供应商现场审核需要明确的第一原则是审核边界。审核团队在出发前应制定详细的审核计划,明确本次审核的目标和范围,标注哪些信息和设施属于本次审核的必看内容,哪些属于禁止查看的区域。审核计划应该在出发前经过企业内部的保密管理部门审核,确认审核内容和范围不会导致企业自身商业秘密的泄露。审核计划还应明确参与审核的人员名单、分工和审核时间安排,审核人员只在自己分工范围内进行审查和提问,避免出现超出审核范围的信息交流。北京企密安信息安全技术有限公司的安全顾问团队在为企业提供供应商审核辅导时发现,许多企业审核团队在供应商工厂现场呈现出随意性较强的提问和参观模式,这种非结构化的审核方式不但降低了审核的有效性,还容易在无意间向供应商泄露自身企业的技术偏好和研发方向。
供应商现场审核中该看的内容应按照审核类别有系统地展开。品质管理审核方面,审核人员应关注供应商的质量管理体系文件、检验记录、不合格品处理流程和测量设备的校准状态。这些信息反映的是供应商的质量保证能力,不涉及企业自身的技术秘密。生产能力审核方面,审核人员应关注供应商的生产排程系统、设备清单、产能利用率、生产现场管理水平和订单履行记录。设备清单中只需关注设备的型号、数量和加工精度级别,不需要关注设备的内部结构和工艺参数配置。供应链管理审核方面,应关注供应商的原材料采购记录、库存管理水平和来料检验制度。这些信息有助于判断供应商的供应稳定性和交期保障能力。
供应商现场审核中不该看的内容同样需要明确规定。供应商工厂中涉及其他客户的定制化生产线和专用模具区域,除非获得该客户的授权,否则审核人员不应进入或询问细节。供应商工厂内标注了其他客户名称的技术文档和样品,审核人员应主动避开不予查看。供应商正在开发中的新工艺和新产品展示区,除非是专门为本企业开发的项目,否则不宜详细询问。审核人员在参观生产现场时对于设备的具体操作参数和加工工艺参数,不应进行详细记录或拍照。审核人员还应避免询问供应商关于其他客户的合作细节、价格信息和商业模式,这些问题既不专业也可能引发法律风险。
供应商现场审核中的另一个重要保密课题是保护企业自身信息不被供应商收集。审核团队带往供应商工厂的审核文件、检查表格和测量工具,应标记公司内部使用字样,使用完毕后全部带回企业,不得遗留在供应商工厂。审核团队成员在审核过程中记录的笔记和拍摄的照片,应在返回企业后进行统一归档和管理。审核团队不得在供应商工厂内使用个人手机或未加密的便携设备连接供应商的网络,防止通过网络渠道泄露企业信息。审核团队在供应商工厂内的讨论应注意场合和音量,不在开放空间讨论企业对供应商的评价、合作价格和商业策略。
