供应链尽职调查实操指南

第0章　供应链尽职调查全景图谱

六大支柱架构·业务连续性整合·质量管理定位

──────────────────────────────────────────────────────────────────

本章是全套尽职调查指南的导航框架，回答三个关键问题：（一）供应链尽职调查涵盖哪些领域，它们如何分工协作？（二）业务连续性管理（BCM）与尽职调查是什么关系？（三）质量管理为何不是一个独立的DD支柱，但又与所有支柱密切关联？

阅读本章不需要按顺序阅读其他章节；本章可独立作为项目启动会、管理层汇报或新成员入职的说明材料使用。

0.1　为什么需要六个支柱

传统供应链管理关注的是价格、交期和质量。负责任商业行为（Responsible Business Conduct, RBC）的兴起，要求企业同时管理供应链对社会、环境和治理（ESG）产生的负面影响。OECD《负责任商业行为尽职调查指南》（2018年版）是目前覆盖面最广的国际框架，但它所定义的"DD议题"在实践中已远超其矿产供应链的原始范围，演变为六个相互关联但各有侧重的专业领域。

这六个领域并非独立存在的"清单项"，而是构成同一个风险识别与管理体系的不同切面——针对同一家供应商，一次综合审核可能同时触及所有六个维度。

支柱	核心问题	主要框架	本系列对应文件
① 社会责任 (Social)	供应商如何对待工人和社区？	ILO核心公约；SA8000；UN UNGPs；EU CSDDD；德国LkSG	社会责任审核指南
② 环境合规 (Environmental)	供应商如何管理其环境影响？	ISO 14001；GHG Protocol；TNFD；EU CSRD/ESRS；中国双碳目标	环境合规审核指南
③ 供应链安全 (Security)	供应商能否保证货物和信息系统的完整性与安全？	C-TPAT 2020；AEO；ISO 28000:2022；ISO 27001:2022；NIST CSF 2.0；中国网安三法	供应链安全、网络与数据合规审核指南
④ 知识产权与反仿冒 (IP & Anti-Counterfeiting)	供应商是否侵犯知识产权？其采购的物料是否为正品？	TRIPS协议；美国NDAA；EU产品责任指令2024；SAE AS5553（航空）；中国商标法/专利法	见本指南第[待补充]章
⑤ 商业道德与财务韧性 (Ethics & Financial Resilience)	供应商的商业行为是否诚信合规？其财务状况是否健康？	ISO 37001；UK Bribery Act；FCPA；透明国际CPI；邓白氏/惠誉信用评级	见本指南第[待补充]章
⑥ 矿产与原材料溯源 (Mineral Traceability)	矿产来源是否符合负责任采购要求？	OECD DDG五步法；RMAP；CMRT；EU EUDR；US UFLPA	本指南其余章节（第1—J章）

质量管理的定位：质量管理（ISO 9001、IATF 16949、ISO 13485、GMP等）是供应链管理的基础能力，但不作为第七个DD支柱——原因详见0.5节。

0.2　六大支柱如何相互关联

六个支柱之间存在大量交叉，处理任何一个支柱的风险时，往往会触发另一个支柱的议题。下图描述主要的交叉关系：

交叉关系	说明	实践影响
社会 ↔ 环境	非正规采矿（ASM）同时存在童工、强迫劳动（社会）和汞污染、尾矿泄漏（环境）风险	矿产供应链审核须同步覆盖两个支柱
社会 ↔ 商业道德	供应商向审核员行贿（道德）以掩盖工人虐待（社会）	反腐败控制是社会审核可信度的前提
环境 ↔ 安全	工业废水排放（环境）+数据泄露（安全）可同时触发EU CSRD和NIS2双重披露义务	披露合规须协调两个支柱的报告要求
安全 ↔ IP	集装箱货物被调包（安全）→ 假冒品进入市场（IP）；软件供应链攻击（安全）→ 源代码被盗（IP）	货物完整性管控同时服务安全和IP两个目标
IP ↔ 矿产溯源	矿产标签造假、来源地虚报本质是IP/文件仿冒问题	链路追溯（CoC）文件的真实性验证跨越两个支柱
道德/财务 ↔ BCM	供应商财务危机（道德/财务支柱识别）→ 供应中断风险（BCM触发点）	DD财务评估是BCM触发决策的关键输入

0.3　业务连续性管理（BCM）与尽职调查的关系

0.3.1　两者的本质差异

供应链DD和BCM经常被混为一谈，但它们解决的是不同问题：

维度	供应链尽职调查（DD）	业务连续性管理（BCM）
核心问题	"我的供应链是否在负责任地运营？"	"如果供应链中断，我能维持经营吗？"
时间视角	当前状态评估（现在是什么风险）	未来场景规划（发生时怎么办）
主要标准	OECD DDG；UN UNGPs；各国法规	ISO 22301；ISO 22316（韧性）
输出成果	风险图谱；整改行动计划；披露报告	业务影响分析；恢复预案；演练记录
触发方式	持续进行（年度审核+事件触发）	持续维护（年度演练+中断事件激活）
负责团队	合规/采购/ESG	运营/风险管理/IT

0.3.2　DD是BCM的信息基础

ISO 22301（BCM标准）第6.2条要求"业务影响分析（BIA）"和"风险评估"作为BCM建立的前提。这两项工作的核心内容，与供应链DD高度重叠：

DD识别出某关键原材料的唯一来源供应商位于地震高频区 → BCM规划备用采购渠道和安全库存水位
DD的财务韧性评估发现供应商资产负债率异常升高 → BCM将该供应商标记为"中断风险升级"，触发备用供应商激活准备
DD的信息安全审核发现供应商无业务连续性计划 → BCM评估其系统中断对己方的连带影响
DD的社会审核发现某工厂劳资关系紧张 → BCM将罢工风险纳入供应中断情景实践案例：丰田2011年东日本大地震后建立的"供应链韧性计划"，正是将DD的供应商风险图谱（地理集中度、单一来源识别）与BCM的供应中断恢复预案系统性整合的标志性案例。苹果公司的Supplier Responsibility程序同样在DD评估结果中直接触发BCM相关的双源策略决策。

0.3.3　BCM触发决策树

以下决策树帮助判断何时应将DD识别的风险升级为BCM行动：

DD发现项类型	风险等级	BCM触发行动
供应商为关键物料/服务的唯一来源（无替代供应商）	高	立即启动双源/多源策略评估；设定安全库存下限
供应商位于自然灾害高频区（地震带、洪涝区、台风路径）	中-高	要求供应商提供BCM计划；评估己方安全库存周期
供应商财务状况恶化（付款延迟≥2次、信用评级下调、传言资金链断裂）	高	激活备用供应商资质预审；提前锁定关键物料库存
供应商遭受重大网络攻击或数据泄露事件	高	启动己方安全事件响应；评估数据暴露范围；暂停敏感数据传输直至恢复确认
供应商所在地政治风险上升（制裁、出口管制变化、边境封锁）	中-高	法务评估合规持续性；采购评估替代来源可行性；设立监控预警
供应商核心关键人员（创始人/技术负责人）离职或被调查	中	评估知识转移风险；加强技术文件留存要求
供应商通过整改但合规能力边际（一年内两次高风险发现）	中	纳入BCM"关注名单"；季度监控；采购分散计划

0.4　跨支柱综合供应商风险评分矩阵

单一支柱的风险评分有其局限性：一家社会责任评分优秀但信息安全极差的供应商，其综合风险并不低。下表提供跨支柱综合评分框架，可作为供应商分级管理和审核资源分配的决策依据。

0.4.1　综合评分框架（满分100分）

支柱	权重（基准）	核心评分输入	数据来源
① 社会责任	20分	最近审核等级；主要发现项级别；整改完成率；认证状态（SA8000/SMETA等）	第三方审核报告；供应商自评（SAQ）
② 环境合规	15分	ISO 14001认证；碳排放数据质量；重大环境违规记录；危废合规状态	审核报告；企业环境信用系统（IPE）；政府处罚公告
③ 供应链安全	20分	C-TPAT/AEO认证状态；ISO 27001/等保合规；信息安全事件历史；物理安全审核得分	安全审核报告；认证机构查验；SecurityScorecard等工具
④ 知识产权/反仿冒	10分	假冒品投诉历史；IP授权管理体系；来料正品核验机制；海关知识产权备案	买家投诉记录；海关数据；第三方IP监测
⑤ 商业道德/财务韧性	20分	反贿赂政策（ISO 37001）；腐败风险指数（所在国TI CPI）；D&B信用评级；客户集中度；付款行为	征信数据（D&B/慧科）；TI CPI；审计报告
⑥ 矿产溯源合规	15分	CMRT提交质量；冶炼厂RMAP合规率；CAHRA国家暴露；ASM风险	CMRT分析；RMAP数据库；OECD CAHRA清单

权重调整说明：基准权重适用于一般制造业供应商。行业特殊情形下应调整：矿产/原材料供应商应提高⑥的权重（至25分），相应降低③；科技/汽车供应商应提高③（至30分），相应降低⑥；高风险采购国家供应商应提高⑤（至30分）。

0.4.2　综合得分解读与行动矩阵

综合得分	风险等级	审核频次	主要行动
85—100分	低风险 ✓	每2年一次全面审核+年度SAQ	纳入优选供应商名单；维持年度声明；轻量级监控
70—84分	中等风险 ◑	每年一次全面审核	重点支柱专项改善计划；6个月跟踪复查
55—69分	高风险 ▲	半年一次审核；含突击性访问	启动整改行动计划（CAP）；3个月关键发现项整改期；BCM备用供应商预审
40—54分	极高风险 ✕	季度跟踪；考虑暂停新订单	高管层通报；第三方专项核查委托；限期整改或启动供应商替换流程
＜40分	不合格 ✕✕	立即升级处理	暂停新订单；启动替换流程；必要时配合监管机构调查

0.5　质量管理的定位：DD指标而非DD支柱

质量管理常被提议作为供应链DD的第七个独立支柱，但本系列的判断是：质量管理是DD风险评估的重要输入指标，而非一个平行的DD支柱。理由如下：

0.5.1　为什么质量不作为独立支柱

维度	六大DD支柱	质量管理
核心问题	"供应商是否负责任地运营？"（合规/道德/ESG）	"供应商能否持续交付符合规格的产品？"（能力/绩效）
驱动机制	法律义务（CSDDD/LkSG/UFLPA）+道德承诺	合同义务（规格书/验收标准）+市场竞争
标准体系	跨行业通用（OECD DDG/UN UNGPs）	高度行业专属（IATF16949/ISO13485/GMP各自独立）
审核人员	合规/CSR/ESG审核员	质量工程师（SPC/APQP/PPAP等专业背景）
现有成熟度	实践相对新兴，本系列有填补空白的价值	已有ISO9001等数十年积累，本系列无需重复

0.5.2　质量如何融入DD评估

尽管质量管理不单独成支柱，质量相关信息在DD评估中仍有重要价值，体现在以下三个维度：

质量体系认证作为管理能力代理指标：持有ISO 9001/IATF 16949等认证的供应商，其流程文件化程度、纠正行动机制、内审制度均高于无认证供应商。在0.4节的综合评分中，可在⑤商业道德/财务韧性维度下加分（+2至+5分），作为管理成熟度的正向信号。
产品安全合规作为法律DD义务：EU《通用产品安全条例》（GPSR 2024）、中国强制性国家标准（GB）体系、FDA 21 CFR等将产品安全合规确立为品牌商的法律义务。供应商产品缺陷导致的召回，在法律上可追溯至品牌商的DD失职。产品安全条款应纳入供应商行为准则（SCoC）第一章的必填要求。
假冒/劣质材料作为IP和安全的交叉议题：供应商使用假冒原材料（如仿冒半导体、假冒螺栓）同时触发④知识产权支柱（IP侵权）和③安全支柱（货物完整性）。这一场景在美国NDAA（国防供应链假冒元器件禁令）、SAE AS5553（航空假冒件标准）中均有专项规定，应在安全审核和IP尽调的联合框架下处理。实操建议：在供应商SAQ中加入两个质量相关问题即可满足DD需求：（1）贵司持有哪些质量管理认证（ISO 9001/IATF 16949/ISO 13485/GMP等）？有效期至何时？（2）过去两年内是否发生过客户要求的强制召回事件？如有请说明处理结果。这两个问题的答案已足够为综合风险评分提供所需的质量维度信息，无需引入完整的质量审核流程。

0.6　适用范围决策：哪类供应商须接受哪些支柱审核

并非所有供应商都需要接受全部六个支柱的完整审核。以下矩阵帮助采购和合规团队快速决定审核范围，合理分配审核资源：

供应商类型	①社会	②环境	③安全	④IP/反仿冒	⑤道德/财务	⑥矿产
制造商（出口欧美）	●全面	●全面	●全面	○按需	●基础	●如含矿产
原材料/矿产供应商	●全面	●全面	○基础	●全面	●全面	●全面
贸易商/分销商	○基础	○基础	●重点（货物完整性）	●全面（假冒风险高）	●全面（腐败风险）	●透明度要求
IT/软件供应商	○基础	○轻量	●全面（信息安全）	●全面（IP/代码）	○基础	✕不适用
物流/运输商	○基础	○碳足迹	●全面（C-TPAT/AEO）	○按需	○基础	✕不适用
品牌代理/渠道商	✕	✕	○基础	●全面（平行进口/仿冒）	●全面（腐败渠道风险）	✕不适用
工程/建筑承包商	●全面（工人安全）	●全面（施工废弃物）	○基础	○轻量	●基础	✕不适用

●=完整审核 ○=基础评估或问卷 ✕=通常不适用

0.7　系列使用指南

0.7.1　文件架构总览

文件	定位	主要读者
本指南（供应链尽职调查实操指南·深度版）	六大支柱总纲 + OECD DDG操作手册 + 矿产溯源 + 环境披露 + 行业专项	合规/采购/ESG从业者；管理层
社会责任审核指南	支柱①专项实务：社会审核方法论、劳工标准、买家要求对比	社会审核员；供应商合规团队
环境合规审核指南	支柱②专项实务：ISO 14001、碳管理、水资源、生物多样性、PFAS	环境审核员；工厂环保团队
供应链安全、网络与数据合规审核指南	支柱③专项实务：物理安全（C-TPAT）、信息安全（ISO 27001）、数据合规（PIPL/GDPR）	安全审核员；IT安全团队；合规
名词解释与缩略词索引——供应链尽责管理系列	套系共享词汇表：术语定义 + 缩略词索引	全体使用者

0.7.2　推荐阅读路径

使用场景	推荐起点	扩展阅读
刚接触DD，需要从零建立体系	本章（0章）→ 本指南第1章（基础文件）→ 第2—3章（风险评估）	再按需选读三本专业指南
准备接受客户C-TPAT/AEO审核	安全合规审核指南第4—7章（物理安全）	本指南第1章（SCoC安全条款）
应对欧盟CSRD/LkSG披露要求	本指南第J章（环境披露）→ 第I章（行业框架）	环境合规审核指南第6—7章
评估新供应商综合风险	本章0.4节（综合评分矩阵）→ 本指南第4章（风险情报）	三本专业指南对应支柱的审核检查表
供应链中断应急响应	本章0.3.3节（BCM决策树）	安全合规审核指南第8.6节（BCM）
行业专项（汽车/电子/服装等）	本指南第I章（行业专项框架）	对应专业指南中的行业特殊要求章节

──────────────────────────────────────────────────────────────────

本章为《供应链尽责管理系列》的导航框架，持续更新以反映监管变化和实践演进。如发现内容需要更新或有补充建议，欢迎通过项目联系人反馈。

供应链尽职调查管理实操指南

基于OECD尽职调查指南的全链条落地手册（2025年版）

供矿产、制造、采购、贸易、零售行业的合规从业者使用 | 兼顾新手入门与专业人士深化

────────────────────────────────────────────────────────────────────────

如何使用本指南

本指南有意避免重复互联网上已大量存在的内容——OECD五步框架的通用介绍、各法规的基本条款释义、标准品牌承诺声明，均可在OECD官网、RMI官网及各大ESG咨询公司的白皮书中找到。本指南聚焦的是那些"框架文件告诉你应该做什么、但不告诉你怎么做"的部分：

• 实际文件要长什么样（含可直接改写的模板文本）

• 矿产供应链中的"灰色地带"——ASM矿工经多层贸易商进入正规系统时，信息如何被稀释，以及如何在实践中应对

• 如何将数十个公开数据库的信息转化为内部可操作的风险评分，而非停留在"查阅参考"层面

• 如何判断信息的"权重"——在同一供应商同时触发多个风险信号时，哪个信号应优先处理

• 如何准备和观察一次矿产供应链核查（包括需要向供应商要求的具体文件清单）

• 如何用AI和自动化工具将整套系统从人工驱动转变为半自动运行

**▌阅读路径建议　**新手请从第一至第三章顺序阅读，完成基础政策文件框架后再进入风险评估章节。有经验的从业者可直接跳至第四章（风险情报系统建设）、第五章（行动决策矩阵）或第八章（AI自动化）。

第一章　必须创建的基础文件：从零建立政策体系

在你启动任何实质性尽职调查行动之前，组织内部需要哪些书面文件？这些文件不是用于应付审计的，而是你开展供应链管理工作的法律依据、操作规程和沟通界面。以下六类文件按建议创建优先顺序排列：

• **文件1　**供应链尽职调查政策（DD Policy）

• **文件2　**供应商行为准则（Supplier Code of Conduct，SCoC）

• **文件3　**内部治理章程与职责分工矩阵（RACI Matrix）

• **文件4　**风险评估框架与评分方法论文件（Risk Assessment Methodology）

• **文件5　**供应商尽职调查问卷（SAQ）

• **文件6　**申诉与救济机制程序文件（Grievance & Remediation Procedure）

**▌关键判断　**一个常见错误是花大量精力完美化政策文件语言，而推迟启动实际的供应商信息收集。建议：文件1和文件2应在90天内完成v1.0版本并发布，哪怕尚不完美。完美是有效的敌人。

1.1　文件1：供应链尽职调查政策模板

模板说明：M=必填，O=建议填写。以下为核心条款结构，企业可在此基础上扩展。

【模板】供应链负责任采购与尽职调查政策

M **文件编号与版本：**DD-POL-001 v1.0

M 生效日期：[请填写]

M **批准人（职务）：**首席执行官 / 董事会主席

M **适用范围：**集团全体员工及在本公司授权下开展采购活动的第三方

M **审查周期：**每年审查一次，或在相关法规发生重大变化时及时审查

第一条　政策目的

本公司承诺在其供应链的全部层级中识别、预防、减轻并追责对人权、劳工权利、环境和商业道德产生的负面影响，遵循OECD《负责任商业行为尽职调查指南》（2018）及联合国《工商业与人权指导原则》（UNGPs）的方法论框架。本政策不得低于以下适用法律的最低要求：[列举：德国LkSG / 欧盟CSDDD / UFLPA / 中国相关法规等]。

第二条　适用范围

本政策适用于供应链各层级，优先覆盖直接供应商（第一层级），并视风险程度向第二层级及原材料来源层级延伸。适用议题包括：强迫劳动（含债务劳役、人口贩卖）、童工、不安全工作条件、强制超时、歧视、结社自由受限、贿赂腐败、土地权利侵害、有害物质排放及非法采矿活动。

第三条　尽职调查流程

本公司依照OECD DDG五步法开展持续性供应链尽职调查：（1）建立管理体系；（2）识别与评估风险；（3）制定并实施应对措施；（4）追踪执行效果；（5）对外沟通与披露。各步骤具体操作详见配套操作规程[文件编号]。

第四条　供应商要求

所有供应商须签署并遵守《供应商行为准则》，并配合信息收集、现场访问及第三方核查。遵守情况将纳入供应商资质评估、续约决策及采购分配。

M **M：矿产供应链专用条款：**供应商须额外遵守《矿产负责任采购补充要求》，包括提供CMRT报告、证明冶炼厂RMAP合规状态，以及在高风险采区提供产地证明文件。

O **O：UFLPA/涉疆条款：**如适用，详述对涉疆供应链的披露要求和处置程序

第五条　责任归属

[指定部门/岗位]负责本政策的日常执行。[指定跨职能委员会]每季度审查执行情况并向[董事会/ESG委员会]汇报。

第六条　举报与救济

任何供应链工人、社区成员或内部员工均可通过[邮箱/热线/匿名平台]提交申诉。公司承诺在收到申诉后[X]个工作日内进行初步回应，并保护举报人免受报复。

1.2　文件2：供应商行为准则（SCoC）必备条款

SCoC须作为采购合同附件，合同中须明确注明"违反SCoC构成重大违约"。否则SCoC仅为道德声明，不具法律约束力。以下列出必须覆盖的条款：

• 劳工标准基本条款（ILO核心公约）：禁止强迫劳动；禁止童工（工业/矿业不低于18岁）；结社自由与集体谈判权；同工同酬无歧视；遵守最低工资、工时和休息日规定

• 健康与安全：安全工作环境；危险品管理规程；事故报告义务；个人防护设备提供

• 环境合规：遵守所在地环境法规；危险废物合规处置；禁止非法排放；新建设施须核查是否位于KBA（关键生物多样性区域，keybiodiversityareas.org）或自然保护区缓冲区；涉及农业原材料采购须符合EUDR反毁林要求

• 生物多样性与土地：禁止在2020年12月31日后毁林土地上采购农业原材料；在IFC关键栖息地内运营须提供净增益证明；须按TNFD LEAP方法论识别并披露自然相关重大风险（战略供应商）

• 社区福祉：为受运营影响的周边社区设立独立申诉渠道；运营涉及原住民或传统社区土地须完成FPIC（自由事先知情同意）程序（参照IFC PS7）；禁止在未完成FPIC的情况下推进涉及原住民权利的项目

• 动物福利（适用于涉及活体动物的供应商）：遵守五大自由原则（Brambell框架）；禁止妊娠笼、无麻醉疼痛性处置、活体拔毛、强制填饲、抗生素促生长；屠宰须符合OIE人道致晕标准；鼓励持有RSPCA/GAP/ASC/RDS等认证

• 商业道德：禁止贿赂；利益冲突披露；反洗钱合规；数据保护

• M 矿产专用条款：对采购矿产开展OECD DDG尽职调查；披露所有冶炼厂/精炼厂名称及来源国；不得从武装团体控制矿区采购；支持独立核查；向二级供应商传递等效要求。

• M ASM特殊披露：如供应链含ASM矿产，额外披露矿区坐标（如可获取）、中间贸易商名称、采用的尽职调查措施（CRAFT评估、IPIS核查等）

• O 级联要求：供应商须将准则要求传递至其直接供应商，并负有监督其一级供应商合规的义务。

1.3　文件3：RACI矩阵（核心活动责任分配）

R=负责执行，A=最终问责，C=需咨询，I=知情即可：

• 供应商风险分级　R:采购/供应链 A:合规总监 C:法务 I:高管层

• SAQ收集与核查　R:采购 A:合规 C:质量 I:财务

• 高风险供应商整改计划　R:采购+合规 A:VP采购 C:法务+HR I:CEO

• 第三方核查委托　R:合规 A:合规总监 C:采购+法务 I:审计委员会

• 对外年度报告　R:ESG/合规 A:CEO C:法务+IR I:董事会

• 申诉案件处理　R:合规 A:合规总监 C:法务+HR I:CEO（重大案件）

• 政策年度审查　R:合规 A:CEO/董事会 C:全部职能部门 I:全体员工

1.4　供应商SAQ设计原则

大多数SAQ失败的原因是问题太多但信息密度低。以下原则帮助设计有效的SAQ：

• 分层设计：基础版（所有供应商，约15题）+ 矿产扩展版（矿产类，附加20题）+ 高风险扩展版（由基础版触发）

• 问"事实"而非"承诺"：不问"你是否承诺不使用童工"，而问"截至本季度，年龄16-18岁工人在总员工中占比？他们从事的工种是否经过职业健康风险评估？"

• M 矿产版关键题目：列出本季度所有3TG/钴/锂矿产供应商名称（含企业注册编号）；哪些已通过RMAP审核？对未通过RMAP的，如何核查其矿产来源？已知的所有冶炼厂名称及RMAP状态。

• 设计"一致性陷阱"：同一信息两种问法（如"最低时薪"和"月工资÷工时"），用于识别编造答案

• 要求附上证明文件（见第五章文件清单）

第二章　供应链图谱绘制：穿透多层贸易商与ASM迷雾

供应链图谱绘制是尽职调查中技术难度最高的一步。在矿产领域，现有指南文件对这一步的具体实施方式描述相当抽象。本章直接面对现实：矿产供应链中信息是如何被逐步稀释的，以及在有限信息条件下你能做什么。

2.1　矿产供应链的典型结构与信息流失节点

• 第一层：矿山——工业矿山（LSM）或手工/小规模采矿（ASM）

• **⚠ **第二层：初级加工 / 出口仓 / 矿石集散商（Comptoir） ← 信息损失的第一关键节点

• **⚠ **第三层：贸易中间商 ← 混合来源、多批次合并，信息进一步稀释

• 第四层：冶炼厂/精炼厂——OECD所说的"压缩点"（Pinch Point）

• 第五层：材料加工商

• 第六层：零部件制造商 → 产品制造商 → 品牌方 → 消费者

**▌核心矛盾　**OECD DDG要求溯源至冶炼厂，而RMI的RMAP仅对冶炼厂开展审核。即使冶炼厂通过了RMAP，也不等于其原料来源没有问题——它仅意味着冶炼厂在其采购环节执行了OECD流程。ASM矿产进入正规冶炼厂之前往往经过2-4个贸易商，每一层都可能发生混矿（commingling），使溯源在实践中极为困难。

2.2　贸易商问题：信息被如何系统性掩盖

模式A：合法混矿（Legal Commingling）

贸易商合并来自多个矿山的矿石，通常有合法商业逻辑，但合并后的批次已无法精确溯源至单一矿山。

• 识别方法：若产地证书对应的采购量远小于实际出货量，说明存在合并来源。要求供应商提供每个批次的来源明细（Lot Traceability Record）。

• 应对：接受合理混矿，但要求贸易商证明每个来源矿山均经过OECD合规评估，至少提供每个矿山的GPS坐标和合规状态。

模式B：标签替换（Relabeling）

高风险来源矿产被赋予低风险国家的产地标签，在DRC和中非地区极为普遍。

• 红旗信号：声称来自低风险地区，但价格显著低于市价；产地证书与物流路线不一致；无法提供出口国海关记录。

• 核查手段：与IPIS的DRC地图交叉核验贸易商报告的矿山坐标；要求提供出口申报文件（Export Declaration）而非仅产地证书；核查物流路线与声明来源地的地理合理性。

模式C：关联实体掩盖（Layered Beneficial Ownership）

贸易商通过多个法人实体隔离高风险关联（如武装团体参股），将问题矿产洗白。

• 识别方法：通过OpenSanctions、OFAC、UN制裁名单交叉检查贸易商的最终受益人（UBO）。要求贸易商提供UBO申报文件，与当地商业注册信息核对。

• 限制：低收入国家商业注册信息质量参差不齐，UBO申报制度不健全。可借助IPIS实地调查报告和Global Witness调查报道作为补充信号。

模式D：ASM/LSM混标

将手工采矿矿产标记为来自持有正规采矿许可证的工业矿山。

• 识别方法：核对矿山申报产量与海关出口量是否匹配——若实际出口量显著超过申报产量，说明存在混入ASM矿产的可能。委托IPIS等机构进行现场核查以核实矿山实际规模。

2.3　供应链图谱绘制实操步骤

• 步骤1：盘点采购矿种清单——确认OECD重点矿种（3TG、钴）、欧盟电池法规矿种（锂、镍、钴、天然石墨）和延伸关注矿种（云母、铝土矿、钨、PGMs）。

• 步骤2：识别涉及上述矿种的直接供应商，收集基础信息（营业执照、注册地址、主要客户、年采购量、与贸易商/矿山的关系描述）。

• 步骤3：要求直接供应商填写矿产溯源申报表，提供来源冶炼厂列表（含RMI编码）、贸易商关系链（至少到第一个贸易商）、对RMAP未覆盖冶炼厂的补充说明。

• 步骤4：将供应商提供的冶炼厂名称与RMI合规冶炼厂名单对比。对于未在名单中的冶炼厂，要求供应商解释合规状态，视风险程度决定是否委托核查或要求更换来源。

• 步骤5：对高风险矿种（冲突矿产、ASM比例高），向贸易商层级延伸，要求提供矿区访问记录，或委托IPIS/同等机构进行现场核查。

• 步骤6：将以上信息汇总为供应链地图（电子表格或可视化工具如Sourcemap），标注每个节点的风险状态和待核查项。

**▌ASM实践提示　**对于ASM来源的矿产，不要追求与工业矿山同等水平的溯源精度——这在实践中不可能实现。OECD DDG的立场是"按比例"——关键是能证明采取了与风险相称的合理措施。可接受的替代路径包括：供应商采用CRAFT Code自评、参与Fairmined或Fair Cobalt Alliance认证项目、或委托经认可机构对矿区进行独立访问评估。

第三章　情报系统建设：如何有意义地使用公开数据

目前可用于供应链尽职调查的公开数据库超过30个。问题不是信息太少，而是如何从海量公开信息中提炼出对你的具体供应链最相关的风险信号，并在有限工作时间内做出优先级判断。本章提供的不是工具清单（清单见第九章），而是使用逻辑。

3.1　数据权重层级：哪类信息触发行动

• **第一层　**直接命中数据（Action-Triggering）：供应商/贸易商/冶炼厂直接出现在制裁名单（OFAC SDN、UFLPA Entity List、EU制裁、UN制裁）或CBP WRO清单中。一旦命中，必须立即暂停相关业务并启动法律评估，无需等待风险评分完成。

• **第二层　**强相关风险信号：RMI合规冶炼厂名单比对不通过；IPIS数据库显示供应商声称矿区存在武装团体活动；BIS Entity List命中；DoL ILAB商品清单直接列出该矿种×来源国组合。

• **第三层　**背景风险评分：来源国在TI-CPI、HIIK冲突指数、FSI脆弱国家指数上的综合评级；ITUC全球权利指数；Freedom House评级；Walk Free全球奴役指数。这些是背景信号，需与第一、二层信号结合判断，不能单独触发行动。

• **第四层　**参考数据：全球奴役指数行业报告、Know the Chain行业基准、NGO调查报告。提供行业趋势和可信案例，不作为个别供应商风险评分的直接输入。

3.2　制裁与实体名单：精确筛查指南

多来源同时筛查的必要性

任何单一名单都有覆盖盲区。OFAC SDN主要覆盖美国制裁目标；EU制裁名单与OFAC约40%重叠；UN制裁名单通常是各国制裁的最低公约数；UFLPA Entity List专针对新疆实体，与上述名单重叠率较低。建议通过OpenSanctions（汇聚329个来源）进行一次性多名单筛查，对新增/近期修订实体须回到各名单原始来源核实。

名称匹配的实际难题

中文企业名称的拉丁化拼写存在大量变体（粤语vs普通话拼音；缩写vs全称；注册名vs经营名）。建议：同时使用统一社会信用代码和多个可能的英文拼写方式筛查；对高风险关联企业使用UBO分析工具追踪最终控制人。

UFLPA名单的动态性

截至2025年3月，UFLPA Entity List已包含144+家实体，持续增加（2024年11月新增29家）。建议将UFLPA名单筛查纳入季度自动化更新流程，而非仅在供应商准入时筛查一次。

3.3　冲突与高风险地区识别：三角验证组合

单独使用任何一个冲突数据库都会导致漏判或误判。建议使用以下组合：

• HIIK冲突晴雨表（每年12月发布）：提供宏观冲突地区分类（1-5级），适合设定年度风险底线，确定哪些来源地区属于CAHRA的初始判断。

• ACLED（实时更新）：提供具体到县级的冲突事件定位，可与供应商声称矿区坐标叠加分析。如矿区半径50公里内12个月内有武装冲突事件记录，则应升级风险级别。ACLED的API支持按地理坐标查询，可集成至自动化系统。

• IPIS DRC矿区数据库：专针对DRC/刚果共和国/中非的矿区级数据，含2800+矿点的武装团体存在情况、矿种和开采状况。对于采购DRC矿产的企业，这是不可或缺的直接数据来源。

**▌操作示例　**某供应商声称其钴来自刚果东部某LSM矿山。操作步骤：(1)在IPIS地图检索该矿区坐标；(2)在ACLED查询该坐标周边50公里12个月内事件记录；(3)将HIIK对DRC卡塔加省的冲突评级纳入背景判断；(4)综合判断是否满足CAHRA认定条件。如三个来源均显示该区域存在活跃武装团体，该来源应标记为"CAHRA高风险"，触发第三方独立矿区核查要求。

3.4　矿种专属项目的实际使用方法

第一类：采购决策触发型——是否在名单上直接影响采购决策

• **RMI RMAP　**RMI RMAP合规冶炼厂名单（3TG+钴）：唯一由Dodd-Frank和OECD明确认可的冶炼厂审核项目，是电子/汽车行业合规的核心工具。供应商使用的冶炼厂未在合规名单上，应直接触发整改要求。

• **LBMA　**LBMA负责任黄金精炼厂名单：与OFAC SDN有联动（被制裁精炼厂自动失去LBMA认可资格）。黄金相关行业必检。

• **RJC　**RJC认证成员名单（黄金/PGMs/钻石）：珠宝行业全链认证。

第二类：采购支持型——认证结果可支持正面陈述，但缺失不直接触发违规

• **ASI（铝）　**已认证站点可视为铝供应链的较低风险来源，覆盖率仍在增长。

• **CopperMark/NickelMark　**覆盖铜/镍/锌/钼，已认证矿区和精炼厂可作为风险降低依据。NickelMark是CopperMark针对镍的扩展，共用基础设施。

• **ResponsibleSteel　**已认证矿区可视为钢铁供应链的正面信号。

• **Fair Cobalt Alliance（钴）　**Fair Cobalt Alliance的钴积分（credits）机制是目前少数可处理ASM钴来源的工具之一。

第三类：ASM专用型——专为非正规采矿设计，标准不同于工业矿山

• **CRAFT Code v2.1　**开源框架（CC BY-SA 4.0），v2.1版（2024年10月）完全与OECD DDG对齐，是最实用的ASM供应链评估工具。

• **Fairmined　**适用于ASM黄金/白银/PGMs，认证标准最严格，但认证供应量有限。

• **Responsible Mica Initiative　**专用于印度和马达加斯加云母，是化妆品/汽车涂料行业处理云母风险的主要工具。

第四章　风险评分体系：将多维信息转化为可操作的供应商评级

本章提供一套可直接部署的量化风险评分方法论，将第三章的公开数据信息转化为每个供应商的综合风险得分，并映射至具体的管理行动要求。

4.1　评分框架总体设计（100分制，分越高风险越高）

• 地理风险（Country/Region Risk）：权重25%，满分20分

• 矿种固有风险（Mineral Inherent Risk）：权重25%，满分20分

• 供应链层级风险（Tier Opacity Risk）：权重20%，满分16分

• 供应商合规状态（Compliance Status）：权重20%，满分16分（反向评分：合规越好分越低）

• 制裁与监管暴露（Regulatory Exposure）：权重10%，满分8分；命中制裁名单者直接触发即时行动，不参与常规评分

综合风险评级划分：

• 极高风险（80-100）：立即行动，暂停采购，强化尽职调查

• 高风险（60-79）：90天内完成现场核查或等效评估，制定整改计划

• 中风险（40-59）：年度独立评估，SAQ每年更新，核实现有审核报告

• 低风险（20-39）：SAQ + 有效第三方审核报告，2年一次重新评估

• 极低风险（0-19）：简化SAQ，3年一次重新评估

4.2　维度一：地理风险评分（0-20分）

数据来源组合：TI-CPI + HIIK冲突晴雨表 + Freedom House + WJP法治指数 + FSI脆弱国家指数：

• TI-CPI<30（极高腐败）：+8分；30-49：+5分；50-69：+3分；>=70：+0分

• HIIK冲突等级4-5（战争/有限战争）：+6分；等级3（暴力危机）：+4分；等级2：+2分；等级0-1：+0分

• Freedom House"不自由"：+4分；"部分自由"：+2分；"自由"：+0分

• FSI>90：+2分；70-90：+1分；<70：+0分

**▌示例对比　**DRC：TI-CPI约20(+8)+HIIK等级5(+6)+不自由(+4)+FSI>100(+2) = 20/20。智利：TI-CPI约67(+3)+HIIK等级1(+0)+自由(+0)+FSI约45(+0) = 3/20。同一钴供应商，来源地不同，地理风险相差17分。

4.3　维度二：矿种固有风险（0-20分）

• 最高风险（+20）：钴（DRC来源，大量ASM+儿童劳动）；从CAHRA地区采购的3TG

• 高风险（+15）：云母（印度/马达加斯加ASM，儿童劳动）；钻石（Kimberley Process局限性已知）；黄金（ASM广泛分布，洗钱风险高）

• 中高风险（+10）：镍（印尼/菲律宾环境和劳工风险）；铝土矿（几内亚/加纳土地权利）；钨（中国占全球产量85%+，供应集中）

• 中风险（+6）：铜（智利/秘鲁有社区冲突记录）；钢铁（全球供应链复杂）；锂（原住民土地权利问题上升）

• 基准风险（+3）：铝（ASI覆盖中）；锡/钽/钨（非CAHRA来源）；铂族金属（南非主产，劳工情况已大幅改善）

4.4　维度三：供应链层级风险（0-16分）

• 直接采购自矿山（极少见）：+2分

• 直接采购自冶炼厂/精炼厂：+4分（透明度最高）

• 通过1个贸易商采购：+8分

• 通过2+个贸易商（多层中间商）：+12分

• 来源不明/无法追溯至冶炼厂：+16分（直接归入高风险触发行动）

• 折减项：供应商提供经核实的完整批次溯源记录，最高可折减-4分

4.5　维度四：供应商合规状态（0-16分，反向评分）

• 持有有效RMAP合规冶炼厂认证（3TG/钴）：本维度得分=4分（满分16分折减12分）

• 持有其他等效认证（IRMA、ASI、RJC CoC等）：折减10分，得分=6分

• 持有有效一般性社会合规报告（SMETA 4支柱/RBA VAP，12个月内）：折减6分

• SAQ填报完整且通过内部核查：折减4分

• 无任何合规记录：+0折减（满分16分）

• 有既往不符合项记录未关闭：额外+4分

• 曾被发现数据造假：直接触发"极高风险"，不参与常规评分

4.6　维度五：制裁与监管暴露（0-8分）

• 来自UFLPA高风险行业且位于新疆供应链中：+8分

• 来源国在美国/EU/UN制裁名单下特定行业范围内：+6分

• 与被制裁实体有已知业务往来记录（自身未被制裁）：+4分

• 位于DoL ILAB商品清单中的矿种x来源国组合：+3分

**▌制裁命中处理原则　**若供应商本身、其UBO、或其主要贸易商直接命中OFAC SDN、UFLPA Entity List、EU制裁或UN制裁名单，不进入常规评分流程，直接启动"即时暂停与法律评估"程序。

第五章　行动决策：核查委托、审核准备与现场执行

本章解决：当你已完成风险评分，判断某供应商需要深入行动时，具体如何执行？涵盖核查机构遴选、委托书起草、供应商文件要求和现场观察四个环节。

5.1　选择核查机构（Verification Body）

• 资质认可：对于RMI RMAP核查，只有RMI认可的审核机构方可实施（名单见responsiblemineralsinitiative.org/rmap/audit-firms/）。对于CRAFT Code评估，目前无单一认可机构名单，但委托机构应有矿产供应链现场访问经验和当地语言能力。

• 地理准入：在DRC东部、中非等高风险地区开展现场核查的机构需要安全访问能力和当地合作网络。可核查机构是否与IPIS等本地机构有合作关系。

• 专业深度：矿产供应链核查（尤其是冶炼厂级）需要专业知识，与一般劳工合规审核不同。询问机构过去12个月内执行矿产供应链相关核查的次数和客户案例。

• 利益冲突管理：核查机构不应与被核查供应商存在咨询、培训等商业关系。委托合同中须明确利益冲突禁止条款。

• APSCA认可（劳工合规组件）：若核查包含工厂劳工合规部分，执行审核员须持有CSCA认证或来自APSCA会员机构。

5.2　核查委托书（Terms of Reference）必要内容

M **核查对象：**冶炼厂名称/矿区名称/贸易商名称+地址+联系人

M **核查方法：**文件审查（Desk Review）/ 现场访问（On-site Visit）/ 远程访问（Remote Assessment）

M **核查标准：**如：OECD DDG五步法；RMI RMAP审核协议；CRAFT Code v2.1；定制化核查要求

M **覆盖矿种：**如：钴；或3TG全矿种；或特定批次来源核查

M **地理范围：**核查地点坐标范围（尤其对矿区级核查）

M **M：重点核查项（必须明确列出）：**武装团体存在/税收证据；原料来源批次记录完整性；ASM/LSM混合情况；工人访谈（含匿名保护措施）；拒绝访问或信息限制记录

M **报告格式要求：**执行摘要；不符合项清单（分级）；证据附件；核查员APSCA认证编号（如适用）

M **数据共享权利：**核查结果是否可向客户共享？是否可上传至SEDEX/RMI平台？

M 核查期限与费用：[请填写]

5.3　供应商文件准备清单（按核查类型分）

以下文件清单应在核查开始前至少30天发送给供应商，并明确哪些须在现场核查日提供原件，哪些可提前电子传送。

A类：所有供应商基础合规文件

• 营业执照/企业注册证明（含统一社会信用代码）

• 采矿许可证/精炼厂运营许可证（如适用）

• 环境影响评估报告（政府批准版）及最近一次环境监测报告

• 税务登记证明及最近12个月纳税记录（核查是否向武装团体缴纳非法税款）

• 主要客户与供应商名单（近12个月交易量前10名）

• 最近一次独立审核报告（如有）及对应的整改计划执行记录

B类：冶炼厂/精炼厂专属矿产溯源文件

• 所有矿产来源供应商清单（含地址、营业执照编号、采购量）

• 每个来源供应商/矿山的尽职调查记录（采用何种工具？如何核查合规性？）

• CMRT（冲突矿产报告模板）最新版本，含所有来源冶炼厂/矿山信息

• 原料采购记录（进料单、出口报关单、产地证书）——须覆盖本次核查抽查批次的完整链条

• RMI RMAP审核报告或同等认可的合规证明（如有）

• 对CAHRA地区来源矿产的专项尽职调查文件（若有此类来源）

• 拒绝从非合规来源采购的书面政策及执行记录案例

C类：涉及ASM来源专属文件

• ASM合作协议或采购合同（含对ASM矿工/合作社的行为准则要求）

• CRAFT Code自评报告（如已完成）或委托第三方CRAFT评估的委托书及报告

• ASM矿区访问记录（日期、访问人员、发现摘要）

• 与ASM矿工的销售/采购收据（证明经济利益归属于矿工而非武装团体）

• 矿区地理坐标（用于与IPIS地图交叉核验）

D类：劳工合规组件文件

• 工人名册（含雇用类型：直接雇用/劳务派遣/承包商）

• 近3个月薪资发放记录（须包含加班费计算明细）

• 考勤记录（须与薪资记录交叉一致）

• 学生工/实习生名册及相关协议（如有）

• 招募合同及招募费用声明（证明无债务劳役）

• 安全培训记录、事故报告记录（近12个月）

• 工人代表/工会委员会会议纪要（近12个月）

5.4　现场核查观察员指南

核查前（提前1-2周）

• 通读委托书和核查标准，列出你最关注的3-5个关键问题

• 研究该供应商/矿区的公开背景信息（IPIS数据、HIIK地区评级、历史审核记录）

• 准备独立的观察记录表，记录时间线、地点顺序、接受访谈的工人特征等客观事实

核查中（关键观察点）

• 开场会议：核查机构是否明确告知供应商核查范围？管理层态度是配合还是设限？

• 文件核查阶段：观察员不干预，但记录核查员是否要求查阅B/C类文件，对缺失文件是否充分追问

• M 工人访谈（最关键观察点）：访谈是否在管理人员不在场的私密环境进行？访谈者是否使用工人母语？被访谈工人是随机选取还是管理层安排？内容是否涉及申诉渠道知晓度、工资准确性感知、是否自愿就业？

• 矿区/设施巡检：核查员是否访问了全部申请区域，还是某些区域被限制进入？独立记录限制访问的区域名称和理由。

• 如发现疑问，不要当场与供应商对质——在休息时向核查员私下反映，由核查员决定是否追加询问

核查后（报告阶段）

• 对比独立观察记录与核查机构报告草稿，若存在重要差异，以书面形式向核查机构提出，要求说明或修订

• 将核查报告中的不符合项与风险评分框架对照，判断是否需要调整该供应商的整体风险评级

第六章　核查后的风险缓解：整改、升级与负责任退出

大多数尽职调查工作流程在核查报告发出后陷入"静默"——整改计划发给供应商，内部无人跟踪。本章聚焦于如何把整改落到实处，以及在整改失败时如何作出升级决定。

6.1　整改行动计划（CAP）有效设计

• 每项不符合项必须区分"即时纠正（Correction）"和"系统性纠正措施（Corrective Action）"：前者处理已发生的问题（如向工人补发欠付工资），后者修复导致问题的管理漏洞（如建立工资核查机制）。仅做前者不能防止复发。

• 严重不符合项（如CAHRA矿产混入）的CAP须包含：临时暂停涉问题来源采购的生效时间、替代供应商开发计划、向上级管理层和必要时向监管机构的报告时限。

• M 时限标准：严重级<=30天；重大级<=60天；次要级<=90天。超过时限未关闭者，自动升级至高一级处理程序。

• 跟踪机制：每个CAP须指定内部跟踪负责人（非核查机构），并在系统中设置到期提醒。

6.2　分级应对策略

场景A：供应商意愿强，能力不足（最常见）

• 核心策略：能力建设支持。提供：文件记录模板（CMRT填报指导、批次追踪表格）；组织供应商培训；连接供应商与认证项目（如CRAFT评估机构）；提供一次"辅导复查"机会。

• 边界：若经过两个整改周期后能力仍显著不足，须评估是否为"无法改进"的系统性问题，考虑切换至能力更成熟的替代供应商。

场景B：供应商能力具备，但合规意愿存疑

• 红旗信号：文件准备充分但存在一致性矛盾；工人访谈与文件记录出入明显；对特定区域访问设限；回答模糊或转移话题。

• 策略：加强独立核查频率（年度改为半年度）；要求额外证明文件；采用不预告核查；考虑启用独立监察员进行平行访查。

场景C：极高风险或零容忍违规（强迫劳动、武装团体参与证明）

• 不适用整改流程——直接执行：立即暂停相关批次/供应商采购（48小时内书面确认）；通知内部法律顾问评估是否触发向监管机构的主动报告义务；记录全部决策依据。

• 若情况涉及人身伤害：评估是否须直接提供救济（Remediation）——包括支持受害方获取医疗/法律援助、提供经济补偿、协助其转移至安全环境。

6.3　负责任退出（Responsible Disengagement）

OECD DDG明确指出：突然切断与问题供应商的关系，可能使工人失去生计、社区失去经济基础，有时反而比继续存在并推动改进造成更大伤害。

• 发出足够提前的通知（建议>=90天，为工人准备替代就业提供时间；大型供应商考虑更长过渡期）

• 在通知期内仍继续支持供应商的整改工作（即使最终将退出）

• 若其他买方仍继续与该供应商合作，考虑在合法合规框架内协调传递改进要求

• 记录退出的全部依据，包括提供的改进支持、整改期限、以及供应商未达标的具体证据，以备监管机构询问

第七章　报告与利益相关方沟通

在CSDDD、LkSG和上市公司ESG披露监管框架下，对供应链尽职调查的实质性报告已具有法律强制性。本章关注的不是"报告应该包含什么"，而是"如何写出一份经得住追问的报告"。

7.1　内部报告体系

建立两层内部报告机制：运营层（月度/季度，面向采购/合规部门）和治理层（年度，面向董事会/ESG委员会）。运营层报告核心KPI建议：

• 供应商覆盖率：本季度已完成风险评估的直接供应商占总采购额的比例（目标：>=90%）

• 高风险供应商CAP按时关闭率（目标：严重级>=85%，重大级>=80%）

• 制裁命中事件：本季度识别的命中事件数量及处置状态

• 申诉处理：收到申诉数量、类别分布、平均处理时长

• 核查计划执行率：计划期内已完成核查占计划核查总数的比例

7.2　对外年度报告：让报告"经得住追问"

• M 必须披露：本年度识别到的最重要风险（不能只说"我们开展了风险评估"，要说识别到了什么）；已关闭的重大不符合项（案例摘要，脱敏处理）；尚未完全解决的风险及原因。

• M 必须披露：申诉机制的实际运行情况（收到多少申诉？类别分布？处理时限达标率？）

• 建议披露：供应链覆盖数据；核查活动数量（委托了多少次独立核查？覆盖哪些矿种/来源地区？）

**▌检验标准　**发布年度报告之前，尝试回答这个问题："如果一名记者拿到我们的报告，他/她能否据此判断我们是否真的认真开展了尽职调查？"如果答案是"不能"，报告的实质性不足。

7.3　向品牌客户/买方的沟通

• 理解CMRT的填报逻辑：CMRT不是在问"你用了什么矿"，而是追溯你产品中3TG矿产的来源路径，直至冶炼厂层面。如果产品不含3TG，应在CMRT第一页明确声明，而非留空。

• 对于"未知冶炼厂"：如确实无法追溯至冶炼厂，应如实填报"Unknown"，而非捏造一个看起来合规的冶炼厂名称。前者是透明度问题，后者是欺诈。

• 提前建立CMRT数据库：将供应商提交的CMRT数据整合至内部系统（详见第八章自动化建议），大幅降低年度填报的工作量。

7.4　欧盟企业可持续发展尽职调查指令（CSDDD）：对供应链实操的影响

欧盟《企业可持续发展尽职调查指令》（CSDDD，EU 2024/1760）于2024年7月正式生效，要求符合门槛的企业在整条价值链（包括上游供应商和下游分销商）开展强制性人权与环境尽职调查。本节聚焦于CSDDD对供应商（尤其是向欧盟供货的中国企业）的实际影响。

7.4.1　CSDDD的适用范围与分阶段时间表

CSDDD直接适用于欧盟企业，但通过合同义务向非欧盟供应商传导：

阶段	适用时间	适用企业	对供应商的传导效应
第一阶段	2027年7月	欧盟员工>5,000人且全球净营业额>15亿欧元的企业	这些买家须开展供应链DD并向供应商传递合规要求
第二阶段	2028年7月	欧盟员工>3,000人且净营业额>9亿欧元的企业	适用买家范围扩大，传导压力增加
第三阶段	2029年7月	欧盟员工>1,000人且净营业额>4.5亿欧元的企业	几乎所有主要欧盟进口商须履行义务

注：非欧盟企业（含中国企业）若在欧盟净营业额超过上述门槛，也须直接履行CSDDD义务。

7.4.2　CSDDD的六项核心义务

CSDDD要求企业建立并执行以下六项义务，这些义务与OECD五步DD框架高度对齐：

CSDDD义务	实操要求	对应OECD步骤
1. 将DD整合入公司政策	制定覆盖整条价值链的DD政策，每年审查	步骤1
2. 识别实际和潜在不利影响	对直接供应商开展全面DD；对间接供应商风险聚焦	步骤2
3. 预防潜在不利影响	与供应商签订包含DD义务的合同条款；提供能力建设支持	步骤3
4. 终止或减轻实际不利影响	设计整改行动计划（CAP）；对拒不整改供应商启动负责任退出	步骤3
5. 建立并维护申诉机制	为受影响方（工人、社区）提供可访问、保密的举报渠道	步骤3
6. 年度报告与公开披露	在官网公开发布DD年度报告；适用CSRD/ESRS的企业通过可持续发展报告履行	步骤5

7.4.3　中国供应商的应对优先项

对于向欧盟企业供货的中国制造商，以下准备工作优先级最高：

立即可做（0—6个月）：

核查现有劳工和环境合规文件（审核报告、CAP记录）是否满足买家新的CSDDD合同要求
预期买家将在采购合同中加入"代表和承诺"条款，要求供应商声明遵守ILO核心公约和特定环境标准
更新供应商SAQ，增加CSDDD要求的披露项（工资支付凭证、工时记录、环境许可证有效性）

中期建设（6—18个月）：

建立内部DD政策文件，参考本指南第1章模板
将SMETA/RBA审核周期与欧盟买家的CSDDD合规报告周期对齐
为次级供应商（T2）建立基础风险筛查能力，因CSDDD要求买家向供应链延伸

**与本系列的关系：**本套指南的六个专项领域（社会、环境、安全、IP、道德、尽职调查）合计覆盖了CSDDD要求评估的全部实质性风险类别。使用本套指南建立合规体系的企业，将能够向欧盟买家证明其已建立符合CSDDD精神的DD体系。

第八章　AI时代的尽职调查自动化：从人工驱动到智能体系

自动化不能替代尽职调查的核心判断，但可以将大量重复性、数据密集型工作从人工操作转移到系统执行，让合规团队的时间聚焦于需要判断力的决策点。

8.1　可以自动化 vs 不可以自动化

高度适合自动化

• 制裁名单与实体名单的周期性筛查（OFAC SDN、UFLPA、BIS Entity List、EU制裁名单均提供机器可读格式的批量下载）

• 公开数据库的周期性刷新（ACLED冲突数据、HIIK年度报告、RMI合规冶炼厂名单更新、CPI指数年度发布）

• 供应商风险评分的自动计算与更新（基于已设定的评分规则，每次数据更新后自动重新计算）

• 到期提醒与工作流触发（整改计划到期提醒、审核报告有效期预警、SAQ更新请求自动发送）

• CMRT数据汇总与格式转换

• 政策文件的条款变化预警（通过LLM监控OECD/EU/各国立法机构的官方更新并摘要推送）

不应完全依赖自动化

• 供应商整改计划的内容评估（是否实质性？根本原因分析是否准确？）

• 工人访谈和现场核查的质量判断

• 复杂案件的风险定性（如贸易商是否与武装团体存在实质性关联）

• 退出决定和救济行动的设计

8.2　公开数据的机器可读来源

• **制裁名单　**OFAC SDN名单：每日更新，XML批量下载。URL：https://www.treasury.gov/ofac/downloads/sdn.xml。可用Python的xml.etree库或pandas直接解析。

• **BIS实体名单　**US BIS Entity List：提供CSV/Excel下载，建议每月下载并与供应商数据库比对。

• **OpenSanctions　**OpenSanctions API（opensanctions.org/api/）：汇聚329个制裁来源，提供免费研究用API和商业批量筛查API，适合构建内部制裁筛查服务。

• **ACLED冲突数据　**ACLED API（acleddata.com）：免费注册后获取API密钥，可按国家、时间范围、坐标范围查询冲突事件。Python requests库可直接调用。

• **RMI RMAP名单　**RMI合规冶炼厂名单：RMI提供Excel格式下载，建议每季度下载并自动对比供应链冶炼厂清单，标记名单状态变化。

• **年度指数数据　**TI-CPI、FSI、Freedom House等年度指数均提供Excel/CSV下载。建议在指数年度发布后自动触发供应商风险评分重新计算。

8.3　自动化工作流架构建议

适合中等规模合规团队（3-10人）的自动化架构，无需大型IT投入：

• 数据层：建立中央供应商数据库（Airtable、Notion、或PostgreSQL）。字段包含：供应商基本信息、风险评分（各维度+综合）、审核状态、整改计划状态、上次更新时间。

• 数据刷新层：使用Python脚本（部署在GitHub Actions、AWS Lambda或任何定时任务服务）定期（每日/每周/每季度）下载和解析上述公开数据，更新供应商数据库中的相关风险因子。

• 风险计算层：将第四章的评分公式写成函数，每次数据刷新后自动重新计算综合风险得分，标记评分变化超过阈值（如单次变化>10分）的供应商，推送告警至合规团队邮件或Slack频道。

• 工作流层：使用Zapier、n8n（开源）或Power Automate等低代码工具实现：SAQ截止日期前15天自动发送提醒邮件；审核报告有效期前60天触发安排新审核的工作流；整改计划到期前10天向内部责任人发送提醒。

• LLM集成层（政策监控）：使用LLM定期分析OECD、欧盟立法网站、US Federal Register等来源的更新内容，提取与供应链尽职调查相关的法规变化摘要。LLM还可辅助起草政策更新草稿（人工审核后发布），将政策更新周期从数月缩短至数周。

8.4　AI工具在风险情报分析中的应用

• 新闻监测与摘要：配置LLM定期扫描Global Witness、Business & Human Rights Resource Centre、IPIS官网的最新报告，提取与你的供应商名单或采购矿区相关的信息，生成每周简报。

• CMRT数据提取：从供应商提交的CMRT Excel文件中自动提取冶炼厂列表，汇总为内部数据库格式，并自动与RMI合规名单进行对比，标记不在名单上的冶炼厂。

• 供应商回应一致性分析：将供应商SAQ回答输入LLM，识别内部矛盾（如薪资数据与工时数据不一致）、与行业普遍情况的偏差。LLM的分析作为辅助，最终判断由合规人员做出。

• 整改计划草稿生成：根据核查报告中的不符合项，使用LLM自动生成CAP初稿（含纠正措施建议和时限）。人工审核后作为与供应商沟通的起始文件，可将CAP制定时间从数天缩短至数小时。

**▌重要边界　**所有AI生成的分析和文件均须经过合规人员的实质性审核。特别是：制裁命中的最终确认、风险评级决定、以及整改计划的批准，须由具备资质的人员执行。AI是效率工具，不是决策主体。

8.5　商业平台 vs 自建系统的选择框架

• **适合商业平台　**初创合规体系（<500供应商，团队<5人）：优先使用Assent Compliance（矿产）或EcoVadis（综合ESG）等成品平台。主要考量：是否支持CMRT自动化收集？是否有中文支持？

• **混合方案　**成熟体系升级（500-5000供应商，有专职合规团队）：在商业平台基础上叠加自动化脚本（制裁名单刷新、风险评分自动计算）。IntegrityNext或Sphera可作为平台骨架，配合自定义的矿产溯源模块。

• **自建系统　**大型多品类供应链（>5000供应商或特殊行业需求）：考虑自建或深度定制的供应链情报系统，集成ACLED/RMI/OFAC数据管道，与ERP系统（SAP/Oracle）集成，实现采购决策与合规风险的实时联动。

第九章　完整工具资源索引

以下按类别汇总本指南涉及的所有公开工具和数据来源。

9.1　冶炼厂/精炼厂审核项目

RMI RMAP（3TG + 钴合规冶炼厂名单）** *https://www.responsiblemineralsinitiative.org/rmap/conformant-smelters-and-refiners/

-> 合规冶炼厂名单查询；了解哪些冶炼厂处于有效审核状态*

LBMA 负责任黄金精炼厂名单** *https://www.lbma.org.uk/responsible-sourcing/responsible-sourcing-gold/gold-refiners

-> 黄金精炼厂合规核查，与OFAC有联动机制*

RJC 认证成员查询（黄金/PGMs/钻石）** *https://www.responsiblejewellery.com/members/

-> 珠宝行业完整供应链认证查询，2024版COP/COC已于2025年1月生效*

9.2　矿山级认证项目

IRMA 认证矿区查询** *https://responsiblemining.net/irma-certification/certified-sites/

-> 工业矿山社会环境绩效认证，适用所有矿种（排除能源矿产），v2.0修订中*

Fairmined 认证矿组织名单** *https://fairmined.org/fairmined-certified-mines/

-> ASM黄金/白银/PGMs认证，最严格的ASM标准之一*

CRAFT Code v2.1（开源框架，CC BY-SA 4.0）** *https://www.craftmines.org/the-code/

-> ASM尽职调查评估框架，与OECD完全对齐，免费使用*

Fair Cobalt Alliance / Re|Source（钴积分+溯源）** *https://faircobaltalliance.org/

-> ASM钴供应链积分机制与区块链可追溯平台*

Alliance for Responsible Mining（ARM）— Fairmined总部** *https://www.responsiblemines.org/en/

-> ASM矿产负责任采购的最大推动机构*

9.3　冲突及高风险地区（CAHRA）识别工具

HIIK 冲突晴雨表（海德堡）** *https://hiik.de/conflict-barometer/?lang=en

-> 年度全球冲突分级，每年12月发布，用于设定CAHRA年度基线*

ACLED 武装冲突数据库（含API）** *https://acleddata.com/data/

-> 实时冲突事件，支持坐标查询，可与矿区位置叠加分析，免费注册使用*

Fund for Peace 脆弱国家指数（FSI，含Excel下载）** *https://fragilestatesindex.org/excel/

-> 国家脆弱性年度评分，用于地理风险评分*

IPIS 刚果盆地矿区互动地图（DRC/COG/CAR）** *https://ipisresearch.be/mapping/webmapping/drcongo/

-> DRC 2800+矿点武装活动记录，DRC供应链最关键的公开数据*

Global Witness 调查报告库** *https://www.globalwitness.org/en/campaigns/conflict-minerals/

-> 深度调查案例，提供具体冲突矿产交易链证据*

Enough Project — DRC矿产报告** *https://enoughproject.org/

-> 刚果民主共和国武装团体与矿产融资的深度调查*

9.4　制裁与实体名单（所有提供批量下载）

OpenSanctions（汇聚329个制裁来源，含API）** *https://www.opensanctions.org/

-> 免费研究；商业API批量筛查；推荐用于多名单同时筛查*

OFAC SDN名单（XML/CSV批量下载）** *https://www.treasury.gov/ofac/downloads/sdn.xml

-> 最重要的美国制裁名单，每日更新，支持批量自动解析*

US BIS Entity List（Excel下载）** *https://www.bis.doc.gov/index.php/policy-guidance/lists-of-parties-of-concern/entity-list

-> 美国出口管制实体名单，主要影响技术类商品*

UFLPA Entity List（DHS/CBP）** *https://www.dhs.gov/uflpa-entity-list

-> 新疆强迫劳动相关实体，持续新增，建议季度自动筛查*

EU财政制裁数据库（FSF）及制裁地图** *https://www.sanctionsmap.eu/

-> 欧盟制裁交互式地图；金融制裁数据库提供批量下载*

UN安理会制裁综合名单（XML下载）** *https://main.un.org/securitycouncil/en/content/un-sc-consolidated-list

-> 全球最低基准制裁名单，727个个人+273个实体*

CBP WRO/发现清单（美国强迫劳动扣留令）** *https://www.cbp.gov/trade/forced-labor/withhold-release-orders-and-findings

-> 美国海关扣留订单，产品级别的强迫劳动执法记录*

9.5　国家/地区风险指数

Transparency International CPI（含Excel下载）** *https://www.transparency.org/en/cpi

-> 腐败感知指数，年度发布，地理风险评分核心数据来源*

Freedom House 全球自由报告** *https://freedomhouse.org/report/freedom-world

-> 政治权利与公民自由年度评级，195个国家*

WJP 法治指数（含数据下载）** *https://worldjusticeproject.org/rule-of-law-index/

-> 143国法治水平量化数据，覆盖腐败、基本权利、监管执行等8个维度*

Walk Free 全球奴役指数** *https://www.walkfree.org/global-slavery-index/

-> 强迫劳动和现代奴役的国别估算，160个国家*

ITUC 全球劳工权利指数（年度）** *https://www.ituc-csi.org/global-rights-index

-> 年度工人权利保护评级，149个国家*

US DoL ILAB 商品清单（Excel下载）** *https://www.dol.gov/agencies/ilab/reports/child-labor/list-of-goods

-> 204件商品x82个国家的童工/强迫劳动清单，2024年大幅扩容*

9.6　矿种专属负责任采购项目

ASI — 铝行业管理倡议（认证实体查询）** *https://aluminium-stewardship.org/asi-certifications/certified-entities/

-> 铝全价值链认证*

CopperMark（铜/镍/锌/钼，认证参与方）** *https://coppermark.org/participants/

-> 矿区和精炼厂认证，覆盖30%+全球铜产量*

NickelMark（镍，CopperMark扩展）** *https://nickelinstitute.org/en/sustainability/esg/responsible-sourcing-and-esg-due-diligence

-> 镍供应链尽职调查框架，与CopperMark共用架构*

Responsible Mica Initiative（云母，印度/马达加斯加）** *https://responsible-mica-initiative.com/our-members/

-> 云母供应链认证，化妆品/汽车涂料行业必查*

ResponsibleSteel（钢铁，认证站点）** *https://www.responsiblesteel.org/find-certified-sites/

-> 钢铁全链认证，覆盖80+站点*

TI-CMC — 钨冲突矿产委员会** *https://www.ti-cmc.org/

-> 钨行业OECD合规验证机制*

Cobalt Institute 负责任采购标准（2021版）** *https://www.cobaltinstitute.org/responsible-supply-chain/

-> 钴精炼厂尽职调查标准*

LME 负责任采购要求（2025年4月起强制公开披露）** *https://www.lme.com/Sustainability-and-Physical-Markets/Sustainability/Responsible-sourcing

-> 主要金属交易所合规要求*

Global Battery Alliance — 电池护照** *https://www.globalbattery.org/battery-passport/

-> 电动汽车电池供应链全链可追溯，回应欧盟电池法规*

RJC — 负责任珠宝委员会（黄金/PGMs/钻石）** *https://www.responsiblejewellery.com/

-> 珠宝行业完整供应链标准，含Chain of Custody认证，2000+成员*

9.7　ESG与劳工评估平台

EcoVadis 供应商可持续性评级** *https://ecovadis.com/

-> 15万+企业评级，问卷+文件审查，非现场核查*

CDP 供应链项目** *https://www.cdp.net/en/supply-chain

-> 供应商环境数据披露，年度披露周期，4.5万+供应商参与*

Know the Chain 强迫劳动基准** *https://www.business-humanrights.org/en/from-us/knowthechain/

-> 电子/服装/食品行业公司尽职调查成熟度评分及最佳实践*

Business & Human Rights Resource Centre** *https://www.business-humanrights.org/

-> 企业人权相关新闻和案例的最大公开数据库*

CHRB — 企业人权基准（WBA）** *https://www.worldbenchmarkingalliance.org/benchmark/corporate-human-rights-benchmark

-> 100家公司的人权绩效基准评估，含供应链尽职调查指标*

9.8　自动化、AI与贸易数据工具

OpenSanctions API（制裁筛查API）** *https://www.opensanctions.org/api/

-> 329个制裁来源的统一API接口，免费（非商业）/商业版均可用*

ACLED API（实时冲突数据API）** *https://acleddata.com/data/

-> 按坐标/国家/时间范围查询实时冲突数据，免费注册使用*

Sourcemap — 供应链可视化与监控** *https://www.sourcemap.com/

-> 供应链地图绘制+卫星监控+AI欺诈检测*

Assent Compliance — 矿产合规自动化** *https://www.assent.com/

-> 矿产合规专属平台，CMRT收集与冶炼厂筛查自动化*

IntegrityNext — 多层供应链合规** *https://www.integritynext.com/

-> 500+采购团队使用，覆盖REACH/EUDR/冲突矿产/碳排放*

Sphera SCRM — 供应链风险管理** *https://sphera.com/solutions/supply-chain-risk-management/

-> 实时风险监控+AI预警，适合大型供应链*

Import Genius — 贸易数据分析** *https://www.importgenius.com/

-> 8M+企业贸易记录，验证供应商可信度和供应链关系*

Panjiva（S&P Global）— 供应链情报** *https://panjiva.com/

-> 9M+企业、30个数据来源的贸易记录，供应链可见度分析*

9.9　主要国际指南文件（仅列出，已广泛可获取）

OECD DDG for Responsible Business Conduct (2018)** https://mneguidelines.oecd.org/duediligence/OECD DDG for Responsible Supply Chains of Minerals (3rd Ed.)https://www.oecd.org/daf/inv/mne/OECD-Due-Diligence-Guidance-Minerals-Edition3.pdfUN Guiding Principles on Business and Human Rights (UNGPs)https://www.ohchr.org/sites/default/files/documents/publications/guidingprinciplesbusinesshr_en.pdfEU CSDDD官方文本（2024/1760）https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32024L1760德国LkSG官方执行指南（BAFA）https://www.bafa.de/DE/Lieferketten/lieferketten_node.htmlEU Battery Regulation（2023/1542）https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32023R1542UFLPA Strategy（DHS） **https://www.dhs.gov/sites/default/files/2022-06/2022_0617_CBP_UFLPA_Strategy.pdf

========================================================================

本指南为实操参考文件，不构成法律意见。请结合适用司法管辖区的法律顾问建议使用。随法规演进持续更新，最新版本以发布日期为准。

附录A　术语表（Glossary）

以下术语按字母/拼音顺序排列，涵盖本指南中使用的核心专业词汇及其英文原文、简要定义。

英文缩写/原词	英文全称	中文名称	简要定义
ACLED	Armed Conflict Location & Event Data Project	武装冲突地点与事件数据项目	收录200+个国家的实时政治暴力和冲突事件的全球数据库，可按地理坐标查询，支持API调用。
ARM	Alliance for Responsible Mining	负责任采矿联盟	推动手工及小规模采矿（ASM）合法化与负责任采购的最大国际机构，负责Fairmined认证的管理。
ASM	Artisanal and Small-Scale Mining	手工及小规模采矿	与工业化大规模采矿（LSM）相对，指个人或小型矿工群体采用简单工具和低技术手段进行的采矿活动，广泛分布于发展中国家，占全球黄金产量约20%、钴产量约15-25%。
ASI	Aluminium Stewardship Initiative	铝业管理倡议	铝供应链全链条（采矿→冶炼→加工→使用）的多方利益相关者认证项目，总部位于英国。
CAHRA	Conflict-Affected and High-Risk Areas	冲突及高风险地区	OECD DDG矿产指南中的核心概念，指存在武装冲突、广泛暴力、人权侵害或政府脆弱性的地区，来自这些地区的矿产采购需要更高水平的尽职调查。
CAP	Corrective Action Plan	整改行动计划	针对已识别的不符合项制定的书面改进计划，包含根本原因分析、纠正措施、责任人、完成时限和验证方式。
CDP	Carbon Disclosure Project	碳披露项目	全球最大的企业环境数据披露平台，供应链项目要求品牌买家向其供应商发送气候、水资源、森林等环境议题的问卷。
CMRT	Conflict Minerals Reporting Template	冲突矿产报告模板	由RMI开发的标准化供应链信息收集工具，用于追踪产品中3TG矿产的来源至冶炼厂/精炼厂层级，是电子行业最通用的尽职调查数据收集格式。
Commingling	混矿（英文原词）	混矿	将来自不同矿山或来源地的矿石/矿产混合为同一批次的做法，可能是合法的商业行为（规模效益），也可能是掩盖高风险来源的手段，使溯源变得困难。
Comptoir	（法语）矿石集散商/出口商	矿石集散商	在刚果民主共和国等中非地区，指收购ASM矿工矿石并集中出口的贸易中间商，通常持有出口许可证，是供应链信息流失的第一关键节点。
CopperMark	（同）	CopperMark认证	铜（及镍、钼、锌等）供应链的矿山和精炼厂层级ESG负责任采购认证项目，NickelMark是其针对镍的扩展项目。
CRAFT	Code of Risk-mitigation for ASM engaging in Formal Trade	ASM参与正规贸易风险缓解准则	ARM和RMI联合开发的开源框架（v2.1，2024年10月），专为ASM供应链设计，已与OECD DDG完全对齐，免费使用，是目前最实用的ASM尽职调查评估工具。
CSDDD	Corporate Sustainability Due Diligence Directive	欧盟企业可持续发展尽职调查指令	2024年欧盟通过的立法，要求大型企业对整条价值链开展人权和环境尽职调查，分阶段对欧盟企业及在欧盟有显著业务的非欧盟企业产生约束力。
DDG	Due Diligence Guidance	尽职调查指南	通常指OECD发布的《负责任商业行为尽职调查指南》（2018）或其矿产专项指南（2016，第三版），是全球最权威的供应链尽职调查方法论框架。
DRC	Democratic Republic of the Congo	刚果民主共和国	全球最主要的钴、钽、锡生产国之一，同时也是全球冲突矿产问题最集中的地区，其东部地区长期受到武装团体活动影响。
EcoVadis	（商业平台名）	EcoVadis供应商评级平台	基于问卷和文件审查的供应商可持续性评级平台，覆盖15万+企业，220个行业，180个国家，常被品牌方用于供应商ESG资质预审。
Entity List	（美国BIS）实体名单	实体名单	美国商务部工业与安全局（BIS）发布的出口管制清单，列入名单的企业在未经特别许可的情况下不得获得受控美国技术或商品。
Fairmined	（同）	Fairmined认证	ARM管理的ASM黄金、白银和铂族金属认证标准，要求矿区达到严格的社会、环境和劳工标准，是ASM矿产中认证门槛最高的项目之一。
FSI	Fragile States Index	脆弱国家指数	由Fund for Peace每年发布的国家脆弱性综合评分，覆盖12个指标，用于评估国家在政治、经济和社会层面面临崩溃风险的程度。
HIIK	Heidelberg Institute for International Conflict Research	海德堡国际冲突研究所	德国研究机构，每年发布《冲突晴雨表》，将全球365+项冲突按严重程度分为5级，是识别CAHRA地区的重要年度参考数据来源。
ILAB	US Department of Labor's Bureau of International Labor Affairs	美国劳工部国际劳工事务局	发布《由童工或强迫劳动生产的商品清单》（每2-3年更新），2024年版包含204件商品×82个国家的组合，是供应链风险识别的重要参考。
IntegrityNext	（商业平台名）	IntegrityNext供应链合规平台	覆盖多层供应链的ESG和合规管理平台，支持REACH、EUDR、冲突矿产、碳排放等多种法规合规管理，被500+采购团队使用。
IPIS	International Peace Information Service	国际和平信息服务	比利时研究机构，专注于刚果盆地（DRC、刚果共和国、中非共和国等）的矿产资源与冲突关系研究，提供2800+矿区的互动地图，是DRC矿产供应链最关键的公开数据来源。
IRMA	Initiative for Responsible Mining Assurance	负责任矿业保证倡议	对工业矿山开展综合社会和环境绩效第三方评估认证的国际多方利益相关者项目，v1.0发布于2018年，v2.0修订中（2025年公众咨询）。
ITUC	International Trade Union Confederation	国际工会联合会	代表全球9400万名工人的国际工会组织，每年发布《全球劳工权利指数》，对149个国家的工人权利保护状况评分，1分最好，5+分代表系统性违反权利。
KPI	Key Performance Indicator	关键绩效指标	用于衡量尽职调查管理体系有效性的可量化指标，如供应商覆盖率、CAP按时关闭率、制裁命中事件数等。
LBMA	London Bullion Market Association	伦敦黄金市场协会	管理全球主要黄金交易市场的行业协会，其《负责任黄金精炼厂名单》是黄金供应链负责任采购的核心认可名单，列入名单的精炼厂须通过年度合规审查。
LkSG	Lieferkettensorgfaltspflichtengesetz	德国供应链尽职调查法	2023年正式生效的德国供应链尽职调查法律，要求年营业额达到门槛的德国企业对其直接供应商开展人权和环境尽职调查，并对间接供应商的"具体线索"作出应对。
LSM	Large-Scale Mining	大规模（工业）采矿	使用机械化设备和正规雇佣关系的工业矿山，与ASM相对，通常持有政府颁发的采矿许可证，产量和记录完整度高于ASM。
OFAC	Office of Foreign Assets Control	美国财政部外国资产控制办公室	美国财政部下属机构，负责管理和执行经济与贸易制裁，发布《特别指定国民名单》（SDN），是全球影响力最大的制裁执法机构。
OpenSanctions	（开源项目名）	OpenSanctions开放制裁数据库	汇聚全球329个制裁来源的开源数据库，提供免费研究使用和商业API，是实现多名单同时筛查的最便捷工具之一。
OECD DDG	OECD Due Diligence Guidance	OECD尽职调查指南	见"DDG"词条。
RACI	Responsible, Accountable, Consulted, Informed	责任分工矩阵	项目管理和组织管理中用于明确各参与方在特定活动中角色的工具：R=负责执行、A=最终问责、C=需咨询、I=知情即可。
Relabeling	（英文原词）	标签替换/产地替换	将高风险来源地的矿产重新标记为低风险来源地的欺诈行为，常见于DRC及中非地区，是供应链尽职调查中需要重点识别的欺诈模式之一。
RJC	Responsible Jewellery Council	负责任珠宝委员会	珠宝行业的多方利益相关者认证机构，发布覆盖黄金、白银、铂族金属、钻石的《行为准则》（COP）和《监管链》（COC）标准，2000+会员企业，2024版标准于2025年1月生效。
RMI	Responsible Minerals Initiative	负责任矿产倡议	由负责任商业联盟（RBA）主导的矿产供应链尽职调查项目，运营RMAP（负责任矿产保证流程）——目前全球唯一被Dodd-Frank和OECD明确认可的3TG和钴冶炼厂/精炼厂审核项目。
RMAP	Responsible Minerals Assurance Process	负责任矿产保证流程	RMI开发的冶炼厂/精炼厂审核项目，对3TG（锡、钽、钨、金）和钴的冶炼厂实施第三方审核，通过审核的冶炼厂列入"合规冶炼厂名单"，是供应链溯源的重要验证工具。
RMI-Mica	Responsible Mica Initiative	负责任云母倡议	专注于印度和马达加斯加云母矿产（占全球供应60%+和第二大来源）的负责任采购认证项目，致力于消除云母供应链中的童工和不安全劳工条件，100+成员企业。
SAQ	Self-Assessment Questionnaire	供应商自评问卷	由采购方向供应商发送的标准化调查问卷，用于收集供应商在劳工、人权、环境、商业道德和矿产来源等议题上的自我评估信息，是供应链尽职调查信息收集的主要工具之一。
SCoC	Supplier Code of Conduct	供应商行为准则	采购方向供应商传递合规要求的核心文件，通常作为采购合同附件，规定供应商须满足的最低劳工、环境、道德和矿产溯源标准。
SDN	Specially Designated Nationals	特别指定国民名单	美国OFAC发布的制裁名单，列入名单的个人和实体的美国资产被冻结，美国人（含公司）被禁止与其开展业务。
Traceability	（英文原词）	溯源/可追溯性	追踪产品或原材料从生产来源到最终用户的全链条路径的能力。在矿产供应链中，溯源是尽职调查的核心技术要求，通常要求追踪至冶炼厂/精炼厂层级（OECD要求），理想情况下追踪至矿山层级。
TI-CPI	Transparency International Corruption Perceptions Index	透明国际腐败感知指数	每年发布的全球腐败感知排名，对182个国家进行0-100评分（100为最清廉），是评估供应来源地治理水平和合规风险的核心参考指标之一。
UBO	Ultimate Beneficial Owner	最终受益人	在一家企业或法律实体中，最终从中获益或实际控制的自然人。追踪贸易商和冶炼厂的UBO是识别隐藏的武装团体关联或制裁规避行为的重要手段。
UFLPA	Uyghur Forced Labor Prevention Act	维吾尔强迫劳动预防法	2022年在美国生效的联邦法律，对新疆生产或含有新疆成分的商品设立"强迫劳动可反驳推定"，进口商须证明供应链不涉及强迫劳动方可进口。
UNGPs	UN Guiding Principles on Business and Human Rights	联合国工商业与人权指导原则	2011年联合国人权事务高级专员办事处发布的框架性文件，确立了"国家保护、企业尊重、获得救济"三支柱框架，是OECD DDG和欧盟CSDDD的理论基础。
VB	Verification Body	核查机构	由委托方（买家）独立聘请的第三方机构，对供应商的合规状态进行现场或文件核查，并出具核查报告。区别于"审核机构"（Audit Firm，通常指针对工厂劳工合规的SMETA/RBA等审核），VB在矿产尽职调查中还需具备矿区访问和矿产供应链专业知识。
WRO	Withhold Release Order	扣留令	美国海关及边境保护局（CBP）颁发的行政命令，针对有合理理由认为涉及强迫劳动生产的特定产品，要求进口商证明供应链合规后方可放行，否则没收。

附录B　政策与文件完整样本

以下提供三份文件的完整填写样本，供读者参考实际文件的内容深度和表述风格。样本以一家假设的"中型出口制造商（电子行业，年营业额5亿元人民币，主要向欧美品牌供货）"为背景。请根据实际情况调整。

B.1　供应链尽职调查政策——完整填写样本

文件编号：DD-POL-001 v1.0

生效日期：2025年1月1日

批准人：首席执行官　李[姓氏]

下次审查日期：2026年1月1日

第一条　政策目的与承诺

[企业名称]（以下简称"本公司"）承诺在其供应链的全部层级中识别、预防、减轻并追责对人权、劳工权利、环境和商业道德产生的负面影响。本公司在此过程中遵循经济合作与发展组织（OECD）《负责任商业行为尽职调查指南》（2018）及联合国《工商业与人权指导原则》（UNGPs，2011）的方法论框架。

本政策在满足以下法律法规最低要求的同时，向更高标准靠拢：中国《企业境外经营合规管理指引》（商务部，2021年）；美国《维吾尔强迫劳动预防法》（UFLPA，2022年，适用于向美国出口的产品）；德国《供应链尽职调查法》（LkSG，2023年，适用于为德国客户生产的产品）；欧盟《企业可持续发展尽职调查指令》（CSDDD，2024年，适用于向欧盟客户供货的业务）。

当本政策的要求与所在国法律规定存在差距时，本公司遵守较高标准。

第二条　适用范围

主体范围：本政策适用于本公司全体员工（含正式员工、劳务派遣人员）及在本公司名义下开展采购活动的第三方代理。

供应链范围：优先覆盖本公司的直接供应商（第一层级，占年采购额90%以上的直接供应商须完成本政策要求的全部尽职调查程序）；以下情况须延伸至第二层级及原材料来源：采购3TG矿产（锡、钽、钨、金）或钴相关材料；采购存在已知强迫劳动风险的农业产品（棉花、云母）；接到客户关于特定供应商或原材料来源的尽职调查要求。

议题范围：强迫劳动（含债务劳役、强制招募、人口贩卖）；童工（工业环境中不低于18岁）；不安全工作条件及职业伤亡；强制性或过度超时工作；任何形式的就业歧视；结社自由与集体谈判权的剥夺；贿赂、腐败及商业欺诈；土地权利侵害及强制迁徙；有毒有害物质违规排放及污染；非法采矿及武装团体控制矿山产品的采购。

第三条　尽职调查流程

本公司依照OECD DDG五步法开展持续性供应链尽职调查：

• 第一步　建立管理体系：维持本政策及配套文件（SCoC、SAQ、风险评估方法论、申诉程序）的有效性；指定内部责任人；确保尽职调查资源预算。

• 第二步　识别与评估风险：每年对直接供应商群体开展系统性风险评估；收集SAQ数据；交叉核验第三方公开数据库（详见《供应商风险评估程序》DD-PROC-002）。

• 第三步　制定并实施应对措施：对识别出的风险制定整改行动计划（CAP）；提供供应商能力建设支持；对高风险供应商委托第三方核查；对无法整改的重大违规启动退出程序。

• 第四步　追踪执行效果：每季度审查CAP执行状态；每年开展尽职调查体系有效性评估；向高管层报告KPI指标。

• 第五步　对外沟通与披露：每年发布供应链可持续发展报告；向品牌客户提供CMRT及相关尽职调查信息；向监管机构履行强制报告义务（如适用）。

第四条　供应商要求

所有供应商须在开始合作前签署《供应商行为准则》（SCoC，文件编号DD-COC-001）并承诺遵守。SCoC作为采购合同的法律约束性附件，违反SCoC的行为视为对采购合同的重大违约，本公司有权立即暂停采购或终止合同。

供应商须配合本公司依本政策开展的以下活动：每年填报《供应商尽职调查问卷》（SAQ）并提供证明文件；接受本公司或其授权的第三方核查机构的现场或远程评估；对识别出的不符合项制定并执行整改计划；对于矿产相关供应商，须额外遵守《矿产负责任采购补充要求》（DD-PROC-003），包括提供CMRT报告及证明冶炼厂RMAP合规状态。

第五条　责任归属与治理架构

合规管理部（Compliance Department）为本政策的日常执行责任部门，具体职责包括：供应商风险评估协调；SAQ收集与初步核查；第三方核查委托与管理；整改计划追踪；年度报告准备。

采购部（Procurement Department）负责将尽职调查要求纳入供应商准入和续约决策，并向合规管理部传递供应商风险信号。

供应链可持续发展委员会（跨职能，由采购、合规、法务、质量、财务代表组成）每季度召开一次，审查尽职调查进展并做出高风险供应商处置决策。委员会向首席执行官汇报，首席执行官向董事会ESG委员会负责。

第六条　举报渠道与申诉机制

任何供应链工人、社区成员、供应商员工或本公司内部员工均可通过以下渠道提交与本政策相关的申诉或举报：

举报邮箱：supply-ethics@[公司域名].com（中英双语，24小时接收）

举报电话：[电话号码]（工作时间接听）

匿名举报平台：[平台链接]（支持完全匿名提交，系统不记录IP）

本公司承诺：收到申诉后5个工作日内进行初步回应；重大申诉在30个工作日内完成调查和处理；全程保护举报人免受任何形式的报复；不将举报人信息泄露给被举报方。申诉处理结果将以匿名汇总形式纳入年度尽职调查报告。

**▌样本说明　**以上样本约650字（中文），对应实际政策文件建议长度（单独政策文件建议1500-3000字，包含更详细的程序描述）。注意：本样本中的空白处（如电话号码、公司名称）须在实际文件中填写完整后方可发布。发布前须经法律顾问审核以确保与所在地法律要求一致。

B.2　供应商矿产溯源申报表——完整填写样本

文件编号：DD-FORM-003　供应商矿产溯源申报表（3TG + 钴）

申报周期：年度（截止日期：每年1月31日，申报上一日历年数据）

提交方式：通过供应商门户系统上传（portal.[公司域名].com），或发送至supply-minerals@[公司域名].com

第一部分　供应商基本信息

供应商名称（中文全称）：[____________________]

统一社会信用代码（或境外营业执照编号）：[____________________]

主要产品类别（与本公司交易）：[____________________]

联系人姓名及职务：[____________________]

联系人邮箱及电话：[____________________]

申报日期：[____________________]

第二部分　产品矿产成分申报

问题1：贵司向本公司供应的产品中，是否含有以下矿产成分（含以合金、化合物或其他加工形式存在的成分）？请在对应矿种的"是/否/不适用"选项中勾选：

□ 锡（Tin，Sn）及其化合物（如焊锡、镀锡层、氧化锡等）是 □ / 否 □ / 不适用 □

□ 钽（Tantalum，Ta）及其化合物（如电容器用钽粉、氧化钽等）是 □ / 否 □ / 不适用 □

□ 钨（Tungsten，W）及其化合物（如硬质合金、钨丝等）是 □ / 否 □ / 不适用 □

□ 金（Gold，Au）及其合金（如镀金层、金丝、金焊料等）是 □ / 否 □ / 不适用 □

□ 钴（Cobalt，Co）及其化合物（如电池正极材料、硬质合金、涂料等）是 □ / 否 □ / 不适用 □

如以上所有矿种均回答"否"或"不适用"，请在此签署声明后提交：本人/单位声明，上述产品中不含任何3TG或钴成分，如有误报，愿承担相应法律责任。签名：[]，日期：[]，并跳过第三至五部分，直接提交本表。

第三部分　冶炼厂/精炼厂信息（针对第二部分回答"是"的矿种，每种矿产填写一个表格，如涉及多家冶炼厂，请复制行填写）

锡（Tin）冶炼厂信息表：

冶炼厂/精炼厂全名（英文）：[____________________]

冶炼厂所在国家：[____________________]

RMI RMAP状态：已通过(Active) □ / 进行中 □ / 未参与 □ / 不知道 □

如RMI已通过，RMAP ID号：[____________________]

如未通过，请说明该冶炼厂的合规状态及你如何核查其来源：[____________________]

（注：其余矿种金/钽/钨/钴格式相同，此处省略）

第四部分　原产地及来源声明

问题2：上述矿种原料的主要来源国（来源矿山所在国，而非冶炼厂所在国）：[____________________]

问题3：上述来源国中，是否包含任何CAHRA（冲突及高风险地区）？参考标准：HIIK冲突等级3级及以上，或OECD认定的高风险地区。

是 □（请在第五部分提供进一步信息）/ 否 □

第五部分　CAHRA来源专项说明（仅当第四部分问题3回答"是"时填写）

问题4：请描述贵司针对CAHRA来源矿产所采取的尽职调查措施（可多选）：

□ 已要求上游供应商完成CRAFT Code自评并提供报告

□ 已委托第三方机构对矿区开展现场独立评估

□ 已核查矿区坐标与IPIS数据库，确认矿区未被列为武装团体控制区域

□ 正在向RMAP合规来源过渡，预计完成时间：[____]

□ 其他（请描述）：[____________________]

第六部分　声明与签署

本单位声明，以上填报信息真实、准确、完整，如有虚报、误报，本单位承担相应违约责任，并支持供需双方合同中关于信息不实处理的相关条款。本单位同意本公司将本表中涉及冶炼厂名称及RMAP状态的信息，在去除本单位商业敏感信息后，上传至RMI数据平台或向品牌客户披露（以满足品牌客户的尽职调查要求）。

授权签字人姓名：[]　职务：[]　签名：[____]　日期：[________]

加盖单位公章：（请盖章）

B.3　整改行动计划（CAP）——完整填写样本

以下为针对一项典型"重大不符合项"的CAP样本：供应商使用了一家未在RMI RMAP合规名单上的锡冶炼厂。

整改行动计划（CAP）

文件编号：CAP-2025-032　发起日期：2025年3月15日

供应商名称：[XXXXX有限公司]　供应商ID：SUP-0078

关联核查报告：DD-RPT-2025-028（核查机构：[核查机构名称]；核查日期：2025年3月10日）

本公司内部跟踪负责人：王[姓氏]，采购合规专员，wang@[公司域名].com

【不符合项描述】

供应商在其提交的CMRT报告中申报了一家名为"[冶炼厂名称]"（所在国：印度尼西亚）的锡冶炼厂，用于向本公司供应的[产品名称]中的焊锡成分。经核查，该冶炼厂未出现在RMI RMAP最新版合规冶炼厂名单上（查询日期：2025年3月14日）。供应商无法提供该冶炼厂通过任何等效认可项目审核的证明文件。

【关联标准条款】

OECD DDG矿产指南第三步（设计并实施风险应对策略）；供应商行为准则第6.2条（矿产来源合规要求）；本公司《矿产负责任采购补充要求》（DD-PROC-003）第4.1条。

【严重程度分级】

■ 重大（Major）——该冶炼厂RMAP状态未知，存在矿产来源不符合OECD DDG要求的风险，但尚无直接证据证明其矿产来自CAHRA地区；若确认来自CAHRA地区，则升级为"严重（Critical）"。

【根本原因分析】

供应商在选择冶炼厂供应商时未建立"RMAP状态核查"程序，仅依赖报价和供货能力选择供应商，导致将未通过RMAP的冶炼厂纳入采购来源。根本原因为：（1）供应商采购政策中未明确RMAP合规性要求；（2）采购决策流程中无RMAP状态审查步骤。

【即时纠正（Correction）】

（针对已发生情况的立即处置）

行动1：本公司立即暂停接受来自该冶炼厂来源的相关产品批次，直至供应商提供合规来源证明或完成整改。

责任人：本公司采购部王[姓氏]　完成时限：2025年3月18日（立即执行）

行动2：供应商须在5个工作日内提供书面说明，确认该冶炼厂是否正在参与RMAP审核，预计完成时间，以及是否有替代的已通过RMAP的冶炼厂可使用。

责任人：供应商[联系人姓名]，采购总监　完成时限：2025年3月22日

【系统性纠正措施（Corrective Action）】

（针对导致问题的管理漏洞的系统性改进）

行动3：供应商须将RMAP合规性核查纳入冶炼厂选择程序，具体措施：修订《采购管理规程》中的供应商资质审查清单，加入"冶炼厂RMAP状态核查（3TG/钴）"步骤；指定专人负责每季度核对现用冶炼厂与RMI合规名单，并记录核查结果。

责任人：供应商[联系人姓名]，采购总监　完成时限：2025年5月15日

行动4：若该冶炼厂在60天内仍未能提供RMAP合规证明，供应商须切换至RMI合规名单中的替代冶炼厂，并在切换完成后5个工作日内提交更新版CMRT报告。

责任人：供应商[联系人姓名]，采购总监　完成时限：2025年5月15日（若触发此项）

【验证方式】

行动3的验证：本公司合规部将通过文件审查（要求供应商提供修订后的《采购管理规程》及首次RMAP状态核查记录）进行验证，2025年5月20日前完成。

行动4的验证（如触发）：本公司合规部将核查更新版CMRT报告，确认新冶炼厂在RMI合规名单上，2025年5月22日前完成。

【当前状态】

□ 开放（Open）　□ 进行中（In Progress）　□ 已关闭（Closed, verified）

关闭日期：[待填写]　关闭确认人（本公司）：[待填写]

附录C　尽职调查最佳实践——从实践中提炼的经验

以下最佳实践是从供应链尽职调查实践中提炼出的高价值操作经验，以正向方式呈现。每条建议的背后，都有真实的实践案例支撑。

C.1　政策体系建设阶段的最佳实践

BP-01　先行动，后完善：90天发布可用版本

最佳做法：设定"可用即发布"的标准，而非"完美再发布"。一份覆盖核心要素、措辞清晰但尚未完善细节的v1.0政策，比一份花费18个月反复讨论修改、最终仍未发布的完美政策有效得多。政策的价值在于执行，而不在于文本的精致程度。

建议实施：设定发布倒计时（建议90天），在此日期前完成内部批准并向供应商正式传达v1.0版本，即使尚未涵盖所有边缘场景。在第12个月进行正式年度审查时，可根据实践经验升级至v2.0。

BP-02　将政策要求转化为合同义务

最佳做法：负责任采购政策只有在采购合同中得到法律约束力时，才能产生真正的约束效果。在所有采购合同（新签及续签）中增加以下类型的条款：供应商须遵守《供应商行为准则》（作为合同附件）；重大违规（强迫劳动、数据造假）构成立即终止合同的理由；买方有权委托第三方核查并要求供应商配合；供应商须将等效要求传递至其直接供应商。

建议实施：与法律顾问合作，将上述四项内容纳入标准采购合同模板，对现有供应商在下次续约时补签。新供应商准入时一律适用新模板。

BP-03　RACI矩阵须针对具体活动，而非通用职责描述

最佳做法：有效的RACI矩阵是针对"具体可执行活动"的责任分配，而非笼统的部门职责描述。"采购部负责供应链合规"是无效的；"采购部负责在供应商准入审批表上完成RMAP状态核查"才是有效的。将每项尽职调查活动分解至可执行步骤，再为每一步骤分配R/A/C/I角色。

C.2　供应链信息收集阶段的最佳实践

BP-04　SAQ的"一致性验证问题"提高数据可信度

最佳做法：在SAQ中设计同一信息的多角度交叉验证问题，可以在不增加审核成本的情况下大幅提高数据可信度。例如：在问"月最低工资"之后，再问"工时最少的工人的月薪资"——两个问题的答案应高度一致；在问"是否有实习生"之后，再问"是否与职业院校有合作协议"——若前者回答"否"而后者回答"是"，存在明显矛盾，值得追问。

BP-05　优先收集"批次级"溯源数据而非"企业级"声明

最佳做法："我们公司不采购来自CAHRA地区的矿产"是无法核验的企业级声明；"本次供货批次（批次号：XXXXX，日期：2025年Q1）的锡来自以下冶炼厂，RMAP状态如下"是可核验的批次级数据。应在SAQ和文件请求中，尽量将问题导向特定批次的具体信息，而非宽泛的政策承诺。

BP-06　向贸易商要求"贸易关系链证明"而非仅来源声明

最佳做法：贸易商的"来源声明信"（Letter of Origin）是最容易伪造的文件之一。更难伪造的是：出口报关单（显示出口国海关记录）、进口清关记录（显示进口商和进口港口）、矿产买卖合同（显示买卖双方的法律名称和地址）。要求贸易商提供这些"关系链证明"，而非仅凭一封信件声明来源。如需要进一步核验，可使用Panjiva或Import Genius等贸易数据平台交叉验证实际贸易记录。

C.3　风险评估阶段的最佳实践

BP-07　用"坐标验证"替代"地名声明"核查CAHRA状态

最佳做法：供应商声称的矿区"位于卡坦加省南部低风险地区"，你无法仅凭地名判断。真正有效的核查是：要求供应商提供矿区GPS坐标（精度到秒，即0.001度级别），然后在IPIS互动地图中定位该坐标，查看其周边地区是否有武装团体活动记录；同时在ACLED中查询该坐标周边50公里范围内的事件记录。这两步操作每次约需15分钟，但提供的信息质量远高于任何声明文件。

BP-08　将"制裁名单筛查"从年度任务改为季度自动任务

最佳做法：供应商关系是长期的，但制裁名单是动态更新的——2024年11月UFLPA Entity List单次新增29家实体。对现有供应商"进入时筛查一次"无法应对名单的动态变化。将制裁名单筛查升级为季度自动任务（利用OpenSanctions API或下载OFAC XML文件的Python脚本），并设置在名单新增条目时的即时告警。成本：低（可用OpenSanctions免费API + GitHub Actions定时脚本实现）；收益：高（避免因持续与被制裁方交易导致的法律风险）。

BP-09　区分"国家风险"与"供应商特定风险"

最佳做法：来源国整体风险高（如DRC地理风险20/20），并不意味着来自该国的所有供应商风险均相同——一家在南部加丹加省持有RMAP认可的工业矿山，其实际风险远低于一家在东部北基伍省无法溯源的贸易商。在地理风险高的背景下，更需要精细化评估供应商在该国的具体位置、操作模式和合规状态，而非简单将所有来源于高风险国家的供应商一刀切标记为高风险。

C.4　核查与整改阶段的最佳实践

BP-10　核查委托书须明确列出"最关键核查项"

最佳做法：在委托核查机构前，以书面形式列出你认为最关键的3-5个核查重点（而非仅写"请按OECD DDG开展核查"）。例如：重点核查此供应商是否使用了CRAFT Code自评中识别的问题矿区的矿产；重点核查是否有证据显示矿产产量超过采矿许可证申报量；重点核查工人访谈中是否有关于招募费用的陈述。这样的具体要求能使核查机构更有针对性地分配时间，而非平均用力于低风险议题。

BP-11　使用"双重独立验证"处理高度矛盾的核查结果

最佳做法：当核查机构的报告结论与已知风险信号高度矛盾（如IPIS显示该矿区存在武装团体活动，但核查机构报告结论为"无重大不符合项"）时，应考虑委托第二家独立机构进行平行访查（Parallel Verification）。这在成本上较高，但在高风险决策（如是否继续维持采购关系）面前，双重独立验证提供的信息价值远高于成本。

BP-12　将CAP根本原因分析作为能力建设的起点

最佳做法：一份优质的CAP根本原因分析，往往直接指向企业能力建设的需求方向。如果多个供应商的同一类不符合项的根本原因都是"缺乏CMRT填报培训"，这意味着你应该组织针对该议题的集体培训，而非对每个供应商单独指导。通过归纳分析CAP根本原因的共性，可以将分散的个案整改转化为系统性的供应链能力提升计划，成本效率大幅提高。

C.5　报告与披露阶段的最佳实践

BP-13　"不利信息的透明披露"是建立信任的最有效手段

最佳做法：在供应链年度报告中，主动披露"本年度识别到了哪些风险、我们如何应对、尚未解决的问题是什么"，比回避不利信息的"亮点汇报"更能建立客户、投资者和监管机构的信任。品牌客户和ESG评分机构（如EcoVadis、Sustainalytics）在评估供应商尽职调查成熟度时，倾向于给予透明披露不利信息的企业更高的成熟度评分，因为这表明企业真正在运行尽职调查流程。

BP-14　年度CMRT提交前，先内部验证数据一致性

最佳做法：在向品牌客户提交年度CMRT报告前，花30-60分钟进行内部一致性核查：检查所有列出的冶炼厂名称拼写是否与RMI官方名单一致（拼写差异会影响买方的自动核查系统）；确认RMAP状态是否为最新状态（每季度更新）；核查有无重复出现的冶炼厂或明显遗漏的重要来源。这30分钟的准备工作可以避免买方因数据质量问题要求你重新提交，并展示你的数据管理专业度。

C.6　AI与自动化阶段的最佳实践

BP-15　自动化应从"最高ROI的单点任务"起步

最佳做法：不要试图一次性自动化整个尽职调查流程——这会因为系统复杂性高而难以维护。从ROI最高的单点任务开始：制裁名单自动筛查（每季度自动下载+比对，节省每次人工操作3-4小时）和RMI合规冶炼厂名单自动比对（每季度自动下载+与CMRT数据比对，节省每次人工操作2-3小时）。这两项自动化的合并实施时间约2-3个工作日，但每年可节省约30-40个人工小时，且显著提高及时性和准确性。在这两项稳定运行后，再逐步扩展至其他自动化任务。

BP-16　LLM辅助起草，但须明确"审核门槛"

最佳做法：使用LLM（如Claude API）辅助起草政策文件和整改计划草稿时，建立明确的"人工审核最低要求"清单，确保每份LLM生成的文件在发布前都经过针对该清单的逐项核查。清单至少包含：所引用的法规名称和条款是否准确？供应商具体信息是否已正确填入（而非使用LLM的模板占位符）？整改时限是否符合实际情况（而非LLM生成的通用建议）？文件签字栏是否完整？将这份清单作为固定的审核流程，既保留了LLM的效率优势，也确保了文件的法律可靠性。

========================================================================

本指南为实操参考文件，不构成法律意见。请结合适用司法管辖区的法律顾问建议使用。随法规演进持续更新，最新版本以发布日期为准。

补充章节　欧盟电池法规（EU Battery Regulation 2023/1542）供应链尽职调查与合规实操

本章是对原指南的重要补充。欧盟电池法规（EUBR）已于2023年8月正式生效，并进入分阶段强制执行期。对于向欧盟市场销售或供应含锂、镍、钴、锰、天然石墨电池产品的中国制造商、品牌商及其供应链，EUBR已成为最紧迫的新增合规义务之一。本章重点覆盖实操层面，不重复OECD DDG基础内容（见原指南各章）。

▌ 2025年2月起，在欧盟市场销售的EV****动力电池和工业电池必须附带碳足迹声明（Carbon Footprint Declaration）。已进入强制执行期，不是未来计划。

E1　法规概览与分阶段执行时间表

EU Battery Regulation（Regulation (EU) 2023/1542）取代了2006年电池指令，将动力电池、工业电池和便携式电池的整个生命周期纳入监管，涵盖：碳足迹、尽职调查、再生材料含量、电池护照、终端处理。

以下是各类电池的主要合规节点：

生效日期	适用电池类型	合规要求	对中国供应链的影响
2023年8月17日	全部	法规正式生效；旧电池指令废止	开始准备合规体系
2024年2月18日	EV电池、工业电池（>2kWh）、SLI电池	开始适用碳足迹法规授权条例	启动LCA数据收集
2025年2月18日	EV电池、工业电池（>2kWh）	碳足迹声明（CFD）强制附随产品尽职调查政策强制要求	✦ 已进入执行期
2025年8月18日	EV电池、工业电池（>2kWh）	碳足迹绩效等级（A-E）标注	碳足迹必须达到特定等级
2026年2月18日	EV电池、工业电池（>2kWh）	电池护照（Battery Passport）强制启用	供应链全链数据采集截止
2027年8月18日	便携式电池（>500Wh）	碳足迹声明强制尽职调查政策强制	扩大至消费电子电池
2027年2月18日	全部电池	再生材料最低含量要求（Co 16%、Li 6%、Ni 6%、Pb 85%）	供应商原材料来源须可追溯

E2　EUBR尽职调查义务：具体要求与OECD DDG的关系

E2.1　EUBR尽职调查的矿种范围

EUBR尽职调查范围不限于3TG，覆盖所有与电池相关的责任矿产：

矿种	化学符号	主要来源国	主要风险
钴（Cobalt）	Co	刚果（金）为主	ASM童工风险突出；RMAP/CRT适用
天然石墨（Natural Graphite）	C	中国约占65%产量	新疆UFLPA风险；马达加斯加童工风险
锂（Lithium）	Li	智利/阿根廷水权冲突	玻利维亚社区权益
镍（Nickel）	Ni	印度尼西亚/菲律宾环境风险	俄罗斯制裁风险
锰（Manganese）	Mn	南非/加蓬	矽肺病职业健康风险
铜（Copper）	Cu	智利/秘鲁/刚果金	部分EUBR产品链涉及

E2.2　EUBR vs. OECD DDG：两者如何叠加

EUBR的尽职调查义务与OECD DDG高度对齐但不完全相同。理解两者的差异有助于避免重复建立体系：

维度	OECD DDG	EUBR补充要求
矿种范围	3TG + 延伸矿种（各国监管差异）	钴、天然石墨、锂、镍、锰（法定范围）
尽职调查框架	5步循环（可选基准）	法规授权条例规定具体格式（强制）
溯源深度	至冶炼厂/精炼厂层	至采矿层（Battery Passport要求）
碳足迹	未涵盖	碳足迹声明+绩效等级（强制）
电池护照	未涵盖	2026年起强制，含全链溯源数据
再生材料	未涵盖	最低再生含量要求（2027年起）
公开报告	建议年度报告	通过电池护照系统强制公开
执法机构	非强制	EU成员国市场监管机构+CE认证

▌ 建议：以OECD DDG 5步循环为内部管理框架，在此基础上叠加EUBR****特定要求（碳足迹、电池护照、再生含量），而非建立两套独立体系。

E3　碳足迹声明（Carbon Footprint Declaration, CFD）实操指南

E3.1　CFD要求什么

碳足迹声明须覆盖电池从原材料开采到出厂交付的全生命周期碳排放（Cradle-to-Gate），以kg CO₂e/kWh（电池容量）为单位，遵循ISO 14067:2018和欧盟授权条例中的PEF（产品环境足迹）方法。

原材料开采与加工（含矿山、冶炼、精炼阶段的碳排放）
正极材料、负极材料、电解液、隔膜的制造
电池单体（Cell）制造
电池包（Pack）组装
运输至客户的物流排放 **▌ **关键点：碳足迹声明所需的原材料来源数据与尽职调查所需的供应链溯源数据高度重叠。建议统一数据收集流程，避免向同一供应商重复发送问卷。

E3.2　数据收集：向供应商需要什么

以下是编制CFD所需的供应商数据清单（与尽职调查数据收集合并进行效率最高）：

数据项目	具体内容	优先级
原材料来源	矿山/矿区名称、国家、GPS坐标（用于碳排放系数查找）	必填
开采方式	LSM/ASM；露天/地下；能源来源（煤/电/混合）	必填
冶炼/精炼能耗	每吨产品的能耗（MWh/t）；能源结构（可再生占比）	必填
运输方式	海运/空运/陆运；运输距离（km）	必填
工厂用电碳排因子	所在国/区域电网碳排因子（gCO₂e/kWh）	建议
包装材料	包装重量、材质	次要

E3.3　碳足迹绩效等级（A–E）说明

2025年8月起，EV电池和工业电池须标注碳足迹绩效等级（A为最优，E为入市门槛）。等级阈值由欧盟委员会基于市场数据每三年更新一次。

▌ 目前等级阈值尚未最终发布（预计2025****年中）。建议现阶段先完成碳足迹数值计算，等级标注待阈值确认后补充。

E4　电池护照（Battery Passport）：2026年准备指南

E4.1　电池护照是什么

电池护照是一个数字化数据载体（通过二维码/RFID访问），随每块电池（>2kWh EV电池和工业电池）进入欧盟市场。护照包含电池的全链信息，供监管机构、回收商、终端用户查验。

E4.2　电池护照须包含的数据字段

数据类别	具体字段	状态
基本信息	电池型号、容量（Ah）、电压、制造商、序列号、制造日期	强制
碳足迹	CFD值（kg CO₂e/kWh）、绩效等级、生命周期阶段分解	强制
再生材料含量	钴/锂/镍/铅的再生含量百分比	强制（2027年起）
供应链溯源	原材料来源国、矿山名称/坐标（至采矿层）	强制
尽职调查	尽职调查政策文件链接、SoR列表、RMAP合规状态	强制
电池状态	使用历史、充放电次数、剩余容量（State of Health）	强制（使用阶段）
有害物质	危险物质含量、RoHS合规声明	强制
制造商联系	技术支持、保修、回收渠道	强制
安全信息	运输安全等级、储存要求	强制

E4.3　供应链数据采集路线图（为电池护照做准备）

电池护照要求的溯源深度超过CMRT（至采矿层，不仅是冶炼厂层）。以下是2025-2026年的准备路线：

2025 Q1-Q2：完成EUBR矿种（Co、Li、Ni、Mn、石墨）的Tier 1供应商数据问卷，获取SoR名单和来源国
2025 Q3：向SoR层（精炼厂/冶炼厂）延伸，收集矿山层级来源数据；对高风险来源委托IPIS/第三方现场核查
2025 Q4：完成碳足迹计算（Cradle-to-Gate），准备CFD文件
2026 Q1：完成电池护照数字系统对接（对接欧盟电池护照注册平台或认可的第三方平台）
2026 Q2（2026年2月强制执行前）：完成护照数据上传，通过CE认证机构合规核查 ▌ 关键风险：SoR层往往由贸易商控制，贸易商不愿披露矿山层级信息。建议在2025****年合同续签时将矿山来源披露作为合同条款纳入采购协议。

E5　再生材料最低含量要求（2027年/2031年）

EUBR要求电池中的关键矿产必须达到最低再生材料含量比例，分两阶段执行：

矿种	2027年目标（%）	2031年目标（%）	实操挑战
钴（Co）	16%	26%	回收钴供应有限；需建立回收来源证明链
锂（Li）	6%	12%	回收锂技术成本高；二次电池来源需证明
镍（Ni）	6%	15%	回收镍质量标准需与原生镍对齐
铅（Pb）	85%	85%	铅酸电池已有成熟回收体系，相对可达

实操建议：现阶段（2025年）先建立再生材料供应商名单和来源证明体系，为2027年目标做好数据基础。再生材料来源需提供可靠的回收链证明（如第三方认证回收商证书）。

E6　EUBR合规体系建设：针对中国制造商的优先行动

E6.1　立即行动（2025年，已进入执行期）

✦ 确认是否有产品进入EU市场，落实EUBR适用范围（类型、容量门槛）
✦ 发布书面尽职调查政策，覆盖钴、天然石墨、锂、镍、锰
✦ 启动Tier 1供应商EUBR数据问卷（矿种来源、SoR名称、RMAP状态）
✦ 启动碳足迹数据收集（LCA问卷向关键材料供应商发送）
✦ 指定EUBR合规负责人，建立内部跨部门工作组（采购/质量/法务/可持续）

E6.2　中期行动（2025-2026年）

完成Cradle-to-Gate碳足迹计算，准备CFD文件和绩效等级评估
对钴/石墨高风险来源实施强化DD，委托第三方核查（IPIS/Verité等）
建立矿山层级供应链溯源数据库（用于电池护照）
评估并对接电池护照数字平台（Global Battery Alliance/国内平台）
对未能提供矿山来源数据的贸易商启动替代来源评估

E6.3　长期行动（2026-2031年）

电池护照全面上线，完成CE合规认证
建立再生材料采购渠道，分步实现2027/2031年再生含量目标
将EUBR合规指标纳入供应商年度绩效评估体系
对外发布EUBR合规进展报告（可整合入年度可持续发展报告）

E7　EUBR与其他法规的协同管理

对于同时面临多个法规要求的企业，以下协同策略可显著降低合规成本：

**■ ****供应商问卷合并：**EUBR矿种数据 + OECD DDG DD信息 + 碳足迹LCA数据合并为单一问卷，减少供应商填报负担

**■ CMRT/EMRT****复用：**CMRT（3TG）+EMRT（Co/Mica）+EUBR问卷（Li/Ni/Mn/石墨）可统一发送；SoR名单互相复用

**■ ****风险评分整合：**原5维风险模型加入"EUBR合规状态"维度（碳足迹提交、护照就绪度、再生含量达标情况）

**■ DD****政策统一：**制定一份覆盖OECD DDG + EUBR + UFLPA + LkSG的综合尽职调查政策，避免多份政策冲突

**■ ****内部审计整合：**EUBR合规审查纳入年度DD审计计划，由同一内部/外部审计团队覆盖

**■ ****数据平台对接：**考虑使用支持EUBR电池护照+CMRT+碳足迹的集成平台（如SupplyShift、Sourcemap等），避免数据孤岛

E8　EUBR相关工具与资源索引

> EU Battery Regulation全文 — EUR-Lex**

**https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32023R1542

→ 法规正文，附件VI*（尽职调查要求）尤为关键*

> Global Battery Alliance — 电池护照 — GBA**

**https://www.globalbattery.org/battery-passport/

→ GBA Battery Passport v3.0**规范；数字注册平台

> RMI Extended Minerals Reporting Template — RMI**

**https://www.responsibleminerals.org/rmap/emrt

→ Co/Mica EMRT*；可扩展至Li/Ni/Mn用于**EUBR*

> EU Product Environmental Footprint (PEF) — EC JRC**

**https://eplca.jrc.ec.europa.eu/PEFwebsite.html

*→ *碳足迹计算方法论基础

> ecoinvent数据库 — ecoinvent**

**https://ecoinvent.org/

*→ *背景数据库；LCA碳排因子来源

> IPIS — 刚果矿产地图 — IPIS**

**https://ipisresearch.be/mapping/

*→ 钴/*锡矿山武装团体存在情况核查

> Fair Cobalt Alliance — FCA**

**https://www.faircobalt.com/

→ DRC**手工钴负责任来源认证项目

> Responsible Minerals Initiative Cobalt List — RMI**

**https://www.responsibleminerals.org/rmap/cobalt

→ RMI**合规钴精炼厂名单

**> CATL/BYD电池护照参考实践 — 行业参考

**N/A（内部项目）

*→ *可参考中国主要电池厂商的护照实施进展

────────────────────────────────────────────────────────────

补充章节　供应链图谱工具使用指南（配套工具说明）

第二章已详述供应链图谱绘制的方法论。本节为该章的工具配套说明，介绍如何使用本指南配套软件工具套件中的供应链图谱模块，将第二章的方法论转化为可操作的数字化图谱。

SC1　供应链图谱工具的功能定位

配套工具（DD Tools — 供应链图谱模块）提供以下功能：

以节点-连线方式可视化展示多层供应商关系（矿山→贸易商→冶炼厂→材料商→零部件商→您的公司）
每个节点标注风险状态（绿/黄/橙/红），状态来源于风险评分模块的输出
自动标记CAHRA来源地、制裁命中节点、RMAP非合规节点
支持导出为PDF/PNG（用于客户报告、内部审计、监管提交）
对接制裁筛查模块，在图谱中实时显示制裁状态变化

SC2　建立供应链图谱的基本步骤

步骤1：在DD Tools中完成机构设置（矿种范围、供应商层级数）
步骤2：在"供应链图谱"模块中逐层录入供应商节点，或批量导入CSV供应商名单
步骤3：建立节点间的供应关系连接，标注每条连线的矿种和大致数量
步骤4：运行风险评分，图谱节点颜色自动更新
步骤5：对红/橙节点启动对应行动（制裁筛查、CMRT核查、CAP启动）
步骤6：完成核查后更新节点状态，图谱实时反映最新合规状态

SC3　ASM供应链的特殊处理

对于存在ASM矿产暴露的供应链，图谱中的处理原则参见原指南第二章E2.3节（CRAFT Code自评路径）。工具层面的补充建议：

在节点属性中标注"ASM来源"标签，触发不同的核查清单（CRAFT Code自评表vs.工业矿山核查清单）
ASM节点不要求达到LSM同等溯源精度；记录"已采取与风险相称的合理措施"即符合OECD DDG要求
对ASM节点定期（建议每6个月）更新IPIS地图核查结果，因武装团体控制情况会随时变化 **▌ ****参见配套工具：****DD Tools → **供应链图谱模块（Phase 2功能，预计发布）

────────────────────────────────────────────────────────────

本补充章节结束。请参阅配套工具套件中的相关模块进行实操。

第I章　行业专项尽职调查框架

I.1　行业专项尽职调查的必要性

前述各章节所介绍的OECD五步法尽职调查框架是一套适用于所有行业的通用方法论。然而，各行业在供应链风险暴露方式、监管要求和主流认证工具方面存在显著差异——电子行业的冲突矿产合规与食品行业的森林砍伐合规，遵循完全不同的行业规则和认证体系。本章系统梳理了全球主要行业的专项DD框架，帮助尽职调查人员将通用方法论与行业专属工具有效结合。

本章涉及三个核心概念，贯穿所有行业认证体系：

监管链（Chain of Custody，CoC）：证明受认证材料从认证源头到最终产品全程可追溯的体系。CoC认证通过范围证书（SC）和交易证书（TC）实现，是所有行业认证计划的技术基础。
交易证书（Transaction Certificate，TC）：针对特定批次/货物由认证机构出具的证明文件，证实该批次来自经认证供应商，用于核实具体交易中的认证合规性。
范围证书（Scope Certificate，SC）：证明某一生产设施（工厂、农场、加工厂）已获得特定标准认证，在特定认证范围内有效从事相关业务。TC的有效性以供应商持有有效SC为前提。实操提示：采购TC证书时，须首先核验供应商的SC是否仍在有效期内。SC过期后，该期间内签发的所有TC均失去法律效力。建议在每个采购季开始前、而非在发货时才核验SC状态。

I.2　电子与科技行业

【风险特征】电子行业是冲突矿产监管的核心驱动行业。锡、钽、钨、金（3TG）是电子产品的基础原材料，其中大量来自冲突和高风险地区（CAHRA），尤其集中于刚果民主共和国及其邻国。随着新能源电池需求激增，钴的来源合规性已成为与3TG并重的核心议题。

核心认证机构：RBA（负责任商业联盟，前EICC）——电子及ICT行业最主要的供应链合规联盟，成员含苹果、三星、戴尔等主流品牌商
核心工具：CMRT（冲突矿产报告模板，RMI运营）——3TG供应链信息收集的通用工具；CRT（钴报告模板）——钴供应链的对应工具，结构与CMRT平行
RMAP（责任矿产保证流程）：对冶炼厂/精炼厂进行第三方审计，是冲突矿产合规的核心验证节点。品牌商须确保其3TG/钴的冶炼厂/精炼厂通过RMAP认证
监管要求：Dodd-Frank法第1502条（美国上市公司）；EU冲突矿产法规2021/821（EU进口商）；UFLPA（棉花/强迫劳动）

I.3　汽车与新能源电池行业

【风险特征】新能源转型大幅增加了对钴、锂、镍、锰和天然石墨的需求，使汽车行业成为矿产溯源合规最复杂的行业之一。与传统汽车供应链相比，电池材料供应链层级更深（矿山→精炼→前驱体→正负极材料→电芯→电池包），溯源难度极高。

RBA/Drive Sustainability：汽车-电子行业联合框架。Drive Sustainability由BMW、福特、大众等主流车企组成，联合使用RBA的VAP供应商评估工具
EU电池法规（2023/1542）：要求电池护照（Battery Passport）、碳足迹声明、再生内容比例披露；对钴、锂、镍、天然石墨的供应商尽职调查设有强制要求
IRMA（负责任采矿保证倡议）：矿山级别的环境和社会标准，被越来越多的主流汽车OEM（宝马、大众、沃尔沃）引用作为矿山评估标准
电池溯源前沿挑战：电芯级追溯是行业公认的技术难题。电池护照将要求追溯至电芯级别，意味着从矿山到整车的全链路数字追踪

I.4　服装、纺织与鞋类行业

【风险特征】服装行业面临原材料溯源风险（棉花来源、合成纤维再生含量、皮革来源）和工厂层面劳工风险的双重叠加，是全球供应链合规体系最复杂的行业之一。

I.4.1　监管链认证体系

认证标准	运营机构	认证范围	核心特点
GOTS （全球有机纺织品标准）	GOTS国际工作组	有机纤维含量≥70%（标签级）或≥95%（有机级）	覆盖社会标准+化学品要求，是有机纺织品最严格的综合标准；TC+SC双证体系
OCS （有机含量标准）	纺织品交易所	仅验证有机材料含量，不含社会/化学品标准	比GOTS门槛低；适合中间产品的有机含量声明
GRS （全球再生标准）	纺织品交易所	再生输入材料含量（聚酯、尼龙、棉等）	循环经济核心工具；覆盖社会/化学品要求；须全链条持证
RCS （再生含量声明）	纺织品交易所	仅验证再生含量，轻量版GRS	无社会/化学品要求；仅作含量声明；转化成本低
Fairtrade纺织品	Fairtrade International	Fairtrade棉花及其他纤维	最低价格保障+Fairtrade溢价；农场层面影响最直接
BCI（更好棉花）	BCI（更好棉花倡议）	棉花农场可持续种植（质量提升）	质量平衡体系（非实物隔离）；农场培训为主；不适用于需要实物追溯的声明

I.4.2　交易证书链的运作方式

以GOTS有机棉为例，TC证书链的完整路径为：

农场（有机棉）→ 轧棉厂（TC-1）→ 纺纱厂（TC-2）→ 织造/针织厂（TC-3）→ 染整厂（TC-4）→ 成衣厂（TC-5）→ 品牌商收货
链条要求：每一个环节的企业须持有当前有效的SC；在向下游发货前向认证机构申请TC；TC须注明标准、SC编号、产品类别、数量常见DD失误：接受TC而未核验供应商的当前SC有效期；SC已过期但TC仍在使用（TC因此失效）；TC中产品类别与实际货物不符。

I.4.3　化学品管理：ZDHC与OEKO-TEX

ZDHC（零排放有害化学品）：行业计划，目标是消除纺织/鞋类供应链中的有害化学品。企业需使用ZDHC MRSL（制造限制物质清单）合规的化学品，并通过废水检测证明合规
OEKO-TEX STANDARD 100：产品层面的化学品安全认证。对成品纺织品进行有害物质检测（按婴儿/皮肤接触/非皮肤接触/装饰品分级）；与ZDHC互补（工艺合规vs产品合规）

I.4.4　关键法规

EU生态设计法规（ESPR）/数字产品护照：将对纺织品设定耐久性、可修复性、再生含量等要求；数字产品护照（DPP）将成为在EU销售纺织品的必备文件（2026年起分批实施）
EU强迫劳动法规（2024/3015）：禁止使用强迫劳动生产的产品在EU上市；采购链各环节均须评估强迫劳动风险；高风险时须核查至原材料层级
UFLPA（美国）：来自特定地区的棉花适用强迫劳动推定（可反驳）；美国海关已建立针对棉纺织品的专项检查机制
欧洲供应链法律：EU CSDDD、德国LkSG、法国尽职调查法——均明确将服装供应链纳入适用范围

I.5　食品、农业与饮料行业

【风险特征】森林砍伐、童工、土地权利侵害和水资源争夺是主导风险。EU森林砍伐法规（EUDR）从2025年起将牛肉、可可、咖啡、棕榈油、大豆、木材、橡胶及其衍生产品的进口商纳入强制合规要求，重塑了行业DD框架。

认证/工具	适用原材料	机制类型	关键合规要求
RSPO（可持续棕榈油圆桌会议）	棕榈油及棕榈核油	CoC认证；从农场到终端产品全链追溯	采购商须持RSPO会员资格；SC/TC双证核验；RSPO-P（物理分离）和RSPO-MB（质量平衡）为主流
RTRS / ProTerra（大豆）	大豆（主要来自南美）	CoC认证；农场→压榨→贸易→食品生产商	与EU EUDR兼容；RTRS主要在巴西/阿根廷有成熟认证基础
雨林联盟（咖啡/可可/茶）	咖啡、可可、茶、香蕉、鲜花	农场认证+供应链追溯	与UTZ于2018年合并；认证标准重视环境保护+农民生计；TC体系正在从批次认证向数字化升级
Fairtrade International	咖啡、可可、糖、香蕉、棉花、黄金	最低价格保障+Fairtrade溢价	溢价专款用于社区发展；对小农组织（合作社）特别友好
EUDR合规	牛肉、可可、咖啡、棕榈油、大豆、木材、橡胶	政府监管+行业自律	运营商须收集农业地块GPS坐标；提交尽职调查声明；不可逆森林砍伐风险须降至最低

I.6　林业、纸张与包装行业

【风险特征】非法采伐、森林砍伐和生物多样性丧失是主导风险。木材是最早建立监管链认证体系的受监管商品。

FSC CoC：森林管理委员会的监管链认证，是全球最权威的林产品认证体系。认证覆盖森林管理（FSC FM）和监管链（FSC CoC）两个层级，TC+SC双证机制与纺织品行业类似
PEFC CoC：森林认证体系认可计划，以相互认可方式背书各国本地森林认证体系（如中国的CFCC）；在欧洲特别活跃，与FSC并列为主流认证
监管框架：EU木材法规（EUTR，自2013年起）禁止将非法采伐木材投放EU市场；2025年起由EU森林砍伐法规（EUDR）进一步强化要求——木材相关产品须提交地理定位数据和DD声明
实操DD要求：每年核验供应商FSC/PEFC CoC证书状态和有效期；检查产品类别与SC是否匹配；对来自高风险地区（东南亚、刚果盆地、亚马逊）的木材进行额外核查

I.7　珠宝、钻石与贵金属行业

RJC CoC（负责任珠宝理事会）：两级认证体系——（1）实践守则（COP）认证：对企业道德、人权、劳工、环境责任进行综合审计；（2）CoC认证：验证黄金、铂族金属（PGMs）、钻石从认证成员流向成员的全链路追溯。2024年版COP/COC已于2025年1月生效，新增ESG披露要求。珠宝行业超2,000个成员
金伯利进程（KPCS）：钻石毛坯的政府间证书体系，是国际贸易中钻石合规的最低门槛。注意：KPCS仅限于毛坯钻石，不覆盖切割/打磨环节；其对「冲突钻石」的定义被批评者认为过窄（仅覆盖反政府武装，不覆盖政府军侵权）
Fairmined / Fairtrade Gold：ASM（手工小规模采矿）黄金/白银/铂族金属的矿山到精炼厂CoC认证。认证标准最严格，但认证供应量有限；适合承诺溢价采购ASM黄金的品牌
RMAP黄金：RMI对黄金精炼厂的审计计划，与3TG的RMAP类似，侧重于精炼厂层面对冲突黄金和ASM黄金风险的管控

I.8　海鲜与水产养殖行业

MSC（海洋管理理事会）CoC：野生捕捞海鲜认证。渔场须通过MSC渔场标准认证；其后每个加工/贸易环节须持CoC证书；最终产品才可贴MSC蓝色标签
ASC（水产养殖管理理事会）CoC：养殖海鲜认证。养殖场须通过ASC农场标准认证；同样通过TC+SC双证体系追溯至零售端
BAP（最佳水产养殖实践）：四星认证，覆盖养殖场、孵化场、饲料厂和加工厂。美国市场认可度高；认证层级越多（四星），溯源链完整性越高
EU IUU法规：所有进入欧盟的海洋渔业产品须附带捕捞证书（Catch Certificate，CC），证明捕捞作业合法合规；旗国政府签发CC是合规前提
劳工风险：渔船强迫劳动是有据可查的高风险领域，尤其集中于泰国、印度尼西亚等东南亚深海渔业。ILO《渔业工作公约》（C188）为监控框架，但在高风险旗国的执行力度有限

I.9　建筑与建材行业

ResponsibleSteel：钢铁行业矿山到市场的CoC认证。站点级认证覆盖环境、人权、劳工和公司治理；可作为建筑行业钢铁供应链的正面风险降低依据
ASI（铝业管理倡议）：铝行业的绩效标准和CoC标准。ASI CoC证书追踪铝锭从采矿→冶炼→加工到终端产品的监管链；适用于建筑铝型材、幕墙等
木材：FSC/PEFC CoC——建筑用木材（结构用材、地板、模板）适用I.6节所述认证框架
移民劳工风险：建筑行业是移民劳工比例最高的行业之一，尤其集中于海湾地区（UAE、卡塔尔）和东南亚的建设项目。卡法拉（Kafala）制度下的劳工风险是合规重点；ILO《强迫劳动议定书》（2014年）和加拿大《供应链透明度法》均将建筑业列为高风险行业

I.10　医疗器械与化妆品行业

矿产暴露：医疗器械中含有多种关键矿产——钴（外科植入物、电池）、钨（导管、放射屏蔽）、铂族金属（导电接触件、血糖仪）。适用3TG/钴的DD框架
云母（化妆品）：云母广泛用于化妆品（眼影、唇膏、指甲油的闪光/光泽效果）。主要供应国为印度（加尔肯德邦、比哈尔邦）和马达加斯加，童工和非法采矿风险极高。负责任云母倡议（Responsible Mica Initiative，RMI）是目前主要的行业联合应对工具
棕榈衍生物（化妆品）：棕榈油衍生物广泛存在于化妆品配方中（十二烷基硫酸钠、甘油等）。RSPO认证（I.5节）适用于化妆品行业的棕榈油衍生物
监管要求：EU化妆品法规/REACH——禁止特定有害物质，要求成分溯源文件；FDA（美国）——化妆品生产设施须遵守GMP标准；医疗器械的MDR/IVDR法规含有供应链文件要求

I.11　跨行业社会审核体系

社会审核（Social Audit）在工厂层面评估劳工标准合规情况，与CoC认证计划互补——认证关注材料来源，社会审核关注生产工厂的运营条件。主要跨行业社会审核体系如下：

审核体系	运营机构	审核内容	主要用户行业	局限性
SMETA （Sedex道德贸易审核）	Sedex/LRQA	2柱（劳工+健康安全）或4柱（+环境+商业道德）	服装、消费品、食品、零售	结果互认度高；但预告审核为主，真实情况可能被掩盖
BSCI/amfori BSCI	amfori（前FTA）	劳工权利、健康安全、环境、道德	欧洲零售商和品牌广泛采用	审核深度不如SA8000；同样面临预告审核局限
SA8000	Social Accountability International	国际劳工标准（ILO公约为基础）；认证制，非审核记录	制造业、服装、食品；高合规要求客户	认证工厂数量较少；认证成本较高；但公信力强
Higg FEM/FSLM	Higg/SAC（可持续服装联盟）	设施环境/劳工模块；标准化工厂自评+核实	服装、纺织、鞋类为主	仍在向第三方核实转型；自评数据质量参差

重要局限性：社会审核是时点评估，存在已知局限——预先通知导致工厂临时改善、员工被指导如何回答问题、文件造假。审核结果不应作为劳工合规的充分证明，建议配合工人访谈（独立于管理层）和持续监控机制使用。

I.12　监管链项目对比速查表

行业	主要CoC认证计划	机制类型	验证层级
电子/科技	CMRT（RMI）；RMAP；RBA VAP	报告模板+冶炼厂审计	冶炼厂/精炼厂
汽车/新能源	CMRT+CRT；IRMA；EU Battery Passport	报告+矿山审计+数字护照	矿山+冶炼厂
服装/纺织	GOTS；GRS；OCS；BCI；Fairtrade	TC+SC双证认证	全链路（农场→品牌商）
食品/农业	RSPO；RTRS；雨林联盟；Fairtrade	TC+SC双证认证+EUDR声明	农场→加工→贸易商
林业/纸张	FSC CoC；PEFC CoC	TC+SC双证认证	森林→加工→终端产品
珠宝/贵金属	RJC CoC；Fairmined；RMAP Gold	会员审计+精炼厂认证	矿山→精炼厂→品牌商
海鲜	MSC CoC；ASC CoC；BAP	TC+SC双证认证	渔场→加工→零售
建筑/钢铝	ResponsibleSteel；ASI CoC	站点认证+CoC证书	矿山→生产→建筑商

I.13　监管链项目管理实操清单

无论适用哪种CoC认证计划，以下步骤代表最低DD实践标准：

下达采购订单前：核验供应商当前持有的、适用标准的有效SC（检查有效期、认证范围、产品类别是否匹配）；SC过期须停止采购，直至供应商完成证书续展
发货时：向供应商索取针对本批货物的TC。TC须注明：（a）标准名称；（b）供应商SC编号；（c）产品类别和数量；（d）认证机构名称和印章。对照TC核验货物与证书描述是否一致
文件保留：将所有SC和TC保存至少5年；在记录管理系统中将TC与采购订单和发票关联存档，以便接受客户或监管机构审查
年度核验：每个采购季开始前主动检查供应商SC的续期状态；提前60天提醒供应商进行证书续期，避免因SC失效造成合规断链
供应商通知：在供应商合同和采购条款中明确规定：适用的CoC标准、声明类型（物理隔离/质量平衡/Mass Balance）、TC义务，以及证书失效时的通知义务
纠正措施：发现TC缺口（如某批次缺少TC）时，启动整改行动计划（CAP）；评估是否需要向客户、认证机构或监管机构披露；避免在缺口未解决时继续声明认证状态

I.14　各行业环境认证体系

I.2至I.13节所述CoC认证和社会审核体系侧重于溯源合规和劳工合规。各行业还运行独立的环境认证/标签体系，与CoC体系形成互补。本节按行业梳理主要环境认证要求：

I.14.1　电子与科技行业

RoHS（有害物质限制指令）：EU第2011/65/EU号指令，限制10种有害物质（铅、汞、镉、六价铬、PBBs、PBDEs等）在电子电气产品中的使用；中国有对应的RoHS法规（《电子电气产品有害物质限制使用管理办法》）
WEEE（废弃电子电气设备指令）：EU第2012/19/EU号指令，要求生产商和进口商资助废旧电子产品回收体系；中国有对应的《废弃电器电子产品回收处理管理条例》
EPEAT：电子产品环境评估工具，自愿性生态标签，设金/银/铜分级；常作为政府采购的技术规格要求
IEC 62321系列标准：限制物质（RoHS相关）检测方法标准；供应商产品须通过第三方检测机构（SGS、TÜV等）依据该系列标准出具检测报告

I.14.2　汽车与新能源电池行业

LCA/ISO 14040/44：矿山到产品的生命周期评估，越来越多的汽车OEM要求电池和关键部件提供LCA报告（碳足迹声明）；EU电池法规将LCA声明列为必要合规文件
ELV指令（报废汽车，2000/53/EC，修订中）：限制汽车中有害物质（铅、汞、镉、六价铬）的使用；通过IMDS（国际物料数据系统）管理整车物料数据
ISO 14001：环境管理体系认证，是汽车OEM（宝马、丰田、大众、福特）对供应商的普遍强制要求

I.14.3　服装、纺织与鞋类行业

bluesign：纺织工厂（染整/印花）层级认证，覆盖资源效率、化学品安全和工人健康安全；是目前最权威的纺织工厂环境认证
摇篮到摇篮（Cradle to Cradle，C2C）：产品层面的循环设计认证，涵盖材料健康、循环性、再生能源使用、水资源管理、社会公平五项指标
EU纺织品生态标签：EU官方自愿性环境标签，适用于纺织品和鞋类，覆盖限制物质、耐久性和可持续纤维要求
AWS（水资源管理联盟）：站点级水资源管理标准，在纺织湿加工（染色、洗涤）行业尤为重要

I.14.4　食品、农业与饮料行业

GlobalG.A.P.：农业良好操作规范（GAP）体系，覆盖食品安全、环境（土壤健康、生物多样性）、工人健康安全；是出口至欧洲零售商的常见前提条件
USDA有机/EU有机法规：分别由美国农业部国家有机计划（NOP）和EU有机法规2018/848管辖；要求全链条有机认证，并通过TC证书证明
EUDR地理定位合规：EUDR要求运营商收集所有生产农地的GPS坐标；这一要求实质上推动了农业供应链的全面数字化溯源改造，对小农户众多的咖啡/可可产区影响尤为深远

I.14.5　林业、纸张与包装行业

EPD（环境产品声明）——木质产品：基于ISO 14025和EN 15804的生命周期环境声明，适用于结构用材、人造板、纸张等；在绿色建筑（LEED、BREEAM）项目中被要求提供
FSC生态系统服务/FSC NatureFirst：新版FSC标准将生态系统服务（水源涵养、生物多样性保护）纳入认证评估；将成为采购方评估森林可持续性的更全面工具

I.14.10　跨行业基线：ISO 14001与水资源管理

ISO 14001环境管理体系认证是跨越所有行业的基线要求，绝大多数跨国品牌商均将ISO 14001列为供应商准入的必要条件。在此基础上，水资源高风险地区（中国华北、印度旁遮普、土耳其、摩洛哥等）的供应商还须关注：

AWS（水资源管理联盟）：站点级水资源管理认证，适用于用水密集型行业（纺织、食品加工、造纸）
CDP Water Security：水资源信息披露框架，A级为最高得分，要求供应商完成详细的水风险评估和治理报告
ZDHC废水核查：纺织行业特有要求，纺织工厂须定期提交第三方废水检测报告（按ZDHC废水指南），证明无有害化学品排放超标

Chapter J: Environmental Reporting Obligations

第J章：环境信息披露义务

J.1 The New Mandatory Reporting Landscape / 强制披露的新形势

A fundamental shift is underway in environmental compliance: what was once voluntary disclosure is becoming mandatory reporting with legal consequence. Five overlapping frameworks now govern what large companies and increasingly their supply chain partners must disclose about environmental performance, climate risk, and nature dependencies.

环境合规领域正在经历根本性转变：曾经的自愿披露正逐步演变为具有法律效力的强制报告。当前，五大相互交织的框架规范着大型企业以及日益扩展至其供应链伙伴必须披露的环境绩效、气候风险和自然依存度信息。

For Chinese companies, the practical trigger is typically a request from a multinational customer asking them to complete a CDP questionnaire, provide Scope 3 emissions data, or commit to SBTi targets. Understanding the frameworks underlying these requests and the data they require from supply chains is essential preparation.

对于中国企业而言，实际触发点通常是跨国客户要求其填写CDP问卷、提供范围三排放数据或承诺SBTi目标。理解这些请求背后的框架及其对供应链数据的要求，是必要的准备工作。

J.2 GHG Protocol - The Universal Accounting Foundation / 温室气体核算协议——通用会计基础

The Greenhouse Gas Protocol (GHG Protocol), developed by WRI and WBCSD, is the foundational methodology on which all other climate reporting frameworks are built. Understanding it is a prerequisite for everything in this chapter.

**Scope 1 - Direct Emissions: **Scope 1: Direct emissions from sources owned or controlled by the company (e.g., fuel combustion in owned vehicles and machinery, process emissions, fugitive emissions from refrigerants).
**Scope 2 - Energy Indirect: **Scope 2: Indirect emissions from purchased electricity, steam, heat or cooling. Two methods: Location-Based (grid average emission factor) and Market-Based (contractual instruments - RECs, guarantees of origin, supplier-specific emission rates).
**Scope 3 - Value Chain Emissions: **Scope 3: All other indirect emissions across the value chain - both upstream (purchased goods and services, capital goods, fuel and energy activities, transportation, waste) and downstream (use of sold products, end-of-life treatment, investments). Scope 3 typically represents 70-90% of a company total emissions footprint. The GHG Protocol Scope 3 Standard defines 15 categories. Supply chain DD implication: When a customer requests your Scope 3 Category 1 (Purchased Goods & Services) data, they are asking for the cradle-to-gate GHG emissions embodied in everything they buy from you. Providing this requires either: (a) primary activity data from your own operations and a recognised emission factor database (IPCC, IEA, ecoinvent); or (b) a product-level carbon footprint per ISO 14067.

供应链尽职调查启示：当客户要求提供其范围三第1类（采购商品与服务）数据时，意即客户希望了解其向您采购的所有产品所含的摇篮至大门温室气体排放量。提供此数据需要：(a) 基于本公司运营的原始活动数据及公认排放因子数据库；或 (b) 符合ISO 14067的产品碳足迹。

J.3 EU CSRD / ESRS - Mandatory EU Sustainability Reporting / 欧盟企业可持续发展报告指令

The Corporate Sustainability Reporting Directive (CSRD, EU 2022/2464) replaces the Non-Financial Reporting Directive (NFRD) and massively expands the scope of mandatory sustainability disclosure in the EU. Reporting is governed by the European Sustainability Reporting Standards (ESRS).

Wave	In-scope companies	First report (for FY)
Wave 1	EU large companies already subject to NFRD (>500 employees, listed or public interest entities)	FY 2024 (published 2025)
Wave 2	All other large EU companies (>250 employees OR >EUR40M turnover OR >EUR20M total assets, meeting 2 of 3)	FY 2025 (published 2026)
Wave 3	EU-listed SMEs (with opt-out to 2028)	FY 2026 (published 2027)
Wave 4	Non-EU companies with >EUR150M net turnover in EU AND at least one large EU subsidiary or branch	FY 2028 (published 2029)

ESRS relevant to supply chain environmental DD:

**ESRS E1 - Climate: **ESRS E1: Climate Change - Scope 1, 2, 3 GHG emissions; transition plan; TCFD-aligned climate risk assessment. Scope 3 Category 1 requires supplier-level data.
**ESRS E2 - Pollution: **ESRS E2: Pollution - Substances of concern in production and products; REACH-relevant for manufacturing supply chains.
**ESRS E3 - Water: **ESRS E3: Water & Marine Resources - Water consumption, water risk, marine resource impacts. Requires supply chain water data for significant upstream water use.
**ESRS E4 - Biodiversity: **ESRS E4: Biodiversity & Ecosystems - Nature-related dependencies and impacts; deforestation (links to EUDR); mine-site biodiversity (links to IRMA). TNFD-aligned.
**ESRS E5 - Circular Economy: **ESRS E5: Resource Use & Circular Economy - Material efficiency, waste, product end-of-life design. Relevant to packaging suppliers and WEEE/ELV compliance.
**ESRS S2 - Supply Chain Workers: **ESRS S2: Workers in the Value Chain - Supply chain labor conditions, living wage, safe working conditions. The social audit and CoC programmes in Chapter I directly support ESRS S2 disclosure. Chinese supplier DD implication: Wave 4 brings Chinese companies with large EU operations into direct CSRD scope by 2028. However, the indirect effect is immediate - EU customers in Waves 1-3 must report their supply chain data (ESRS E1 Scope 3, ESRS S2 value chain workers), which means they will cascade data requests to Chinese suppliers regardless of whether those suppliers are directly regulated.

中国供应商尽职调查启示：第四波将在欧盟设有大型业务的中国企业纳入CSRD直接适用范围（2028年起）。然而，间接影响是即时的——处于第一至三波的欧盟客户须披露其供应链数据，这意味着它们将向中国供应商层层传导数据收集要求，无论这些供应商是否直接受到监管。

J.4 ISSB IFRS S1 / S2 - Global Climate Disclosure Baseline / 国际可持续发展信息披露准则

The International Sustainability Standards Board (ISSB), under the IFRS Foundation, published IFRS S1 (General Requirements) and IFRS S2 (Climate-related Disclosures) in June 2023. These establish the global baseline for investor-facing sustainability disclosure.

**Jurisdictional Adoption: **Scope: Listed companies in jurisdictions that adopt ISSB standards. Adopted or in adoption process: UK (from FY2025), Australia (from FY2025), Singapore (from FY2025), Japan (listed companies from FY2025), Canada (consultation), Hong Kong (listed issuers from FY2025).
**IFRS S2 Requirements: **IFRS S2 requires disclosure of: (1) governance over climate risks and opportunities; (2) climate-related risks and opportunities and their effects; (3) strategy and transition planning; (4) risk management processes; (5) Scope 1, 2, 3 GHG metrics and climate-related targets. Incorporates TCFD recommendations.
**Supply Chain Implication: **Supply chain DD implication: Scope 3 emissions data from supply chain is required. Companies reporting under IFRS S2 will escalate supplier data requests. Chinese companies listed on HKEx, Singapore Exchange, or with global parent companies are directly affected.

J.5 CDP - Supply Chain Programme / 碳披露项目——供应链项目

CDP (formerly Carbon Disclosure Project) runs the world largest environmental disclosure system. Over 23,000 companies reported through CDP in 2023. The CDP Supply Chain Programme is the mechanism through which large companies collect environmental data from their suppliers.

**CDP Supply Chain Programme Mechanics: **How it works: CDP member companies (typically large buyers: Apple, BMW, Walmart, IKEA, Samsung) send CDP questionnaire requests to their suppliers. Suppliers respond via the CDP online platform. Responses are scored A-D (A = Leadership, D = Disclosure only). Buyer members use supplier scores to inform procurement decisions and track progress.
**Three Questionnaire Streams: **Three questionnaires: Climate Change (Scope 1/2/3, targets, governance, risks); Water Security (water withdrawal, water risks, targets); Forests (deforestation commodities - timber, palm oil, soy, cattle, rubber, cocoa, coffee). Chinese suppliers to multinational brands will typically receive the Climate Change questionnaire first.
**Supplier Engagement Rating: **Supplier Engagement Rating (SER): CDP separately scores large companies on how well they engage their supply chains - pushing buyers to not just disclose their own Scope 3 but actively support supplier disclosure capacity. Companies with poor SER scores face investor scrutiny.
**Practical Steps: **Practical preparation for Chinese suppliers: (1) Establish GHG inventory (Scope 1 + 2 minimum) per GHG Protocol; (2) Measure energy consumption by source (electricity, natural gas, diesel, coal); (3) Register on CDP platform (free for suppliers responding to customer requests); (4) Target a minimum C (Awareness) score in year 1; progress to B (Management) in year 2.

J.6 SBTi - Science Based Targets / 科学碳目标倡议

The Science Based Targets initiative (SBTi) enables companies to set GHG reduction targets aligned with the Paris Agreement 1.5 degrees C pathway. Over 7,000 companies have committed globally (2024). SBTi is increasingly a condition of supply chain partnerships with European and North American multinationals.

**SBTi Corporate Net-Zero: **Corporate Net-Zero Standard (2021): Requires near-term targets (2030 or earlier, covering Scope 1+2+material Scope 3) and long-term net-zero targets (2050) with residual emissions neutralised by permanent carbon removal. Scope 3 targets required if Scope 3 >40% of total emissions.
**SBTi FLAG - Land Sector: **SBTi FLAG (Forests, Land & Agriculture): Sector-specific guidance for food, agriculture, and forestry companies. Requires companies to set science-based targets covering land-sector emissions and removals, including supply chain deforestation commitments aligned with EUDR.
**SBTi SME Route: **SBTi for SMEs (SME Route): Simplified target-setting pathway for companies with <500 employees. Commit to a 50% absolute reduction in Scope 1+2 emissions by 2030. No sector-specific guidance required.
**Supply Chain Implication: **Supply chain DD implication: Large companies with SBTi-validated Scope 3 targets must demonstrate progress on supplier emissions reductions. This drives supplier engagement programmes - suppliers are asked to (a) disclose emissions via CDP, (b) set their own SBTi targets, and (c) demonstrate year-on-year reduction. Suppliers that cannot demonstrate progress risk being de-selected.

J.7 TCFD - Climate Risk Disclosure / 气候相关财务信息披露工作组

The Task Force on Climate-related Financial Disclosures (TCFD), established by the FSB in 2015, published its recommendations in 2017. TCFD has become the global standard for climate risk disclosure to investors and lenders. It is now embedded in ISSB IFRS S2, EU CSRD ESRS E1, and the UK mandatory TCFD reporting regime.

**Four Pillars: **Governance: Board-level oversight of climate risks and opportunities; management roles and responsibilities.
**Four Pillars: **Strategy: Climate risks (physical risks - acute and chronic; transition risks - policy, technology, market, reputation) and opportunities. Scenario analysis using at least two scenarios (e.g., 1.5 degrees C and 3 degrees C). Assess impact on business model, strategy, and financial planning.
**Four Pillars: **Risk Management: Processes for identifying, assessing and managing climate risks; integration into overall risk management.
**Four Pillars: **Metrics & Targets: Scope 1, 2, 3 GHG; climate-related targets; internal carbon price if used. Supply chain DD implication: TCFD physical risk assessment requires mapping of supply chain exposure to climate hazards (floods, heat, drought, storms) by geography. This links directly to the country risk intelligence in Chapter 3 of this guidance and requires supply chain mapping (Chapter SC) as a prerequisite.

J.8 TNFD - Nature & Biodiversity Disclosure / 自然相关财务信息披露工作组

The Taskforce on Nature-related Financial Disclosures (TNFD) published its final recommendations in September 2023, using TCFD as a template. TNFD addresses biodiversity loss, ecosystem degradation, and nature-related financial risks - the nature equivalent of TCFD.

**TNFD LEAP Approach: **The LEAP Approach: TNFD core methodology - Locate (footprint and interface with nature), Evaluate (dependencies and impacts), Assess (material risks and opportunities), Prepare (strategy, disclosure, targets). Requires supply chain nature footprint mapping.
**Supply Chain Linkage: **Linkage to supply chain DD: TNFD specifically requires assessment of supply chain biodiversity impacts. For companies sourcing from high-biodiversity-value areas - tropical forests (cocoa, rubber, palm oil), ocean fisheries, mining in critical biodiversity areas - TNFD disclosure will require the CoC and certification data from Chapter I as supporting evidence.
**SBTN: **SBTN (Science Based Targets for Nature): Parallel to SBTi but for nature. Companies set targets to halt and reverse nature loss by 2030. In early adoption phase (2024-2025). High relevance for food, agriculture, forestry, and mining companies.

J.9 Integrated Practical Roadmap / 综合实施路线图

The following roadmap sequences environmental reporting preparation for a company that is currently facing supplier data requests from multinational customers:

Phase	Actions	Timeframe	Output
Phase 1: Baseline Inventory	1. Measure Scope 1 energy consumption (gas, diesel, coal, process fuels) 2. Collect electricity invoices; identify grid emission factor 3. Calculate Scope 1+2 GHG per GHG Protocol 4. Identify top 5 purchased material/energy categories for Scope 3 Category 1 estimate	Months 1-3	GHG inventory report; energy data register
Phase 2: CDP Response	1. Register on CDP platform (app.cdp.net) 2. Respond to customer CDP requests (Climate Change questionnaire minimum) 3. Target score: C (Awareness) - requires inventory data and basic governance description 4. Identify water risk using WRI Aqueduct; consider CDP Water if in water-stressed basin	Months 3-6	CDP submission; score letter from CDP
Phase 3: Certification Baseline	1. Achieve/maintain ISO 14001 certification 2. For textile/food/electronics: achieve industry-specific environmental certification (bluesign, GlobalG.A.P., RoHS DoC) 3. Implement AWS water assessment if in high water-risk area	Months 4-12	ISO 14001 certificate; industry scheme certificate
Phase 4: SBTi Commitment	1. Submit SBTi commitment letter (free, 24-month validation window) 2. Develop near-term Scope 1+2 target (absolute reduction % by 2030) 3. Assess Scope 3 materiality - if Category 1 or Category 11 >40% of total, set Scope 3 target 4. For food/land sector companies: engage with SBTi FLAG methodology	Months 6-18	SBTi commitment; validated target
Phase 5: CSRD/ISSB Readiness	1. Map which customer/parent is subject to CSRD waves 1-3 2. Identify which ESRS standards will generate upstream data requests (E1 Scope 3, S2 supply chain workers) 3. Ensure supply chain CoC records (Chapter I) are structured to support ESRS E4 (biodiversity) and E5 (circular economy) queries 4. For HKEx/SGX-listed companies: prepare IFRS S2 disclosure process	Months 12-36	CSRD readiness gap assessment; ISSB disclosure draft
Phase 6: TNFD / Nature	1. Conduct TNFD LEAP assessment for highest-nature-impact supply chain locations 2. Identify FSC/RSPO/MSC certifications already held - these serve as TNFD evidence 3. Engage with SBTN if in food, agriculture, forestry or mining sectors	Months 18-36	TNFD disclosure; SBTN commitment (if applicable)

J.10 What Chinese Exporters and Manufacturers Need to Know / 中国出口商与制造商须知

China own mandatory sustainability reporting is also developing rapidly, creating a two-sided compliance pressure for Chinese companies:

**China Mandatory Disclosure: **CSRC (China Securities Regulatory Commission) issued mandatory ESG disclosure guidelines for listed companies in 2024. A- and H-share listed companies on SSE, SZSE and HKEx face phased mandatory reporting from 2026. This parallels CSRD but follows Chinese national standards (GB/T series).
**China ETS / CCER: **CCER (China Certified Emission Reductions) and the national ETS (Emission Trading Scheme): China carbon market now covers power, steel, and cement. Expansion to aluminium, building materials, petrochemicals and aviation is planned. Companies in covered sectors must monitor and report verified emissions annually.
**HKEx ESG Reporting: **HKEx ESG Reporting Guide (revised 2023): Hong Kong-listed companies must report Scope 1, 2, and significant Scope 3 emissions; climate-related risks per TCFD; biodiversity impacts. Key Scope 3 categories that require supplier data: Category 1 (purchased goods), Category 3 (energy), Category 4 (upstream transport).
**Practical Priority for All Chinese Exporters: **Customer data cascade: Even companies not subject to any mandatory scheme will receive requests if they supply to EU, US, Japanese, or Korean multinationals. The immediate practical steps are: (1) build a GHG inventory; (2) respond to CDP if requested; (3) achieve ISO 14001; (4) collect industry-specific certifications relevant to your product category.

J.11 Framework Comparison and Overlap / 框架对比与交叉

Framework	Mandatory or Voluntary	Scope	Supply Chain Data Required?	Linked Standards	Who It Affects (China)
GHG Protocol	Voluntary (methodology)	Global	Yes - Scope 3 Cat 1 requires supplier data	Foundation of all others	All exporters facing data requests
CDP	Voluntary (customer-driven)	Global	Yes - supplier questionnaires	GHG Protocol, TCFD	Suppliers to EU/US/JP multinationals
SBTi	Voluntary (investor/customer-driven)	Global	Yes - Scope 3 target requires supplier engagement	GHG Protocol, ISSB	Companies with SBTi-committed customers
TCFD	Mandatory in UK, NZ, HK, SG; embedded in CSRD/ISSB	Global	Yes - Scope 3, supply chain physical risk	ISSB S2, CSRD E1	HKEx-listed; EU customer supply chains
CSRD / ESRS	Mandatory (EU + large non-EU)	EU + global supply chains	Yes - ESRS E1 Scope 3, ESRS S2 value chain	GHG Protocol, TCFD, TNFD	Wave 4: Chinese co. with >EUR150M EU turnover from 2028; all suppliers to EU Wave 1-3 companies
ISSB IFRS S1/S2	Mandatory in HK, SG, AU, UK, JP	Global (adopted jurisdictions)	Yes - Scope 3	GHG Protocol, TCFD	HKEx-listed (from FY2025); SGX-listed
TNFD	Voluntary (early adoption)	Global	Yes - LEAP supply chain nature footprint	CSRD E4, SBTN	Food, agriculture, forestry, mining sectors
China ETS	Mandatory (covered sectors in China)	China	No (facility-level only)	GHG Protocol, ISO 14064	Power, steel, cement manufacturers in China
HKEx ESG	Mandatory (HK-listed companies)	HK-listed	Yes - Scope 3 significant categories	TCFD, GHG Protocol	HKEx-listed Chinese companies

Note: CSRD ESRS, ISSB IFRS S2, and TCFD are technically separate frameworks but substantially converged. A company that prepares a TCFD-aligned climate disclosure meets the core requirements of IFRS S2 and satisfies most of ESRS E1. Avoid building separate reporting processes - a single integrated data collection process can feed all three.

注：CSRD ESRS、ISSB IFRS S2和TCFD是相互独立但高度趋同的框架。符合TCFD框架的气候信息披露，基本满足IFRS S2核心要求，并可覆盖ESRS E1的绝大部分内容。建议采用统一的综合数据收集流程，避免各框架单独建立报告流程。

本指南配套模板

直接可用的模板文件

以下模板与本指南内容直接对应，可在供应链尽职调查日常工作中直接使用：

模板	适用本指南场景
供应商行为准则（SCoC）全套条款	供应商准入；合同附件
供应商自评问卷（SAQ）全套：A-H节	年度供应商评估；准入审查
审核前文件请求清单（全部五类审核）	综合尽职调查
供应商矿产申报/不含矿产声明	冲突矿产溯源（第6章）
财务预警升级申请表	财务健康监控
整改行动计划（CAP）	审核后发现项整改

用 AI 辅助尽职调查工作

🤖 AI 提示词快速入门

将以下提示词粘贴至 Claude、ChatGPT 或其他 AI，可快速生成尽职调查核心文件。

生成供应商行为准则（SCoC）：

你是一名供应链合规专家。请为一家向欧盟和美国出口的[行业]企业
起草一份供应商行为准则（SCoC），适用法规框架：LkSG、CSDDD、UFLPA。
涵盖六大支柱：劳工权利（ILO核心公约）、职业健康安全（ISO 45001）、
环境（ISO 14001 + EUDR）、供应链安全（C-TPAT）、知识产权保护、商业道德（FCPA/反贿赂）。
在文末附供应商签署确认页。语气：坚定但合作。输出：编号结构化文件，简体中文。

生成供应商风险矩阵：

请为一家管理约[N]家供应商的[行业]采购方生成供应商风险评估矩阵，
维度：可能性（1-5）× 影响（1-5）= 风险分（1-25）。
覆盖风险类别：劳工/人权、环境、安全、知识产权、腐败、财务韧性、地缘政治。
定义分级响应：低（1-6）监控、中（7-12）缓解、高（13-18）上报、极高（19-25）立即行动。

生成整改行动计划（CAP）模板：

请生成一份供应链尽职调查审核整改计划（CAP）模板，
每条发现项结构：发现项ID → 根本原因分析（5问法）→ 立即整改（7天）→
系统性整改（90天）→ 预防措施 → 完成证明 → 核查方式 → 状态跟踪。
附：发现项严重等级分类说明（严重/主要/次要/观察项）。

📖 完整提示词库与进阶技巧 → 用 AI 生成定制化合规文件

供应链尽职调查实操指南 ​

第0章 供应链尽职调查全景图谱 ​

0.1 为什么需要六个支柱 ​

0.2 六大支柱如何相互关联 ​

0.3 业务连续性管理（BCM）与尽职调查的关系 ​

0.3.1 两者的本质差异 ​

0.3.2 DD是BCM的信息基础 ​

0.3.3 BCM触发决策树 ​

0.4 跨支柱综合供应商风险评分矩阵 ​

0.4.1 综合评分框架（满分100分） ​

0.4.2 综合得分解读与行动矩阵 ​

0.5 质量管理的定位：DD指标而非DD支柱 ​

0.5.1 为什么质量不作为独立支柱 ​

0.5.2 质量如何融入DD评估 ​

0.6 适用范围决策：哪类供应商须接受哪些支柱审核 ​

0.7 系列使用指南 ​

0.7.1 文件架构总览 ​

0.7.2 推荐阅读路径 ​

供应链尽职调查管理实操指南 ​

如何使用本指南 ​

第一章 必须创建的基础文件：从零建立政策体系 ​

1.1 文件1：供应链尽职调查政策模板 ​

1.2 文件2：供应商行为准则（SCoC）必备条款 ​

1.3 文件3：RACI矩阵（核心活动责任分配） ​

1.4 供应商SAQ设计原则 ​

第二章 供应链图谱绘制：穿透多层贸易商与ASM迷雾 ​

2.1 矿产供应链的典型结构与信息流失节点 ​

2.2 贸易商问题：信息被如何系统性掩盖 ​

2.3 供应链图谱绘制实操步骤 ​

第三章 情报系统建设：如何有意义地使用公开数据 ​

3.1 数据权重层级：哪类信息触发行动 ​

3.2 制裁与实体名单：精确筛查指南 ​

3.3 冲突与高风险地区识别：三角验证组合 ​

3.4 矿种专属项目的实际使用方法 ​

第四章 风险评分体系：将多维信息转化为可操作的供应商评级 ​

4.1 评分框架总体设计（100分制，分越高风险越高） ​

4.2 维度一：地理风险评分（0-20分） ​

4.3 维度二：矿种固有风险（0-20分） ​

4.4 维度三：供应链层级风险（0-16分） ​

4.5 维度四：供应商合规状态（0-16分，反向评分） ​

4.6 维度五：制裁与监管暴露（0-8分） ​

第五章 行动决策：核查委托、审核准备与现场执行 ​

5.1 选择核查机构（Verification Body） ​

5.2 核查委托书（Terms of Reference）必要内容 ​

5.3 供应商文件准备清单（按核查类型分） ​

5.4 现场核查观察员指南 ​

第六章 核查后的风险缓解：整改、升级与负责任退出 ​

6.1 整改行动计划（CAP）有效设计 ​

6.2 分级应对策略 ​

6.3 负责任退出（Responsible Disengagement） ​

第七章 报告与利益相关方沟通 ​

7.1 内部报告体系 ​

7.2 对外年度报告：让报告"经得住追问" ​

7.3 向品牌客户/买方的沟通 ​

7.4 欧盟企业可持续发展尽职调查指令（CSDDD）：对供应链实操的影响 ​

7.4.1 CSDDD的适用范围与分阶段时间表 ​

7.4.2 CSDDD的六项核心义务 ​

7.4.3 中国供应商的应对优先项 ​

第八章 AI时代的尽职调查自动化：从人工驱动到智能体系 ​

8.1 可以自动化 vs 不可以自动化 ​

8.2 公开数据的机器可读来源 ​

8.3 自动化工作流架构建议 ​

8.4 AI工具在风险情报分析中的应用 ​

8.5 商业平台 vs 自建系统的选择框架 ​

第九章 完整工具资源索引 ​

9.1 冶炼厂/精炼厂审核项目 ​

9.2 矿山级认证项目 ​

9.3 冲突及高风险地区（CAHRA）识别工具 ​

9.4 制裁与实体名单（所有提供批量下载） ​

9.5 国家/地区风险指数 ​

9.6 矿种专属负责任采购项目 ​

9.7 ESG与劳工评估平台 ​

9.8 自动化、AI与贸易数据工具 ​

9.9 主要国际指南文件（仅列出，已广泛可获取） ​

附录A 术语表（Glossary） ​

附录B 政策与文件完整样本 ​

B.1 供应链尽职调查政策——完整填写样本 ​

B.2 供应商矿产溯源申报表——完整填写样本 ​

B.3 整改行动计划（CAP）——完整填写样本 ​

附录C 尽职调查最佳实践——从实践中提炼的经验 ​