明确指出：突然切断与问题供应商的关系，可能使工人失去生计、社区失去经济基础，有时反而比继续存在并推动改进造成更大伤害。

• 发出足够提前的通知（建议>=90天，为工人准备替代就业提供时间；大型供应商考虑更长过渡期）

• 在通知期内仍继续支持供应商的整改工作（即使最终将退出）

• 若其他买方仍继续与该供应商合作，考虑在合法合规框架内协调传递改进要求

• 记录退出的全部依据，包括提供的改进支持、整改期限、以及供应商未达标的具体证据，以备监管机构询问。

第七章　报告与利益相关方沟通

在CSDDD、LkSG和上市公司ESG披露监管框架下，对供应链尽职调查的实质性报告已具有法律强制性。

本章关注的不是“报告应该包含什么”，而是“如何写出一份经得住追问的报告”。

7.1　内部报告体系

建立两层内部报告机制：运营层（月度/季度，面向采购/合规部门）和治理层（年度，面向董事会/ESG委员会）。运营层报告核心KPI建议：

• 供应商覆盖率：本季度已完成风险评估的直接供应商占总采购额的比例（目标：>=90%）

• 高风险供应商CAP按时关闭率（目标：严重级>=85%，重大级>=80%）

• 供应商被纳入制裁（实体）清单：月度/季度识别的供应商数量及处置状态

• 申诉处理：收到申诉数量、类别分布、平均处理时长

• 审核计划执行率：计划期内已完成审核占计划审核总数的比例。

7.2　对外年度报告：让报告“经得住追问”

• M 必须披露：本年度识别到的最重要风险（不仅说“我们开展了风险评估”，还要说“识别到了什么”）；已关闭的重大不符合项（案例摘要，脱敏处理）；尚未完全解决的风险及原因。

• M 必须披露：申诉机制的实际运行情况（收到多少申诉？类别分布？处理时限达标率？）

• 建议披露：供应链覆盖数据；核查活动数量（委托了多少次独立核查？覆盖哪些矿种/来源地区？）

▌检验标准　发布年度报告之前，尝试回答这个问题：“如果外部监管人员拿到我们的报告，他/她能否据此判断我们是否真的认真开展了尽职调查？”如果答案是“不能”，则需要重新审阅报告的披露内容。

7.3　向品牌客户/买方的沟通

• 理解CMRT的填报逻辑：CMRT不是在问产品中“用了什么矿”，而是追溯3TG矿产的来源路径，直至冶炼厂层面。如果产品不含3TG，应在CMRT第一页明确声明，而非留空。

• 对于"未知冶炼厂"：如确实无法追溯至冶炼厂，应如实填报"Unknown"，而非捏造一个看起来合规的冶炼厂名称。前者是透明度问题，后者是欺诈。

• 提前建立CMRT数据库：将供应商提交的CMRT数据整合至内部系统（详见第八章自动化建议），大幅降低年度填报的工作量。

7.4　欧盟企业可持续发展尽职调查指令（CSDDD）：对供应链实操的影响

欧盟《企业可持续发展尽职调查指令》（CSDDD，EU 2024/1760）于2024年7月正式生效，要求符合门槛的企业在整条价值链（包括上游供应商和下游分销商）开展强制性人权与环境尽职调查。本节聚焦于CSDDD对供应商（尤其是向欧盟供货的中国企业）的实际影响。

7.4.1　CSDDD的适用范围与分阶段时间表

CSDDD直接适用于欧盟企业，但通过合同义务向非欧盟供应商传导：

阶段	适用时间	适用企业	对供应商的传导效应
第一阶段	2027年7月	欧盟员工>5,000人且全球净营业额>15亿欧元的企业	这些买家须开展供应链DD并向供应商传递合规要求
第二阶段	2028年7月	欧盟员工>3,000人且净营业额>9亿欧元的企业	适用买家范围扩大，传导压力增加
第三阶段	2029年7月	欧盟员工>1,000人且净营业额>4.5亿欧元的企业	几乎所有主要欧盟进口商须履行义务

注：非欧盟企业（含中国企业）若在欧盟净营业额超过上述门槛，也须直接履行CSDDD义务。

7.4.2　CSDDD的六项核心义务

CSDDD要求企业建立并执行以下六项义务，这些义务与OECD五步DD框架高度对齐：

CSDDD义务	实操要求	对应OECD步骤
1. 将尽责管理整合入公司政策	制定覆盖整条价值链的尽责管理政策，每年审查	步骤1
2. 识别实际和潜在不利影响	对直接供应商开展全面尽责管理；对间接供应商风险聚焦	步骤2
3. 预防潜在不利影响	与供应商签订包含DD义务的合同条款；提供能力建设支持	步骤3
4. 终止或减轻实际不利影响	设计整改行动计划（CAP）；对拒不整改供应商启动负责任退出	步骤3
5. 建立并维护申诉机制	为受影响方（工人、社区）提供可访问、保密的举报渠道	步骤3
6. 年度报告与公开披露	在官网公开发布尽责管理年度报告；适用CSRD/ESRS的企业通过可持续发展报告履行	步骤5

7.4.3　中国供应商的应对优先项

对于向欧盟企业供货的中国制造商，以下准备工作优先级最高：

立即可做（0—6个月）：

核查现有劳工和环境合规文件（审核报告、CAP记录）是否满足买家新的CSDDD合同要求
预期买家将在采购合同中加入“承诺”条款，要求供应商声明遵守ILO核心公约和特定环境标准
更新供应商SAQ，增加CSDDD要求的披露项（工资支付凭证、工时记录、环境许可证有效性）

中期建设（6—18个月）：

建立内部尽责管理政策文件，参考本指南第1章模板
将SMETA/RBA审核周期与欧盟买家的CSDDD合规报告周期对齐
为次级供应商（T2）建立基础风险筛查能力，因CSDDD要求买家向供应链延伸

与本系列的关系：本套指南的六个专项领域（社会、环境、安全、IP、道德、尽职调查）合计覆盖了CSDDD要求评估的全部实质性风险类别。使用本套指南建立合规体系的企业，将能够向欧盟买家证明其已建立符合CSDDD精神的尽责管理体系。

第八章　行业专项尽职调查框架

8.1　行业专项尽职调查的必要性

前述各章节所介绍的OECD五步法尽职调查框架是一套适用于所有行业的通用方法论。然而，各行业在供应链风险暴露方式、监管要求和主流认证工具方面存在显著差异——电子行业的冲突矿产合规与食品行业的森林砍伐合规，遵循完全不同的行业规则和认证体系。本章系统梳理了全球主要行业的专项DD框架，帮助尽职调查人员将通用方法论与行业专属工具有效结合。

本章涉及三个核心概念，贯穿所有行业认证体系：

监管链（Chain of Custody，CoC）：证明受认证材料从认证源头到最终产品全程可追溯的体系。CoC认证通过范围证书（SC）和交易证书（TC）实现，是所有行业认证计划的技术基础。
交易证书（Transaction Certificate，TC）：针对特定批次/货物由认证机构出具的证明文件，证实该批次来自经认证供应商，用于核实具体交易中的认证合规性。
范围证书（Scope Certificate，SC）：证明某一生产设施（工厂、农场、加工厂）已获得特定标准认证，在特定认证范围内有效从事相关业务。TC的有效性以供应商持有有效SC为前提。实操提示：采购TC证书时，须首先核验供应商的SC是否仍在有效期内。SC过期后，该期间内签发的所有TC均失去法律效力。建议在每个采购季开始前、而非在发货时才核验SC状态。

无论适用哪种CoC认证计划，以下步骤代表最低尽责管理实践标准：

下达采购订单前：核验供应商当前持有的、适用标准的有效SC（检查有效期、认证范围、产品类别是否匹配）；SC过期须停止采购，直至供应商完成证书续展
发货时：向供应商索取针对本批货物的TC。TC须注明：（a）标准名称；（b）供应商SC编号；（c）产品类别和数量；（d）认证机构名称和印章。对照TC核验货物与证书描述是否一致
文件保留：将所有SC和TC保存至少5年；在记录管理系统中将TC与采购订单和发票关联存档，以便接受客户或监管机构审查
年度核验：每个采购季开始前主动检查供应商SC的续期状态；提前60天提醒供应商进行证书续期，避免因SC失效造成合规断链
供应商通知：在供应商合同和采购条款中明确规定：适用的CoC标准、声明类型（物理隔离/质量平衡/Mass Balance）、TC义务，以及证书失效时的通知义务
纠正措施：发现TC缺口（如某批次缺少TC）时，启动整改行动计划（CAP）；评估是否需要向客户、认证机构或监管机构披露；避免在缺口未解决时继续声明认证状态

8.1.1　监管链项目对比速查表

行业	主要CoC认证计划	机制类型	验证层级
电子/科技	CMRT（RMI）；RMAP；RBA VAP	报告模板+冶炼厂审计	冶炼厂/精炼厂
汽车/新能源	CMRT+CRT；IRMA；EU Battery Passport	报告+矿山审计+数字护照	矿山+冶炼厂
服装/纺织	GOTS；GRS；OCS；BCI；Fairtrade	TC+SC双证认证	全链路（农场→品牌商）
食品/农业	RSPO；RTRS；雨林联盟；Fairtrade	TC+SC双证认证+EUDR声明	农场→加工→贸易商
林业/纸张	FSC CoC；PEFC CoC	TC+SC双证认证	森林→加工→终端产品
珠宝/贵金属	RJC CoC；Fairmined；RMAP Gold	会员审计+精炼厂认证	矿山→精炼厂→品牌商
海鲜	MSC CoC；ASC CoC；BAP	TC+SC双证认证	渔场→加工→零售
建筑/钢铝	ResponsibleSteel；ASI CoC	站点认证+CoC证书	矿山→生产→建筑商

关于社会责任和环境等其他方面的尽责管理，请参阅本系列的其他指南。*

8.2　电子与科技行业

【风险特征】电子行业是冲突矿产监管的核心驱动行业。锡、钽、钨、金（3TG）是电子产品的基础原材料，其中大量来自冲突和高风险地区（CAHRA），尤其集中于刚果民主共和国及其邻国。随着新能源电池需求激增，钴的来源合规性已成为与3TG并重的核心议题。

核心认证机构：RBA（负责任商业联盟，前EICC）——电子及ICT行业最主要的供应链合规联盟，成员含苹果、三星、戴尔等主流品牌商
核心工具：CMRT（冲突矿产报告模板，RMI运营）——3TG供应链信息收集的通用工具；CRT（钴报告模板）——钴供应链的对应工具，结构与CMRT平行
RMAP（责任矿产保证流程）：对冶炼厂/精炼厂进行第三方审计，是冲突矿产合规的核心验证节点。品牌商须确保其3TG/钴的冶炼厂/精炼厂通过RMAP认证
监管要求：Dodd-Frank法第1502条（美国上市公司）；EU冲突矿产法规2021/821（EU进口商）；UFLPA（棉花/强迫劳动）

8.3　汽车与新能源电池行业

【风险特征】新能源转型大幅增加了对钴、锂、镍、锰和天然石墨的需求，使汽车行业成为矿产溯源合规最复杂的行业之一。与传统汽车供应链相比，电池材料供应链层级更深（矿山→精炼→前驱体→正负极材料→电芯→电池包），溯源难度极高。

RBA/Drive Sustainability：Drive Sustainability由BMW、福特、大众等主流车企组成，联合使用SAQ作为供应商自评工具。而RBA的VAP则是供应商审核工具，许多电子、车企均已采用该工具管理供应商
EU电池法规（2023/1542）：要求电池护照（Battery Passport）、碳足迹声明、再生内容比例披露；对钴、锂、镍、天然石墨的供应商尽职调查设有强制要求
IRMA（负责任采矿保证倡议）：矿山级别的环境和社会标准，被越来越多的主流汽车OEM（宝马、大众、特斯拉等）引用作为矿山评估标准
电池溯源前沿挑战：电芯级追溯是行业公认的技术难题。电池护照将要求追溯至电芯级别，意味着从矿山到整车的全链路数字追踪

8.4　服装、纺织与鞋类行业

【风险特征】服装行业面临原材料溯源风险（棉花来源、合成纤维再生含量、皮革来源）和工厂层面劳工风险的双重叠加，是全球供应链合规体系最复杂的行业之一。

8.4.1　监管链认证体系

认证标准	运营机构	认证范围	核心特点
GOTS （全球有机纺织品标准）	GOTS国际工作组	有机纤维含量≥70%（标签级）或≥95%（有机级）	覆盖社会标准+化学品要求，是有机纺织品最严格的综合标准；TC+SC双证体系
OCS （有机含量标准）	纺织品交易所	仅验证有机材料含量，不含社会/化学品标准	比GOTS门槛低；适合中间产品的有机含量声明
GRS （全球再生标准）	纺织品交易所	再生输入材料含量（聚酯、尼龙、棉等）	循环经济核心工具；覆盖社会/化学品要求；须全链条持证
RCS （再生含量声明）	纺织品交易所	仅验证再生含量，轻量版GRS	无社会/化学品要求；仅作含量声明；转化成本低
Fairtrade纺织品	Fairtrade International	Fairtrade棉花及其他纤维	最低价格保障+Fairtrade溢价；农场层面影响最直接
BCI（更好棉花）	BCI（更好棉花倡议）	棉花农场可持续种植（质量提升）	质量平衡体系（非实物隔离）；农场培训为主；不适用于需要实物追溯的声明

8.4.2　交易证书链的运作方式

以GOTS有机棉为例，TC证书链的完整路径为：

农场（有机棉）→ 轧棉厂（TC-1）→ 纺纱厂（TC-2）→ 织造/针织厂（TC-3）→ 染整厂（TC-4）→ 成衣厂（TC-5）→ 品牌商收货
链条要求：每一个环节的企业须持有当前有效的SC；在向下游发货前向认证机构申请TC；TC须注明标准、SC编号、产品类别、数量常见DD失误：接受TC而未核验供应商的当前SC有效期；SC已过期但TC仍在使用（TC因此失效）；TC中产品类别与实际货物不符。

8.4.3　化学品管理：ZDHC与OEKO-TEX

ZDHC（零排放有害化学品）：行业计划，目标是消除纺织/鞋类供应链中的有害化学品。企业需使用ZDHC MRSL（制造限制物质清单）合规的化学品，并通过废水检测证明合规
OEKO-TEX STANDARD 100：产品层面的化学品安全认证。对成品纺织品进行有害物质检测（按婴儿/皮肤接触/非皮肤接触/装饰品分级）；与ZDHC互补（工艺合规vs产品合规）

8.4.4　关键法规

EU生态设计法规（ESPR）/数字产品护照：将对纺织品设定耐久性、可修复性、再生含量等要求；数字产品护照（DPP）将成为在EU销售纺织品的必备文件（2026年起分批实施）
EU强迫劳动法规（2024/3015）：禁止使用强迫劳动生产的产品在EU上市；采购链各环节均须评估强迫劳动风险；高风险时须核查至原材料层级
UFLPA（美国）：来自特定地区的棉花适用强迫劳动推定（可反驳）；美国海关已建立针对棉纺织品的专项检查机制
欧洲供应链法律：EU CSDDD、德国LkSG、法国尽职调查法——均明确将服装供应链纳入适用范围

8.5　食品、农业与饮料行业

【风险特征】森林砍伐、童工、土地权利侵害和水资源争夺是主导风险。EU森林砍伐法规（EUDR）从2025年起将牛肉、可可、咖啡、棕榈油、大豆、木材、橡胶及其衍生产品的进口商纳入强制合规要求，重塑了行业DD框架。

认证/工具	适用原材料	机制类型	关键合规要求
RSPO（可持续棕榈油圆桌会议）	棕榈油及棕榈核油	CoC认证；从农场到终端产品全链追溯	采购商须持RSPO会员资格；SC/TC双证核验；RSPO-P（物理分离）和RSPO-MB（质量平衡）为主流
RTRS / ProTerra（大豆）	大豆（主要来自南美）	CoC认证；农场→压榨→贸易→食品生产商	与EU EUDR兼容；RTRS主要在巴西/阿根廷有成熟认证基础
雨林联盟（咖啡/可可/茶）	咖啡、可可、茶、香蕉、鲜花	农场认证+供应链追溯	与UTZ于2018年合并；认证标准重视环境保护+农民生计；TC体系正在从批次认证向数字化升级
Fairtrade International	咖啡、可可、糖、香蕉、棉花、黄金	最低价格保障+Fairtrade溢价	溢价专款用于社区发展；对小农组织（合作社）特别友好
EUDR合规	牛肉、可可、咖啡、棕榈油、大豆、木材、橡胶	政府监管+行业自律	运营商须收集农业地块GPS坐标；提交尽职调查声明；不可逆森林砍伐风险须降至最低

8.6　林业、纸张与包装行业

【风险特征】非法采伐、森林砍伐和生物多样性丧失是主导风险。木材是最早建立监管链认证体系的受监管商品。

FSC CoC：森林管理委员会的监管链认证，是全球最权威的林产品认证体系。认证覆盖森林管理（FSC FM）和监管链（FSC CoC）两个层级，TC+SC双证机制与纺织品行业类似
PEFC CoC：森林认证体系认可计划，以相互认可方式背书各国本地森林认证体系（如中国的CFCC）；在欧洲特别活跃，与FSC并列为主流认证
监管框架：EU木材法规（EUTR，自2013年起）禁止将非法采伐木材投放EU市场；2025年起由EU森林砍伐法规（EUDR）进一步强化要求——木材相关产品须提交地理定位数据和DD声明
实操DD要求：每年核验供应商FSC/PEFC CoC证书状态和有效期；检查产品类别与SC是否匹配；对来自高风险地区（东南亚、刚果盆地、亚马逊）的木材进行额外核查

8.7　珠宝、钻石与贵金属行业

RJC CoC（负责任珠宝理事会）：两级认证体系——（1）实践守则（COP）认证：对企业道德、人权、劳工、环境责任进行综合审计；（2）CoC认证：验证黄金、铂族金属（PGMs）、钻石从认证成员流向成员的全链路追溯。2024年版COP/COC已于2025年1月生效，新增ESG披露要求。珠宝行业超2,000个成员
金伯利进程（KPCS）：钻石毛坯的政府间证书体系，是国际贸易中钻石合规的最低门槛。注意：KPCS仅限于毛坯钻石，不覆盖切割/打磨环节；其对「冲突钻石」的定义被批评者认为过窄（仅覆盖反政府武装，不覆盖政府军侵权）
Fairmined / Fairtrade Gold：ASM（手工小规模采矿）黄金/白银/铂族金属的矿山到精炼厂CoC认证。认证标准最严格，但认证供应量有限；适合承诺溢价采购ASM黄金的品牌
RMAP黄金：RMI对黄金精炼厂的审计计划，与3TG的RMAP类似，侧重于精炼厂层面对冲突黄金和ASM黄金风险的管控

8.8　海鲜与水产养殖行业

MSC（海洋管理理事会）CoC：野生捕捞海鲜认证。渔场须通过MSC渔场标准认证；其后每个加工/贸易环节须持CoC证书；最终产品才可贴MSC蓝色标签
ASC（水产养殖管理理事会）CoC：养殖海鲜认证。养殖场须通过ASC农场标准认证；同样通过TC+SC双证体系追溯至零售端
BAP（最佳水产养殖实践）：四星认证，覆盖养殖场、孵化场、饲料厂和加工厂。美国市场认可度高；认证层级越多（四星），溯源链完整性越高
EU IUU法规：所有进入欧盟的海洋渔业产品须附带捕捞证书（Catch Certificate，CC），证明捕捞作业合法合规；旗国政府签发CC是合规前提
劳工风险：渔船强迫劳动是有据可查的高风险领域，尤其集中于泰国、印度尼西亚等东南亚深海渔业。ILO《渔业工作公约》（C188）为监控框架，但在高风险旗国的执行力度有限

8.9　建筑与建材行业

ResponsibleSteel：钢铁行业矿山到市场的CoC认证。站点级认证覆盖环境、人权、劳工和公司治理；可作为建筑行业钢铁供应链的正面风险降低依据
ASI（铝业管理倡议）：铝行业的绩效标准和CoC标准。ASI CoC证书追踪铝锭从采矿→冶炼→加工到终端产品的监管链；适用于建筑铝型材、幕墙等
木材：FSC/PEFC CoC——建筑用木材（结构用材、地板、模板）适用I.6节所述认证框架
移民劳工风险：建筑行业是移民劳工比例最高的行业之一，尤其集中于海湾地区（UAE、卡塔尔）和东南亚的建设项目。卡法拉（Kafala）制度下的劳工风险是合规重点；ILO《强迫劳动议定书》（2014年）和加拿大《供应链透明度法》均将建筑业列为高风险行业

8.10　医疗器械与化妆品行业

矿产暴露：医疗器械中含有多种关键矿产——钴（外科植入物、电池）、钨（导管、放射屏蔽）、铂族金属（导电接触件、血糖仪）。适用3TG/钴的DD框架
云母（化妆品）：云母广泛用于化妆品（眼影、唇膏、指甲油的闪光/光泽效果）。主要供应国为印度（加尔肯德邦、比哈尔邦）和马达加斯加，童工和非法采矿风险极高。负责任云母倡议（Responsible Mica Initiative，RMI）是目前主要的行业联合应对工具
棕榈衍生物（化妆品）：棕榈油衍生物广泛存在于化妆品配方中（十二烷基硫酸钠、甘油等）。RSPO认证（I.5节）适用于化妆品行业的棕榈油衍生物
监管要求：EU化妆品法规/REACH——禁止特定有害物质，要求成分溯源文件；FDA（美国）——化妆品生产设施须遵守GMP标准；医疗器械的MDR/IVDR法规含有供应链文件要求

第九章　AI时代的尽职调查自动化：从人工驱动到智能体系

自动化不能替代尽职调查的核心判断，但可以将大量重复性、数据密集型工作从人工操作转移到系统执行，让合规团队的时间聚焦于需要判断力的决策点。

9.1　可以自动化 vs 不可以自动化

高度适合自动化

• 制裁名单与实体名单的周期性筛查（OFAC SDN、UFLPA、BIS Entity List、EU制裁名单均提供机器可读格式的批量下载）

• 公开数据库的周期性刷新（ACLED冲突数据、HIIK年度报告、RMI合规冶炼厂名单更新、CPI指数年度发布）

• 供应商风险评分的自动计算与更新（基于已设定的评分规则，每次数据更新后自动重新计算）

• 到期提醒与工作流触发（整改计划到期提醒、审核报告有效期预警、SAQ更新请求自动发送）

• CMRT数据汇总与格式转换

• 政策文件的条款变化预警（通过LLM监控OECD/EU/各国立法机构的官方更新并摘要推送）

不应完全依赖自动化

• 供应商整改计划的内容评估（是否实质性？根本原因分析是否准确？）

• 工人访谈和现场核查的质量判断

• 复杂案件的风险定性（如贸易商是否与武装团体存在实质性关联）

• 退出决定和救济行动的设计

9.2　公开数据的机器可读来源

• 制裁名单　OFAC SDN名单：每日更新，XML批量下载。URL：https://www.treasury.gov/ofac/downloads/sdn.xml (可用Python的xml.etree库或pandas直接解析)。

• BIS实体名单　US BIS Entity List：提供CSV/Excel下载，建议每月下载并与供应商数据库比对。

• OpenSanctions　OpenSanctions API（opensanctions.org/api/）：汇聚329个制裁来源，提供免费研究用API和商业批量筛查API，适合构建内部制裁筛查服务。

• ACLED冲突数据　ACLED API（acleddata.com）：免费注册后获取API密钥，可按国家、时间范围、坐标范围查询冲突事件。Python requests库可直接调用。

• RMI RMAP名单　RMI合规冶炼厂名单：RMI提供Excel格式下载，建议每季度下载并自动对比供应链冶炼厂清单，标记名单状态变化。

• 年度指数数据　TI-CPI、FSI、Freedom House等年度指数均提供Excel/CSV下载。建议在指数年度发布后自动触发供应商风险评分重新计算。

9.3　自动化工作流架构建议

适合中等规模合规团队（3-10人）的自动化架构，无需大型IT投入：

• 数据层：建立中央供应商数据库（Airtable、Notion、或PostgreSQL）。字段包含：供应商基本信息、风险评分（各维度+综合）、审核状态、整改计划状态、上次更新时间。

• 数据刷新层：使用Python脚本（部署在GitHub Actions、AWS Lambda或任何定时任务服务）定期（每日/每周/每季度）下载和解析上述公开数据，更新供应商数据库中的相关风险因子。

• 风险计算层：将第四章的评分公式写成函数，每次数据刷新后自动重新计算综合风险得分，标记评分变化超过阈值（如单次变化>10分）的供应商，推送告警至合规团队邮件或Slack频道。

• 工作流层：使用Zapier、n8n（开源）或Power Automate等低代码工具实现：SAQ截止日期前15天自动发送提醒邮件；审核报告有效期前60天触发安排新审核的工作流；整改计划到期前10天向内部责任人发送提醒。

• LLM集成层（政策监控）：使用LLM定期分析OECD、欧盟立法网站、US Federal Register等来源的更新内容，提取与供应链尽职调查相关的法规变化摘要。LLM还可辅助起草政策更新草稿（人工审核后发布），将政策更新周期从数月缩短至数周。

9.4　AI工具在风险情报分析中的应用

• 新闻监测与摘要：配置LLM定期扫描Global Witness、Business & Human Rights Resource Centre、IPIS官网的最新报告，提取与你的供应商名单或采购矿区相关的信息，生成每周简报。

• CMRT数据提取：从供应商提交的CMRT Excel文件中自动提取冶炼厂列表，汇总为内部数据库格式，并自动与RMI合规名单进行对比，标记不在名单上的冶炼厂。

• 供应商回应一致性分析：将供应商SAQ回答输入LLM，识别内部矛盾（如薪资数据与工时数据不一致）、与行业普遍情况的偏差。LLM的分析作为辅助，最终判断由合规人员做出。

• 整改计划草稿生成：根据核查报告中的不符合项，使用LLM自动生成CAP初稿（含纠正措施建议和时限）。人工审核后作为与供应商沟通的起始文件，可将CAP制定时间从数天缩短至数小时。

▌重要边界　所有AI生成的分析和文件均须经过合规人员的实质性审核。特别是：供应商上制裁名单的最终确认、风险评级决定、以及整改计划的批准，须由具备资质的人员执行（AI是效率工具，不是决策主体）。

9.5　商业平台 vs 自建系统的选择框架

• 适合商业平台　初创合规体系（<500供应商，团队<5人）：优先使用Assent Compliance（矿产）或EcoVadis（综合ESG）等成品平台。主要考量：是否支持CMRT自动化收集？是否有中文支持？

• 混合方案　成熟体系升级（500-5000供应商，有专职合规团队）：在商业平台基础上叠加自动化脚本（制裁名单刷新、风险评分自动计算）。IntegrityNext或Sphera可作为平台骨架，配合自定义的矿产溯源模块。

• 自建系统　大型多品类供应链（>5000供应商或特殊行业需求）：考虑自建或深度定制的供应链情报系统，集成ACLED/RMI/OFAC数据管道，与ERP系统（SAP/Oracle）集成，实现采购决策与合规风险的实时联动。

第十章　完整工具资源索引

以下按类别汇总本指南涉及的所有公开工具和数据来源。

10.1　冶炼厂/精炼厂审核项目

RMI RMAP（3TG + 钴合规冶炼厂名单） https://www.responsiblemineralsinitiative.org/rmap/conformant-smelters-and-refiners/\\\\\\\*

-> 合规冶炼厂名单查询；了解哪些冶炼厂处于有效审核状态

LBMA 负责任黄金精炼厂名单 https://www.lbma.org.uk/responsible-sourcing/responsible-sourcing-gold/gold-refiners\\\\\\\*

-> 黄金精炼厂合规核查，与OFAC有联动机制

RJC 认证成员查询（黄金/PGMs/钻石） https://www.responsiblejewellery.com/members/\\\\\\\*

-> 珠宝行业完整供应链认证查询，2024版COP/COC已于2025年1月生效

10.2　矿山级认证项目

IRMA 认证矿区查询 https://responsiblemining.net/irma-certification/certified-sites/\\\\\\\*

-> 工业矿山社会环境绩效认证，适用所有矿种（排除能源矿产），v2.0修订中*

Fairmined 认证矿组织名单 https://fairmined.org/fairmined-certified-mines/\\\\\\\*

-> ASM黄金/白银/PGMs认证，最严格的ASM标准之一*

CRAFT Code v2.1（开源框架，CC BY-SA 4.0） https://www.craftmines.org/the-code/\\\\\\\*

-> ASM尽职调查评估框架，与OECD完全对齐，免费使用*

Fair Cobalt Alliance / Re|Source（钴积分+溯源） https://faircobaltalliance.org/\\\\\\\*

-> ASM钴供应链积分机制与区块链可追溯平台*

Alliance for Responsible Mining（ARM）— Fairmined总部 https://www.responsiblemines.org/en/\\\\\\\*

-> ASM矿产负责任采购的最大推动机构*

10.3　冲突及高风险地区（CAHRA）识别工具

HIIK 冲突晴雨表（海德堡） https://hiik.de/conflict-barometer/?lang=en\\\\\\\*

-> 年度全球冲突分级，每年12月发布，用于设定CAHRA年度基线*

ACLED 武装冲突数据库（含API） https://acleddata.com/data/\\\\\\\*

-> 实时冲突事件，支持坐标查询，可与矿区位置叠加分析，免费注册使用*

Fund for Peace 脆弱国家指数（FSI，含Excel下载） https://fragilestatesindex.org/excel/\\\\\\\*

-> 国家脆弱性年度评分，用于地理风险评分*

IPIS 刚果盆地矿区互动地图（DRC/COG/CAR） https://ipisresearch.be/mapping/webmapping/drcongo/\\\\\\\*

-> DRC 2800+矿点武装活动记录，DRC供应链最关键的公开数据*

Global Witness 调查报告库 https://www.globalwitness.org/en/campaigns/conflict-minerals/\\\\\\\*

-> 深度调查案例，提供具体冲突矿产交易链证据*

Enough Project — DRC矿产报告 https://enoughproject.org/\\\\\\\*

-> 刚果民主共和国武装团体与矿产融资的深度调查*

10.4　制裁与实体名单（所有提供批量下载）

OpenSanctions（汇聚329个制裁来源，含API） https://www.opensanctions.org/\\\\\\\*

-> 免费研究；商业API批量筛查；推荐用于多名单同时筛查*

OFAC SDN名单（XML/CSV批量下载） https://www.treasury.gov/ofac/downloads/sdn.xml\\\\\\\*

-> 最重要的美国制裁名单，每日更新，支持批量自动解析*

US BIS Entity List（Excel下载） https://www.bis.doc.gov/index.php/policy-guidance/lists-of-parties-of-concern/entity-list\\\\\\\*

-> 美国出口管制实体名单，主要影响技术类商品*

UFLPA Entity List（DHS/CBP） https://www.dhs.gov/uflpa-entity-list\\\\\\\*

-> 新疆强迫劳动相关实体，持续新增，建议季度自动筛查*

EU财政制裁数据库（FSF）及制裁地图 https://www.sanctionsmap.eu/\\\\\\\*

-> 欧盟制裁交互式地图；金融制裁数据库提供批量下载*

UN安理会制裁综合名单（XML下载） https://main.un.org/securitycouncil/en/content/un-sc-consolidated-list\\\\\\\*

-> 全球最低基准制裁名单，727个个人+273个实体*

CBP WRO/发现清单（美国强迫劳动扣留令） https://www.cbp.gov/trade/forced-labor/withhold-release-orders-and-findings\\\\\\\*

-> 美国海关扣留订单，产品级别的强迫劳动执法记录*

10.5　国家/地区风险指数

Transparency International CPI（含Excel下载） https://www.transparency.org/en/cpi\\\\\\\*

-> 腐败感知指数，年度发布，地理风险评分核心数据来源*

Freedom House 全球自由报告 https://freedomhouse.org/report/freedom-world\\\\\\\*

-> 政治权利与公民自由年度评级，195个国家*

WJP 法治指数（含数据下载） https://worldjusticeproject.org/rule-of-law-index/\\\\\\\*

-> 143国法治水平量化数据，覆盖腐败、基本权利、监管执行等8个维度*

Walk Free 全球奴役指数 https://www.walkfree.org/global-slavery-index/\\\\\\\*

-> 强迫劳动和现代奴役的国别估算，160个国家*

ITUC 全球劳工权利指数（年度） https://www.ituc-csi.org/global-rights-index\\\\\\\*

-> 年度工人权利保护评级，149个国家*

US DoL ILAB 商品清单（Excel下载） https://www.dol.gov/agencies/ilab/reports/child-labor/list-of-goods\\\\\\\*

-> 204件商品x82个国家的童工/强迫劳动清单，2024年大幅扩容*

10.6　矿种专属负责任采购项目

ASI — 铝行业管理倡议（认证实体查询） https://aluminium-stewardship.org/asi-certifications/certified-entities/\\\\\\\*

-> 铝全价值链认证*

CopperMark（铜/镍/锌/钼，认证参与方） https://coppermark.org/participants/\\\\\\\*

-> 矿区和精炼厂认证，覆盖30%+全球铜产量*

NickelMark（镍，CopperMark扩展） https://nickelinstitute.org/en/sustainability/esg/responsible-sourcing-and-esg-due-diligence\\\\\\\*

-> 镍供应链尽职调查框架，与CopperMark共用架构*

Responsible Mica Initiative（云母，印度/马达加斯加） https://responsible-mica-initiative.com/our-members/\\\\\\\*

-> 云母供应链认证，化妆品/汽车涂料行业必查*

ResponsibleSteel（钢铁，认证站点） https://www.responsiblesteel.org/find-certified-sites/\\\\\\\*

-> 钢铁全链认证，覆盖80+站点*

TI-CMC — 钨冲突矿产委员会 https://www.ti-cmc.org/\\\\\\\*

-> 钨行业OECD合规验证机制*

Cobalt Institute 负责任采购标准（2021版） https://www.cobaltinstitute.org/responsible-supply-chain/\\\\\\\*

-> 钴精炼厂尽职调查标准*

LME 负责任采购要求（2025年4月起强制公开披露） https://www.lme.com/Sustainability-and-Physical-Markets/Sustainability/Responsible-sourcing\\\\\\\*

-> 主要金属交易所合规要求*

Global Battery Alliance — 电池护照 https://www.globalbattery.org/battery-passport/\\\\\\\*

-> 电动汽车电池供应链全链可追溯，回应欧盟电池法规*

RJC — 负责任珠宝委员会（黄金/PGMs/钻石） https://www.responsiblejewellery.com/\\\\\\\*

-> 珠宝行业完整供应链标准，含Chain of Custody认证，2000+成员*

10.7　ESG与劳工评估平台

EcoVadis 供应商可持续性评级 https://ecovadis.com/\\\\\\\*

-> 15万+企业评级，问卷+文件审查，非现场核查*

CDP 供应链项目 https://www.cdp.net/en/supply-chain\\\\\\\*

-> 供应商环境数据披露，年度披露周期，4.5万+供应商参与*

Know the Chain 强迫劳动基准 https://www.business-humanrights.org/en/from-us/knowthechain/\\\\\\\*

-> 电子/服装/食品行业公司尽职调查成熟度评分及最佳实践*

Business \\\& Human Rights Resource Centre https://www.business-humanrights.org/\\\\\\\*

-> 企业人权相关新闻和案例的最大公开数据库*

CHRB — 企业人权基准（WBA） https://www.worldbenchmarkingalliance.org/benchmark/corporate-human-rights-benchmark\\\\\\\*

-> 100家公司的人权绩效基准评估，含供应链尽职调查指标*

10.8　自动化、AI与贸易数据工具

OpenSanctions API（制裁筛查API） https://www.opensanctions.org/api/\\\\\\\*

-> 329个制裁来源的统一API接口，免费（非商业）/商业版均可用*

ACLED API（实时冲突数据API） https://acleddata.com/data/\\\\\\\*

-> 按坐标/国家/时间范围查询实时冲突数据，免费注册使用*

Sourcemap — 供应链可视化与监控 https://www.sourcemap.com/\\\\\\\*

-> 供应链地图绘制+卫星监控+AI欺诈检测*

Assent Compliance — 矿产合规自动化 https://www.assent.com/\\\\\\\*

-> 矿产合规专属平台，CMRT收集与冶炼厂筛查自动化*

IntegrityNext — 多层供应链合规 https://www.integritynext.com/\\\\\\\*

-> 500+采购团队使用，覆盖REACH/EUDR/冲突矿产/碳排放*

Sphera SCRM — 供应链风险管理 https://sphera.com/solutions/supply-chain-risk-management/\\\\\\\*

-> 实时风险监控+AI预警，适合大型供应链*

Import Genius — 贸易数据分析 https://www.importgenius.com/\\\\\\\*

-> 8M+企业贸易记录，验证供应商可信度和供应链关系*

Panjiva（S\\\&P Global）— 供应链情报 https://panjiva.com/\\\\\\\*

-> 9M+企业、30个数据来源的贸易记录，供应链可见度分析*

10.9　主要国际指南文件（仅列出，已广泛可获取）

OECD DDG for Responsible Business Conduct (2018) https://mneguidelines.oecd.org/duediligence/ OECD DDG for Responsible Supply Chains of Minerals (3rd Ed.) https://www.oecd.org/daf/inv/mne/OECD-Due-Diligence-Guidance-Minerals-Edition3.pdf UN Guiding Principles on Business and Human Rights (UNGPs) https://www.ohchr.org/sites/default/files/documents/publications/guidingprinciplesbusinesshr\\\\\\\_en.pdf EU CSDDD官方文本（2024/1760） https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32024L1760 德国LkSG官方执行指南（BAFA） https://www.bafa.de/DE/Lieferketten/lieferketten\\\\\\\_node.html EU Battery Regulation（2023/1542） https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32023R1542 UFLPA Strategy（DHS） https://www.dhs.gov/sites/default/files/2022-06/2022\\\\\\\_0617\\\\\\\_CBP\\\\\\\_UFLPA\\\\\\\_Strategy.pdf

========================================================================

本指南为实操参考文件，不构成法律意见。请结合适用司法管辖区的法律顾问建议使用。随法规演进持续更新，最新版本以发布日期为准。

附录A　术语表（Glossary）

以下术语按字母/拼音顺序排列，涵盖本指南中使用的核心专业词汇及其英文原文、简要定义。

英文缩写/原词	英文全称	中文名称	简要定义
ACLED	Armed Conflict Location & Event Data Project	武装冲突地点与事件数据项目	收录200+个国家的实时政治暴力和冲突事件的全球数据库，可按地理坐标查询，支持API调用。
ARM	Alliance for Responsible Mining	负责任采矿联盟	推动手工及小规模采矿（ASM）合法化与负责任采购的最大国际机构，负责Fairmined认证的管理。
ASM	Artisanal and Small-Scale Mining	手工及小规模采矿	与工业化大规模采矿（LSM）相对，指个人或小型矿工群体采用简单工具和低技术手段进行的采矿活动，广泛分布于发展中国家，占全球黄金产量约20%、钴产量约15-25%。
ASI	Aluminium Stewardship Initiative	铝业管理倡议	铝供应链全链条（采矿→冶炼→加工→使用）的多方利益相关者认证项目，总部位于英国。
CAHRA	Conflict-Affected and High-Risk Areas	冲突及高风险地区	OECD DDG矿产指南中的核心概念，指存在武装冲突、广泛暴力、人权侵害或政府脆弱性的地区，来自这些地区的矿产采购需要更高水平的尽职调查。
CAP	Corrective Action Plan	整改行动计划	针对已识别的不符合项制定的书面改进计划，包含根本原因分析、纠正措施、责任人、完成时限和验证方式。
CDP	Carbon Disclosure Project	碳披露项目	全球最大的企业环境数据披露平台，供应链项目要求品牌买家向其供应商发送气候、水资源、森林等环境议题的问卷。
CMRT	Conflict Minerals Reporting Template	冲突矿产报告模板	由RMI开发的标准化供应链信息收集工具，用于追踪产品中3TG矿产的来源至冶炼厂/精炼厂层级，是电子行业最通用的尽职调查数据收集格式。
Commingling	混矿（英文原词）	混矿	将来自不同矿山或来源地的矿石/矿产混合为同一批次的做法，可能是合法的商业行为（规模效益），也可能是掩盖高风险来源的手段，使溯源变得困难。
Comptoir	（法语）矿石集散商/出口商	矿石集散商	在刚果民主共和国等中非地区，指收购ASM矿工矿石并集中出口的贸易中间商，通常持有出口许可证，是供应链信息流失的第一关键节点。
CopperMark	（同）	CopperMark认证	铜（及镍、钼、锌等）供应链的矿山和精炼厂层级ESG负责任采购认证项目，NickelMark是其针对镍的扩展项目。
CRAFT	Code of Risk-mitigation for ASM engaging in Formal Trade	ASM参与正规贸易风险缓解准则	ARM和RMI联合开发的开源框架（v2.1，2024年10月），专为ASM供应链设计，已与OECD DDG完全对齐，免费使用，是目前最实用的ASM尽职调查评估工具。
CSDDD	Corporate Sustainability Due Diligence Directive	欧盟企业可持续发展尽职调查指令	2024年欧盟通过的立法，要求大型企业对整条价值链开展人权和环境尽职调查，分阶段对欧盟企业及在欧盟有显著业务的非欧盟企业产生约束力。
DDG	Due Diligence Guidance	尽职调查指南	通常指OECD发布的《负责任商业行为尽职调查指南》（2018）或其矿产专项指南（2016，第三版），是全球最权威的供应链尽职调查框架。
DRC	Democratic Republic of the Congo	刚果民主共和国	全球最主要的钴、钽、锡生产国之一，同时也是全球冲突矿产问题最集中的地区，其东部地区长期受到武装团体活动影响。
EcoVadis	（商业平台名）	EcoVadis供应商评级平台	基于问卷和文件审查的供应商可持续性评级平台，覆盖15万+企业，220个行业，180个国家，常被品牌方用于供应商ESG资质预审。
Entity List	（美国BIS）实体名单	实体名单	美国商务部工业与安全局（BIS）发布的出口管制清单，列入名单的企业在未经特别许可的情况下不得获得受控美国技术或商品。
Fairmined	（同）	Fairmined认证	ARM管理的ASM黄金、白银和铂族金属认证标准，要求矿区达到严格的社会、环境和劳工标准，是ASM矿产中认证门槛最高的项目之一。
FSI	Fragile States Index	脆弱国家指数	由Fund for Peace每年发布的国家脆弱性综合评分，覆盖12个指标，用于评估国家在政治、经济和社会层面面临崩溃风险的程度。
HIIK	Heidelberg Institute for International Conflict Research	海德堡国际冲突研究所	德国研究机构，每年发布《冲突晴雨表》，将全球365+项冲突按严重程度分为5级，是识别CAHRA地区的重要年度参考数据来源。
ILAB	US Department of Labor's Bureau of International Labor Affairs	美国劳工部国际劳工事务局	发布《由童工或强迫劳动生产的商品清单》（每2-3年更新），2024年版包含204件商品×82个国家的组合，是供应链风险识别的重要参考。
IntegrityNext	（商业平台名）	IntegrityNext供应链合规平台	覆盖多层供应链的ESG和合规管理平台，支持REACH、EUDR、冲突矿产、碳排放等多种法规合规管理，被500+采购团队使用。
IPIS	International Peace Information Service	国际和平信息服务	比利时研究机构，专注于刚果盆地（DRC、刚果共和国、中非共和国等）的矿产资源与冲突关系研究，提供2800+矿区的互动地图，是DRC矿产供应链最关键的公开数据来源。
IRMA	Initiative for Responsible Mining Assurance	负责任矿业保证倡议	对工业矿山开展综合社会和环境绩效第三方评估认证的国际多方利益相关者项目，v1.0发布于2018年，v2.0修订中（2025年公众咨询）。
ITUC	International Trade Union Confederation	国际工会联合会	代表全球9400万名工人的国际工会组织，每年发布《全球劳工权利指数》，对149个国家的工人权利保护状况评分，1分最好，5+分代表系统性违反权利。
KPI	Key Performance Indicator	关键绩效指标	用于衡量尽职调查管理体系有效性的可量化指标，如供应商覆盖率、CAP按时关闭率、制裁命中事件数等。
LBMA	London Bullion Market Association	伦敦黄金市场协会	管理全球主要黄金交易市场的行业协会，其《负责任黄金精炼厂名单》是黄金供应链负责任采购的核心认可名单，列入名单的精炼厂须通过年度合规审查。
LkSG	Lieferkettensorgfaltspflichtengesetz	德国供应链尽职调查法	2023年正式生效的德国供应链尽职调查法律，要求年营业额达到门槛的德国企业对其直接供应商开展人权和环境尽职调查，并对间接供应商的"具体线索"作出应对。
LSM	Large-Scale Mining	大规模（工业）采矿	使用机械化设备和正规雇佣关系的工业矿山，与ASM相对，通常持有政府颁发的采矿许可证，产量和记录完整度高于ASM。
OFAC	Office of Foreign Assets Control	美国财政部外国资产控制办公室	美国财政部下属机构，负责管理和执行经济与贸易制裁，发布《特别指定国民名单》（SDN），是全球影响力最大的制裁执法机构。
OpenSanctions	（开源项目名）	OpenSanctions开放制裁数据库	汇聚全球329个制裁来源的开源数据库，提供免费研究使用和商业API，是实现多名单同时筛查的最便捷工具之一。
OECD DDG	OECD Due Diligence Guidance	OECD尽职调查指南	见"DDG"词条。
RACI	Responsible, Accountable, Consulted, Informed	责任分工矩阵	项目管理和组织管理中用于明确各参与方在特定活动中角色的工具：R=负责执行、A=最终问责、C=需咨询、I=知情即可。
Relabeling	（英文原词）	标签替换/产地替换	将高风险来源地的矿产重新标记为低风险来源地的欺诈行为，常见于DRC及中非地区，是供应链尽职调查中需要重点识别的欺诈模式之一。
RJC	Responsible Jewellery Council	负责任珠宝委员会	珠宝行业的多方利益相关者认证机构，发布覆盖黄金、白银、铂族金属、钻石的《行为准则》（COP）和《监管链》（COC）标准，2000+会员企业，2024版标准于2025年1月生效。
RMI	Responsible Minerals Initiative	负责任矿产倡议	由负责任商业联盟（RBA）主导的矿产供应链尽职调查项目，运营RMAP（负责任矿产保证流程）——目前全球唯一被Dodd-Frank和OECD明确认可的3TG和钴冶炼厂/精炼厂审核项目。
RMAP	Responsible Minerals Assurance Process	负责任矿产保证流程	RMI开发的冶炼厂/精炼厂审核项目，对3TG（锡、钽、钨、金）和钴的冶炼厂实施第三方审核，通过审核的冶炼厂列入"合规冶炼厂名单"，是供应链溯源的重要验证工具。
RMI-Mica	Responsible Mica Initiative	负责任云母倡议	专注于印度和马达加斯加云母矿产（占全球供应60%+和第二大来源）的负责任采购认证项目，致力于消除云母供应链中的童工和不安全劳工条件，100+成员企业。
SAQ	Self-Assessment Questionnaire	供应商自评问卷	由采购方向供应商发送的标准化调查问卷，用于收集供应商在劳工、人权、环境、商业道德和矿产来源等议题上的自我评估信息，是供应链尽职调查信息收集的主要工具之一。
SCoC	Supplier Code of Conduct	供应商行为准则	采购方向供应商传递合规要求的核心文件，通常作为采购合同附件，规定供应商须满足的最低劳工、环境、道德和矿产溯源标准。
SDN	Specially Designated Nationals	特别指定国民名单	美国OFAC发布的制裁名单，列入名单的个人和实体的美国资产被冻结，美国人（含公司）被禁止与其开展业务。
Traceability	（英文原词）	溯源/可追溯性	追踪产品或原材料从生产来源到最终用户的全链条路径的能力。在矿产供应链中，溯源是尽职调查的核心技术要求，通常要求追踪至冶炼厂/精炼厂层级（OECD要求），理想情况下追踪至矿山层级。
TI-CPI	Transparency International Corruption Perceptions Index	透明国际腐败感知指数	每年发布的全球腐败感知排名，对182个国家进行0-100评分（100为最清廉），是评估供应来源地治理水平和合规风险的核心参考指标之一。
UBO	Ultimate Beneficial Owner	最终受益人	在一家企业或法律实体中，最终从中获益或实际控制的自然人。追踪贸易商和冶炼厂的UBO是识别隐藏的武装团体关联或制裁规避行为的重要手段。
UFLPA	Uyghur Forced Labor Prevention Act	维吾尔强迫劳动预防法	2022年在美国生效的联邦法律，对新疆生产或含有新疆成分的商品设立"强迫劳动可反驳推定"，进口商须证明供应链不涉及强迫劳动方可进口。
UNGPs	UN Guiding Principles on Business and Human Rights	联合国工商业与人权指导原则	2011年联合国人权事务高级专员办事处发布的框架性文件，确立了"国家保护、企业尊重、获得救济"三支柱框架，是OECD DDG和欧盟CSDDD的理论基础。
VB	Verification Body	核查机构	由委托方（买家）独立聘请的第三方机构，对供应商的合规状态进行现场或文件核查，并出具核查报告。区别于"审核机构"（Audit Firm，通常指针对工厂劳工合规的SMETA/RBA等审核），VB在矿产尽职调查中还需具备矿区访问和矿产供应链专业知识。
WRO	Withhold Release Order	扣留令	美国海关及边境保护局（CBP）颁发的行政命令，针对有合理理由认为涉及强迫劳动生产的特定产品，要求进口商证明供应链合规后方可放行，否则没收。

附录B　政策与文件完整样本

以下提供三份文件的完整填写样本，供读者参考实际文件的内容深度和表述风格。样本以一家假设的"中型出口制造商（电子行业，年营业额5亿元人民币，主要向欧美品牌供货）"为背景。请根据实际情况调整。

B.1　供应链尽责管理政策——完整填写样本

文件编号：DD-POL-001 v1.0

生效日期：2025年1月1日

批准人：首席执行官　李[姓氏]

下次审查日期：2026年1月1日

第一条　政策目的与承诺

[企业名称]（以下简称"本公司"）承诺在其供应链的全部层级中识别、预防、减轻并追责对人权、劳工权利、环境和商业道德产生的负面影响。本公司在此过程中遵循《经合组织负责任商业行为尽责管理指南》（2018）及联合国《工商业与人权指导原则》（UNGPs，2011）的框架。

本政策在满足以下法律法规最低要求的同时，向更高标准靠拢：中国《企业境外经营合规管理指引》（商务部，2021年）；美国UFLPA（2022年，适用于向美国出口的产品）；德国《供应链尽职调查法》（LkSG，2023年，适用于为德国客户生产的产品）；欧盟《企业可持续发展尽职调查指令》（CSDDD，2024年，适用于向欧盟客户供货的业务）。

当本政策的要求与所在国法律规定存在差距时，本公司遵守较高标准。

第二条　适用范围

主体范围：本政策适用于本公司全体员工（含正式员工、劳务派遣人员）及在本公司名义下开展采购活动的第三方代理。

供应链范围：优先覆盖本公司的直接供应商（第一层级，占年采购额90%以上的直接供应商须完成本政策要求的全部尽职调查程序）；以下情况须延伸至第二层级及原材料来源：采购3TG矿产（锡、钽、钨、金）或钴相关材料；采购存在已知强迫劳动风险的农业产品（棉花、云母）；接到客户关于特定供应商或原材料来源的尽职调查要求。

议题范围：强迫劳动（含债务劳役、强制招募、人口贩卖）；童工（工业环境中不低于18岁）；不安全工作条件及职业伤亡；强制性或过度超时工作；任何形式的就业歧视；结社自由与集体谈判权的剥夺；贿赂、腐败及商业欺诈；土地权利侵害及强制迁徙；有毒有害物质违规排放及污染；非法采矿及武装团体控制矿山产品的采购。

第三条　尽职调查流程

本公司依照OECD DDG五步法开展持续性供应链尽职调查：

• 第一步　建立管理体系：维持本政策及配套文件（SCoC、SAQ、风险评估方法、申诉程序）的有效性；指定内部责任人；确保尽职调查资源预算。

• 第二步　识别与评估风险：每年对直接供应商群体开展系统性风险评估；收集SAQ数据；交叉核验第三方公开数据库（详见《供应商风险评估程序》DD-PROC-002）。

• 第三步　制定并实施应对措施：对识别出的风险制定整改行动计划（CAP）；提供供应商能力建设支持；对高风险供应商委托第三方核查；对无法整改的重大违规启动退出程序。

• 第四步　追踪执行效果：每季度审查CAP执行状态；每年开展尽职调查体系有效性评估；向高管层报告KPI指标。

• 第五步　对外沟通与披露：每年发布供应链可持续发展报告；向品牌客户提供CMRT及相关尽职调查信息；向监管机构履行强制报告义务（如适用）。

第四条　供应商要求

所有供应商须在开始合作前签署《供应商行为准则》（SCoC，文件编号DD-COC-001）并承诺遵守。SCoC作为采购合同的法律约束性附件，违反SCoC的行为视为对采购合同的重大违约，本公司有权立即暂停采购或终止合同。

供应商须配合本公司依本政策开展的以下活动：每年填报《供应商尽职调查问卷》（SAQ）并提供证明文件；接受本公司或其授权的第三方核查机构的现场或远程评估；对识别出的不符合项制定并执行整改计划；对于矿产相关供应商，须额外遵守《矿产负责任采购补充要求》（DD-PROC-003），包括提供CMRT报告及证明冶炼厂RMAP合规状态。

第五条　责任归属与治理架构

合规管理部（Compliance Department）为本政策的日常执行责任部门，具体职责包括：供应商风险评估协调；SAQ收集与初步核查；第三方核查委托与管理；整改计划追踪；年度报告准备。

采购部（Procurement Department）负责将尽职调查要求纳入供应商准入和续约决策，并向合规管理部传递供应商风险信号。

供应链可持续发展委员会（跨职能，由采购、合规、法务、质量、财务代表组成）每季度召开一次，审查尽职调查进展并做出高风险供应商处置决策。委员会向首席执行官汇报，首席执行官向董事会ESG委员会负责。

第六条　举报渠道与申诉机制

任何供应链工人、社区成员、供应商员工或本公司内部员工均可通过以下渠道提交与本政策相关的申诉或举报：

举报邮箱：supply-ethics@[公司域名].com（中英双语，24小时接收）

举报电话：[电话号码]（工作时间接听）

匿名举报平台：[平台链接]（支持完全匿名提交，系统不记录IP）

本公司承诺：收到申诉后5个工作日内进行初步回应；重大申诉在30个工作日内完成调查和处理；全程保护举报人免受任何形式的报复；不将举报人信息泄露给被举报方。申诉处理结果将以匿名汇总形式纳入年度尽职调查报告。

▌样本说明　以上样本约650字，对应实际政策文件建议长度（单独政策文件建议1500-3000字，包含更详细的程序描述）。注意：本样本中的空白处（如电话号码、公司名称）须在实际文件中填写完整后方可发布。发布前须经法律顾问审核以确保与所在地法律要求一致。

B.2　供应商矿产溯源申报表——完整填写样本

文件编号：DD-FORM-003　供应商矿产溯源申报表（3TG + 钴）

申报周期：年度（截止日期：每年1月31日，申报上一日历年数据）

提交方式：通过供应商门户系统上传（portal.[公司域名].com），或发送至supply-minerals@[公司域名].com

第一部分　供应商基本信息

供应商名称（中文全称）：[____________________]

统一社会信用代码（或境外营业执照编号）：[____________________]

主要产品类别（与本公司交易）：[____________________]

联系人姓名及职务：[____________________]

联系人邮箱及电话：[____________________]

申报日期：[____________________]

第二部分　产品矿产成分申报

问题1：贵司向本公司供应的产品中，是否含有以下矿产成分（含以合金、化合物或其他加工形式存在的成分）？请在对应矿种的"是/否/不适用"选项中勾选：

□ 锡（Tin，Sn）及其化合物（如焊锡、镀锡层、氧化锡等）是 □ / 否 □ / 不适用 □

□ 钽（Tantalum，Ta）及其化合物（如电容器用钽粉、氧化钽等）是 □ / 否 □ / 不适用 □

□ 钨（Tungsten，W）及其化合物（如硬质合金、钨丝等）是 □ / 否 □ / 不适用 □

□ 金（Gold，Au）及其合金（如镀金层、金丝、金焊料等）是 □ / 否 □ / 不适用 □

□ 钴（Cobalt，Co）及其化合物（如电池正极材料、硬质合金、涂料等）是 □ / 否 □ / 不适用 □

如以上所有矿种均回答"否"或"不适用"，请在此签署声明后提交：本人/单位声明，上述产品中不含任何3TG或钴成分，如有误报，愿承担相应法律责任。签名：[]，日期：[]，并跳过第三至五部分，直接提交本表。

第三部分　冶炼厂/精炼厂信息（针对第二部分回答"是"的矿种，每种矿产填写一个表格，如涉及多家冶炼厂，请复制行填写）

锡（Tin）冶炼厂信息表：

冶炼厂/精炼厂全名（英文）：[____________________]

冶炼厂所在国家：[____________________]

RMI RMAP状态：已通过(Active) □ / 进行中 □ / 未参与 □ / 不知道 □

如RMI已通过，RMAP ID号：[____________________]

如未通过，请说明该冶炼厂的合规状态及你如何核查其来源：[____________________]

（注：其余矿种金/钽/钨/钴格式相同，此处省略）

第四部分　原产地及来源声明

问题2：上述矿种原料的主要来源国（来源矿山所在国，而非冶炼厂所在国）：[____________________]

问题3：上述来源国中，是否包含任何CAHRA（冲突及高风险地区）？参考标准：HIIK冲突等级3级及以上，或OECD认定的高风险地区。

是 □（请在第五部分提供进一步信息）/ 否 □

第五部分　CAHRA来源专项说明（仅当第四部分问题3回答"是"时填写）

问题4：请描述贵司针对CAHRA来源矿产所采取的尽职调查措施（可多选）：

□ 已要求上游供应商完成CRAFT Code自评并提供报告

□ 已委托第三方机构对矿区开展现场独立评估

□ 已核查矿区坐标与IPIS数据库，确认矿区未被列为武装团体控制区域

□ 正在向RMAP合规来源过渡，预计完成时间：[____]

□ 其他（请描述）：[____________________]

第六部分　声明与签署

本单位声明，以上填报信息真实、准确、完整，如有虚报、误报，本单位承担相应违约责任，并支持供需双方合同中关于信息不实处理的相关条款。本单位同意本公司将本表中涉及冶炼厂名称及RMAP状态的信息，在去除本单位商业敏感信息后，上传至RMI数据平台或向品牌客户披露（以满足品牌客户的尽职调查要求）。

授权签字人姓名：[]　职务：[]　签名：[____]　日期：[________]

加盖单位公章：（请盖章）

B.3　整改行动计划（CAP）——完整填写样本

以下为针对一项典型"重大不符合项"的CAP样本：供应商使用了一家未在RMI RMAP合规名单上的锡冶炼厂。

整改行动计划（CAP）

文件编号：CAP-2025-032　发起日期：2025年3月15日

供应商名称：[XXXXX有限公司]　供应商ID：SUP-0078

关联审核报告：DD-RPT-2025-028（审核机构：[审核机构名称]；核查日期：2025年3月10日）

本公司内部跟踪负责人：王[姓氏]，采购合规专员，wang@[公司域名].com

【不符合项描述】

供应商在其提交的CMRT报告中申报了一家名为"[冶炼厂名称]"（所在国：印度尼西亚）的锡冶炼厂，用于向本公司供应的[产品名称]中的焊锡成分。经核查，该冶炼厂未出现在RMI RMAP最新版合规冶炼厂名单上（查询日期：2025年3月14日）。供应商无法提供该冶炼厂通过任何等效认可项目审核的证明文件。

【关联标准条款】

OECD DDG矿产指南第三步（设计并实施风险应对策略）；供应商行为准则第6.2条（矿产来源合规要求）；本公司《矿产负责任采购补充要求》（DD-PROC-003）第4.1条。

【严重程度分级】

■ 重大（Major）——该冶炼厂RMAP状态未知，存在矿产来源不符合OECD DDG要求的风险，但尚无直接证据证明其矿产来自CAHRA地区；若确认来自CAHRA地区，则升级为"严重（Critical）"。

【根本原因分析】

供应商在选择冶炼厂供应商时未建立"RMAP状态核查"程序，仅依赖报价和供货能力选择供应商，导致将未通过RMAP的冶炼厂纳入采购来源。根本原因为：（1）供应商采购政策中未明确RMAP合规性要求；（2）采购决策流程中无RMAP状态审查步骤。

【即时纠正（Correction）】

（针对已发生情况的立即处置）

行动1：本公司立即暂停接受来自该冶炼厂来源的相关产品批次，直至供应商提供合规来源证明或完成整改。

责任人：本公司采购部王[姓氏]　完成时限：2025年3月18日（立即执行）

行动2：供应商须在5个工作日内提供书面说明，确认该冶炼厂是否正在参与RMAP审核，预计完成时间，以及是否有替代的已通过RMAP的冶炼厂可使用。

责任人：供应商[联系人姓名]，采购总监　完成时限：2025年3月22日

【系统性纠正措施（Corrective Action）】

（针对导致问题的管理漏洞的系统性改进）

行动3：供应商须将RMAP合规性核查纳入冶炼厂选择程序，具体措施：修订《采购管理规程》中的供应商资质审查清单，加入"冶炼厂RMAP状态核查（3TG/钴）"步骤；指定专人负责每季度核对现用冶炼厂与RMI合规名单，并记录核查结果。

责任人：供应商[联系人姓名]，采购总监　完成时限：2025年5月15日

行动4：若该冶炼厂在60天内仍未能提供RMAP合规证明，供应商须切换至RMI合规名单中的替代冶炼厂，并在切换完成后5个工作日内提交更新版CMRT报告。

责任人：供应商[联系人姓名]，采购总监　完成时限：2025年5月15日（若触发此项）

【验证方式】

行动3的验证：本公司合规部将通过文件审查（要求供应商提供修订后的《采购管理规程》及首次RMAP状态核查记录）进行验证，2025年5月20日前完成。

行动4的验证（如触发）：本公司合规部将核查更新版CMRT报告，确认新冶炼厂在RMI合规名单上，2025年5月22日前完成。

【当前状态】

□ 开放（Open）　□ 进行中（In Progress）　□ 已关闭（Closed, verified）

关闭日期：[待填写]　关闭确认人（本公司）：[待填写]

附录C　尽责管理最佳实践——从实践中提炼的经验

以下最佳实践是从供应链尽责管理实践中提炼出的高价值操作经验，以正向方式呈现。每条建议的背后，都有真实的实践案例支撑。

C.1　政策体系建设阶段的最佳实践

BP-01　先行动，后完善：30天发布可用版本

最佳做法：设定"可用即发布"的标准，而非"完美再发布"。一份覆盖核心要素、措辞清晰但尚未完善细节的v1.0政策，比一份花费18个月反复讨论修改、最终仍未发布的完美政策有效得多。政策的价值在于执行，而不在于文本的精致程度。

建议实施：设定发布倒计时（建议30天），在此日期前完成内部批准并向供应商正式传达v1.0版本，即使尚未涵盖所有边缘场景。在第12个月进行正式年度审查时，可根据实践经验升级至v2.0。

BP-02　将政策要求转化为合同义务

最佳做法：负责任采购政策只有在采购合同中得到法律约束力时，才能产生真正的约束效果。在所有采购合同（新签及续签）中增加以下类型的条款：供应商须遵守《供应商行为准则》（作为合同附件）；重大违规（强迫劳动、数据造假）构成立即终止合同的理由；买方有权委托第三方核查并要求供应商配合；供应商须将等效要求传递至其直接供应商。

建议实施：与法律顾问合作，将上述四项内容纳入标准采购合同模板，对现有供应商在下次续约时补签。新供应商准入时一律适用新模板。

BP-03　RACI矩阵须针对具体活动，而非通用职责描述

最佳做法：有效的RACI矩阵是针对"具体可执行活动"的责任分配，而非笼统的部门职责描述。"采购部负责供应链合规"是无效的；"采购部负责在供应商准入审批表上完成RMAP状态核查"才是有效的。将每项尽职调查活动分解至可执行步骤，再为每一步骤分配R/A/C/I角色。

C.2　供应链信息收集阶段的最佳实践

BP-04　SAQ的"一致性验证问题"提高数据可信度

最佳做法：在SAQ中设计同一信息的多角度交叉验证问题，可以在不增加审核成本的情况下大幅提高数据可信度。例如：在问"月最低工资"之后，再问"工时最少的工人的月薪资"——两个问题的答案应高度一致；在问"是否有实习生"之后，再问"是否与职业院校有合作协议"——若前者回答"否"而后者回答"是"，存在明显矛盾，值得追问。

BP-05　优先收集"批次级"溯源数据而非"企业级"声明

最佳做法："我们公司不采购来自CAHRA地区的矿产"是无法核验的企业级声明；"本次供货批次（批次号：XXXXX，日期：2025年Q1）的锡来自以下冶炼厂，RMAP状态如下"是可核验的批次级数据。应在SAQ和文件请求中，尽量将问题导向特定批次的具体信息，而非宽泛的政策承诺。

BP-06　向贸易商要求"贸易关系链证明"而非仅来源声明

最佳做法：贸易商的"来源声明信"（Letter of Origin）是最容易伪造的文件之一。更难伪造的是：出口报关单（显示出口国海关记录）、进口清关记录（显示进口商和进口港口）、矿产买卖合同（显示买卖双方的法律名称和地址）。要求贸易商提供这些"关系链证明"，而非仅凭一封信件声明来源。如需要进一步核验，可使用Panjiva或Import Genius等贸易数据平台交叉验证实际贸易记录。

C.3　风险评估阶段的最佳实践

BP-07　用"坐标验证"替代"地名声明"核查CAHRA状态

最佳做法：供应商声称的矿区"位于卡坦加省南部低风险地区"，你无法仅凭地名判断。真正有效的核查是：要求供应商提供矿区GPS坐标（精度到秒，即0.001度级别），然后在IPIS互动地图中定位该坐标，查看其周边地区是否有武装团体活动记录；同时在ACLED中查询该坐标周边50公里范围内的事件记录。这两步操作每次约需15分钟，但提供的信息质量远高于任何声明文件。

BP-08　将"制裁名单筛查"从年度任务改为季度自动任务

最佳做法：供应商关系是长期的，但制裁名单是动态更新的——2024年11月UFLPA Entity List单次新增29家实体。对现有供应商"进入时筛查一次"无法应对名单的动态变化。将制裁名单筛查升级为季度自动任务（利用OpenSanctions API或下载OFAC XML文件的Python脚本），并设置在名单新增条目时的即时告警。成本：低（可用OpenSanctions免费API + GitHub Actions定时脚本实现）；收益：高（避免因持续与被制裁方交易导致的法律风险）。

BP-09　区分"国家风险"与"供应商特定风险"

最佳做法：来源国整体风险高（如DRC地理风险20/20），并不意味着来自该国的所有供应商风险均相同——一家在南部加丹加省持有RMAP认可的工业矿山，其实际风险远低于一家在东部北基伍省无法溯源的贸易商。在地理风险高的背景下，更需要精细化评估供应商在该国的具体位置、操作模式和合规状态，而非简单将所有来源于高风险国家的供应商一刀切标记为高风险。

C.4　审核与整改阶段的最佳实践

BP-10　审核委托书须明确列出"最关键核查项"

最佳做法：在委托审核机构前，以书面形式列出最关键的3-5个核查重点（而非仅写"请按OECD DDG开展核查"）。例如：重点核查此供应商是否使用了CRAFT Code自评中识别的问题矿区的矿产；重点核查是否有证据显示矿产产量超过采矿许可证申报量；重点核查工人访谈中是否有关于招募费用的陈述。这样的具体要求能使审核机构更有针对性地分配时间，而非等同对待高中低风险议题。

BP-11　使用"双重独立验证"处理高度矛盾的核查结果

最佳做法：当核查机构的报告结论与已知风险信号高度矛盾（如IPIS显示该矿区存在武装团体活动，但核查机构报告结论为"无重大不符合项"）时，应考虑委托第二家独立机构进行平行审核（Parallel Verification）。这在成本上较高，但在高风险决策（如是否继续维持采购关系）面前，双重独立验证提供的信息价值远高于成本。

BP-12　将CAP根本原因分析作为能力建设的起点

最佳做法：一份优质的CAP根本原因分析，往往直接指向企业能力建设的需求方向。如果多个供应商的同一类不符合项的根本原因都是"缺乏CMRT填报培训"，这意味着你应该组织针对该议题的集体培训，而非对每个供应商单独指导。通过归纳分析CAP根本原因的共性，可以将分散的个案整改转化为系统性的供应链能力提升计划，成本效率大幅提高。

C.5　报告与披露阶段的最佳实践

BP-13　"不利信息的透明披露"是建立信任的最有效手段

最佳做法：在供应链年度报告中，主动披露"本年度识别到了哪些风险、我们如何应对、尚未解决的问题是什么"，比回避不利信息的"亮点汇报"更能建立客户、投资者和监管机构的信任。品牌客户和ESG评分机构（如EcoVadis、Sustainalytics）在评估供应商尽职调查成熟度时，倾向于给予透明披露不利信息的企业更高的成熟度评分，因为这表明企业真正在运行尽职调查流程。

BP-14　年度CMRT提交前，先内部验证数据一致性

最佳做法：在向品牌客户提交年度CMRT报告前，花30-60分钟进行内部一致性核查（推荐使用AI）：检查所有列出的冶炼厂名称拼写是否与RMI官方名单一致（拼写差异会影响买方的自动核查系统）；确认RMAP状态是否为最新状态（每季度更新）；核查有无重复出现的冶炼厂或明显遗漏的重要来源。这30分钟的准备工作可以避免买方因数据质量问题要求你重新提交，并展示你的数据管理专业度。

C.6　AI与自动化阶段的最佳实践

BP-15　自动化应从"最高ROI的单点任务"起步

最佳做法：不要试图一次性自动化整个尽职调查流程——这会因为系统复杂性高而难以维护。从ROI最高的单点任务开始：制裁名单自动筛查（每季度自动下载+比对，节省每次人工操作3-4小时）和RMI合规冶炼厂名单自动比对（每季度自动下载+与CMRT数据比对，节省每次人工操作2-3小时）。这两项自动化的合并实施时间约2-3个工作日，但每年可节省约30-40个人工小时，且显著提高及时性和准确性。在这两项稳定运行后，再逐步扩展至其他自动化任务。

BP-16　LLM辅助起草，但须明确"审核门槛"

最佳做法：使用LLM（如Claude API）辅助起草政策文件和整改计划草稿时，建立明确的"人工审核最低要求"清单，确保每份LLM生成的文件在发布前都经过针对该清单的逐项核查。清单至少包含：所引用的法规名称和条款是否准确？供应商具体信息是否已正确填入（而非使用LLM的模板占位符）？整改时限是否符合实际情况（而非LLM生成的通用建议）？文件签字栏是否完整？将这份清单作为固定的审核流程，既保留了LLM的效率优势，也确保了文件的法律可靠性。

========================================================================

本指南配套模板

直接可用的模板文件

以下模板与本指南内容直接对应，可在供应链尽职调查日常工作中直接使用：

模板	适用本指南场景
供应商行为准则（SCoC）全套条款	供应商准入；合同附件
供应商自评问卷（SAQ）全套：A-H节	年度供应商评估；准入审查
审核前文件请求清单（全部五类审核）	综合尽职调查
供应商矿产申报/不含矿产声明	冲突矿产溯源（第6章）
财务预警升级申请表	财务健康监控
整改行动计划（CAP）	审核后发现项整改
:::

用 AI 辅助尽职调查工作

🤖 AI 提示词快速入门

将以下提示词粘贴至 Claude、ChatGPT 或其他 AI，可快速生成尽职调查核心文件。

生成供应商行为准则（SCoC）：

你是一名供应链合规专家。请为一家向欧盟和美国出口的\\\\\\\[行业]企业
起草一份供应商行为准则（SCoC），适用法规框架：LkSG、CSDDD、UFLPA。
涵盖六大支柱：劳工权利（ILO核心公约）、职业健康安全（ISO 45001）、
环境（ISO 14001 + EUDR）、供应链安全（C-TPAT）、知识产权保护、商业道德（FCPA/反贿赂）。
在文末附供应商签署确认页。语气：坚定但合作。输出：编号结构化文件，简体中文。

生成供应商风险矩阵：

请为一家管理约\\\\\\\[N]家供应商的\\\\\\\[行业]采购方生成供应商风险评估矩阵，
维度：可能性（1-5）× 影响（1-5）= 风险分（1-25）。
覆盖风险类别：劳工/人权、环境、安全、知识产权、腐败、财务韧性、地缘政治。
定义分级响应：低（1-6）监控、中（7-12）缓解、高（13-18）上报、极高（19-25）立即行动。

生成整改行动计划（CAP）模板：

请生成一份供应链尽职调查审核整改计划（CAP）模板，
每条发现项结构：发现项ID → 根本原因分析（5问法）→ 立即整改（7天）→
系统性整改（90天）→ 预防措施 → 完成证明 → 核查方式 → 状态跟踪。
附：发现项严重等级分类说明（严重/主要/次要/观察项）。

📖 完整提示词库与进阶技巧 → 用 AI 生成定制化合规文件

本指南为实操参考文件，不构成法律意见。请结合适用司法管辖区的法律顾问建议使用。随法规演进持续更新，最新版本以发布日期为准。

供应链尽责管理实操指南 ​

尽职调查审核指南 ​

如何使用本指南 ​

第一章 必须创建的基础文件：从零建立政策体系 ​

1.1 文件1：供应链尽责管理（或尽职调查）政策模板 ​

1.2 文件2：供应商行为准则（SCoC）必备条款 ​

1.3 文件3：RACI矩阵（核心活动责任分配） ​

1.4 供应商SAQ设计原则 ​

第二章 供应链图谱绘制：穿透多层贸易商与ASM迷雾 ​

2.1 矿产供应链的典型结构与信息流失节点 ​

2.2 贸易商问题：信息被如何系统性掩盖 ​

2.3 供应链图谱绘制实操步骤 ​

第三章 情报系统建设：如何有意义地使用公开数据 ​

3.1 数据权重层级：哪类信息触发行动 ​

3.2 制裁与实体名单：精确筛查指南 ​

3.3 冲突与高风险地区识别：三角验证组合 ​

3.4 矿种专属项目的实际使用方法 ​

第四章 风险评分体系：将多维信息转化为可操作的供应商评级 ​

4.1 评分框架总体设计（100分制，分越高风险越高） ​

4.2 维度一：地理风险评分（0-20分） ​

4.3 维度二：矿种固有风险（0-20分） ​

4.4 维度三：供应链层级风险（0-16分） ​

4.5 维度四：供应商合规状态（0-16分，反向评分） ​

4.6 维度五：制裁与监管暴露（0-8分） ​

第五章 行动决策：审核委托、审核准备与现场执行 ​

5.1 选择审核机构（Verification Body、Notifying Body） ​

5.2 审核委托书的必要内容 ​

5.3 供应商文件准备清单（按审核类型分） ​

5.4 现场观察指南 ​

第六章 核查后的风险缓解：整改、升级与负责任退出 ​

6.1 整改行动计划（CAP）有效设计 ​

6.2 分级应对策略 ​

6.3 负责任退出（Responsible Disengagement） ​

第七章 报告与利益相关方沟通 ​

7.1 内部报告体系 ​

7.2 对外年度报告：让报告“经得住追问” ​

7.3 向品牌客户/买方的沟通 ​

7.4 欧盟企业可持续发展尽职调查指令（CSDDD）：对供应链实操的影响 ​

7.4.1 CSDDD的适用范围与分阶段时间表 ​

7.4.2 CSDDD的六项核心义务 ​

7.4.3 中国供应商的应对优先项 ​

第八章 行业专项尽职调查框架 ​

8.1 行业专项尽职调查的必要性 ​

8.1.1 监管链项目对比速查表 ​

​

8.2 电子与科技行业 ​

8.3 汽车与新能源电池行业 ​

8.4 服装、纺织与鞋类行业 ​

8.4.1 监管链认证体系 ​

​

8.4.2 交易证书链的运作方式 ​

8.4.3 化学品管理：ZDHC与OEKO-TEX ​

8.4.4 关键法规 ​

8.5 食品、农业与饮料行业 ​

​

8.6 林业、纸张与包装行业 ​

8.7 珠宝、钻石与贵金属行业 ​

8.8 海鲜与水产养殖行业 ​

8.9 建筑与建材行业 ​

8.10 医疗器械与化妆品行业 ​

第九章 AI时代的尽职调查自动化：从人工驱动到智能体系 ​

9.1 可以自动化 vs 不可以自动化 ​

9.2 公开数据的机器可读来源 ​

9.3 自动化工作流架构建议 ​

9.4 AI工具在风险情报分析中的应用 ​

9.5 商业平台 vs 自建系统的选择框架 ​

第十章 完整工具资源索引 ​

10.1 冶炼厂/精炼厂审核项目 ​

10.2 矿山级认证项目 ​

10.3 冲突及高风险地区（CAHRA）识别工具 ​

10.4 制裁与实体名单（所有提供批量下载） ​

10.5 国家/地区风险指数 ​

10.6 矿种专属负责任采购项目 ​

10.7 ESG与劳工评估平台 ​

10.8 自动化、AI与贸易数据工具 ​

10.9 主要国际指南文件（仅列出，已广泛可获取） ​

附录A 术语表（Glossary） ​

​

B.1 供应链尽责管理政策——完整填写样本 ​

B.2 供应商矿产溯源申报表——完整填写样本 ​