ISO37001反贿赂管理体系认证背景

   贿赂是个常见现象，不仅带来了严重的社会问题，也增加了业务的成本，为商务交易带来了不确定性，干扰市场公平和高效的运行。虽然政府部门已经通过惩治国外公务人员国际商业交易贿赂公约和联合国反腐公约，以及国家内部法律在应对腐败方面取得了进步，但是仅仅依靠法律不足以解决贿赂问题。组织有责任主动对惩治贿赂作出贡献，同时通过对贿赂问题的主动防御，防范商业风险，树立廉洁合规的品牌形象。
ISO37001认证的目的
      1、深入了解ISO37001反贿赂管理体系要求及重要意义，按照ISO37001标准要求建立、运行该体系，运用国际上反贿赂管理的最佳实践，全面提高企业的反贿赂管理水平。
     2、按照ISO37001标准建立体系的单位可申请第三方认证，通过认证后获得认证证书，向主管部门证明本单位反贿赂管理水平。
ISO37001认证发展历程
     ISO37001标准于2016年6月正式发布，在国内深圳作为我国反贿赂管理体系标准的试点城市，《反贿赂管理体系》深圳标准于7月1日起实施。因为这个是一个全新的标准，《反贿赂管理体系》深圳标准要求企业不仅对自身反腐败反贿赂工作负有责任和义务，同时对于其上下游——如供应商、客户也都负有提出反贿赂要求的责任和义务，从而通过整个管理链条、供应链链条来带动和强化社会的反贿赂意识和行动，中国质量认证中心CQC、标联国际认证CSU是获得国家认监委备案的ISO37001管理体系认证机构。

3  ISO37001认证规定了那些内容
      ISO37001反贿赂管理体系认证采用包括支持性指导在内的一系列相关措施和控制措施规定了以下要求：
· 反贿赂政策和程序
·  高层领导、承诺和责任
· 合规经理或职能的监督
· 反贿赂培训
· 对项目和业务伙伴的风险评估与尽职调查
·  财务、采购、商业和合同控制
· 报告、监测、调查和审查
·  纠正措施和持续改进
ISO37001认证适用于谁？
      各个国家的各大组织均适用ISO37001认证，无论其是否为上市公司、私营公司或非盈利组织。这是一个非常灵活的工具，只要其存在潜在的腐败贿赂问题，无论何种规模何种性质，均可适用。
ISO37001认证商业上的益处？
      获得ISO37001认证并不意味着公司就有了免于被起诉的免疫力。但是，起码它会帮助公司将诉讼的可能性在最初就减低到最小。因为员工将会受到培训、商业运营将会处于可控范围、一些举报和高风险点会被更加容易的披露。如果一个公司因贿赂被起诉，但是这个公司已经有了完善的合规体系，且该体系包含用于管理腐败风险的政策、流程以及举报系统，那么这些因素都可以被用于抗辩或用于减小诉讼给公司带来的损失。
      此外，拥有ISO37001的认证可以说明公司已经有了一个良好的合规体系。与其他ISO认证类似，在外部合作方已经通过ISO37001后，也将更快推动公司对于其供应商和第三方的尽职调查。这是一个极大的商业优势。尤其在采购领域，这一认证可以有力证明自身的合规性。

4   反贿赂管理标准将成为相关招标采购必备条件
       ISO37001是全球第一个反贿赂管理体系国际标准，2016年一经发布就广受关注，深圳作为我国反贿赂管理体系标准的试点城市，也于2017年6月正式发布国内首个反贿赂管理体系地方标准。
《ISO37001标准》体现了国际上反贿赂的最佳实践，为各类组织反贿赂管理提供了系统化的管理方法，具有广泛的借鉴意义。针对组织所面临的贿赂风险，标准对于不同组织实施相适应的方针、程序和控制措施都有明确要求，因此可用于所有地方和所有组织，不管其规模和性质。

未来，ISO37001会成为国际大型工程招标采购、国际大型公司选择供应商、政府招标采购的优先甚至是必备条件，一些专业领域认证标准已加入或者即将加入ISO37001的要求。《反贿赂管理体系》深圳标准借鉴了ISO37001反贿赂管理体系国际标准及国内外反贿赂的实践经验，既与国际接轨又体现深圳特色，既有前瞻性又有操作性，同时积极推进试点工作，为标准实施推广积累经验。

5   ISO37001认证流程:
       提交申请文件（相关的企业信息、组织结构、认证范围、具体流程、程序文件、质量手册、管理文件、）------签订认证合同-----安排审核计划-----九千组织现场审核-------关闭不合格---颁发发证证书进入持续改进模式;
ISO37001认证周期:
      组织成立时间不低于3个月，反贿赂体系文件运行3个月以上。
ISO37001认证的益处:
   提高组织的反贿赂体系能管理能力!
  减小业务过程中的贿赂腐败，降低组织运行成本、提高运行效率！
  给你提供一个进入全球化市场的通行证！
   向主管部门证明本单位反贿赂管理水平！
  代表了最先进的全球反贿赂管理思想！
我们的资历和优势
   我们在反贿赂管理体系认证领域拥有专业的认证技术团队!
  我们的认证工作人员在反贿赂领域中有丰富的专业管理审核技能！
   我们的认证关注客户绩效和满意、将客户的利益最大化!

我们提供增值服务，我们的方法是在服务过程中关注绩效,而不是强调合规性!

4.3 确定体系范围
组织应明确反贿赂管理体系的边界和适用性，以确定其覆盖范围。确定范围时应考虑：
a) 组织的规模、结构及委托决策权；
b) 组织正在开展或即将开展的业务区域和行业；
c) 组织活动及运营的性质、规模和复杂性；
d) 组织的商业模式；
e) 受组织控制的机构或控制组织的机构；
f) 组织的商业伙伴；
g) 与公职人员来往的性质和程度；
h) 需履行的法定、监管、合同以及专业的义务和责任；
i) 4.2 中的要求；
j) 6.1 中提及的风险评估结果。
注：组织对不纳入体系范围的情形应说明理由并形成文件，任何未纳入范围的情形不影响反贿赂管理体系的要求。
4.4 制定方针
组织应制定适用的反贿赂方针，至少包含以下内容：
a) 明确禁止贿赂，遵守适用于组织的所有反贿赂法律法规；
b) 与组织宗旨相适应，包括对满足反贿赂管理体系要求的承诺；
c) 提供制定、审核与实现反贿赂目标的框架；
d) 申明反贿赂合规职能的权限和独立性；
e) 鼓励对反贿赂管理的正面关注，鼓励基于善意与信任的汇报，表明违反反贿赂方针的后果。反贿赂方针应：
a) 由组织最高管理者审批和发布；
b) 形成文件并保存；
c) 在组织内以恰当的方式向员工宣贯，并向商业伙伴传达；
d) 定期评审和更新，确保其可被利益相关方获取。
4.5 确立目标
组织应确定相关部门和人员的反贿赂目标，以减少及避免贿赂行为。目标应可测量、监视和沟通，并形成文件。
适用时，反贿赂目标可为：
a) 贿赂风险的管控率；
b) 贿赂事件发生率；
c) 贿赂事件有效处置率；
d) 通过公平、公正和公开采购、营销的业务量比例等。
组织应适时评审反贿赂目标，并适当更新。
重IATF16949

10   管理职责
5.1 管理承诺
最高管理者应通过以下活动，对其建立、实施反贿赂管理体系并持续改进的承诺提供证据：
a) 审批和签发反贿赂方针；
b) 制定反贿赂目标；
c) 进行管理评审；
d) 确保资源得到配置；
e) 在组织内传达有效反贿赂管理和满足反贿赂管理体系要求的重要性；
f) 在组织内营造适当的反贿赂文化；
g) 促进反贿赂管理体系的持续改进；
h) 支持其他管理岗位在其职权范围内预防和识别贿赂风险。
5.2 职责、权限与沟通
5.2.1 职责和权限
最高管理者应确保组织内的职责、权限得到规定和沟通。
各级管理者应确保所属部门的员工遵守并执行与其职责相关的反贿赂管理体系要求。
5.2.2 反贿赂合规职能
最高管理者应任命合适人员或合适部门负责反贿赂管理体系实施和运作，并确保其具有以下职责和权限：
a) 确保反贿赂管理体系所需的过程得到建立、实施、维护和持续改进；
b) 确保反贿赂管理体系符合适用的法律法规及本文件的要求；
c) 组织风险评估；
d) 对举报的贿赂事件进行管理、调查及核实；
e) 向员工提供反贿赂管理体系以及反贿赂相关问题的培训、建议和指导；
f) 定期或适时向最高管理者汇报反贿赂管理体系的成效；
g) 与执纪执法等部门进行沟通和对接。
注：反贿赂合规人员可以由专职或兼职人员担任。
5.2.3 沟通
组织应建立适当的内外部沟通渠道，向员工及商业伙伴公开和传达其反贿赂方针及反贿赂管理体系的其他要求。组织应确保所有员工了解并遵守反贿赂相关要求，并保留相关记录。

重IATF16949

6 反贿赂风险评估
6.1 总则
组织应建立科学、系统的贿赂风险评估程序，以识别、分析、评价和处置风险，并定期评审风险评估程序及评估结果的适宜性和有效性。
风险评估程序应包括：
a) 确定评估范围；
b) 评估频率；
SZDB/Z 245—2017
8
c) 风险优先级划分的标准；
d) 风险处置策略和管控措施；
e) 形成文件并留档保存。
注：贿赂风险识别的具体方法可参考GB/T 27921-2011。
6.2 风险识别
风险识别是认知和记录贿赂风险的过程，组织在识别其活动过程中的贿赂风险时，应检查：
a) 可适用的法律法规及规范性文件的要求；
b) 经营活动及业务获得的方式；
c) 组织机构及岗位职责；
d) 新增项目、交易、活动或供应商；
e) 商业伙伴的透明程度；
f) 利益相关方；
g) 已往案例；
h) 行业或商业惯例等。
识别出的风险，应包含以下要素：
a) 涉及人员；
b) 诱因；
c) 发生时间；
d) 发生地点；
e) 如何发生。
注：组织面临的贿赂风险根据其规模大小、行业运作情况、性质和复杂性等因素变化。
6.3 风险分析
组织应分析已识别的风险，以确定风险高低。组织进行风险分析时，可考虑以下因素：
a) 风险性质；
b) 风险发生的可能性；
c) 风险的影响程度。
6.4 风险评价
组织应确定适宜的风险评价标准，以划分所识别风险的等级。
6.5 风险处置
确__________定风险等级后，组织应为每种类别或等级的风险制定适用的风险管控措施，并评估此类风险现有管控措施的有效性。
组织应根据组织环境、法律法规的变化，对风险管控措施进行定期评审和修改。

重IATF16949

7 反贿赂支持
7.1 文件化信息
反贿赂管理体系文件应包括：
a) 反贿赂方针与目标；
SZDB/Z 245—2017
b) 贿赂风险管控措施规划和监视程序；
c) 贿赂行为的汇报和处置程序；
d) 风险评估和尽职调查程序；
e) 贿赂风险清单；
f) 为确保过程有效策划、运行和控制所需的文件，包括记录。
注1：文件可采用任何类型的媒介进行保存。
注2：文件复杂程度因组织的规模、业务类型、体系过程及相互作用的复杂程度、人员能力以及面临的风险等因素的不同而不同。
组织在创建、维护和更新反贿赂管理体系相关文件信息时，应：
a) 确保这些文件包含必要的信息（如标题、日期、版本、审核与批准状态等），并易于理解（如以工具表、流程表等形式）、获取和传播（如纸质版、电子版）；
b) 采取适当的措施对相关文件信息进行存档和管理，以确保文件得到有效的保护、分发、使用和处理。
注：组织可依据自身的文件保留政策自行决定存档方式。
7.2 资源支持
组织应当明确并提供建立、实施、维护和持续改进反贿赂管理体系所需的人力、物力和财力等资源。组织在配置人力资源时，应：
a) 确保从事影响反贿赂绩效相关工作的人员（如反贿赂合规职能）具备适合的教育背景、培训、技能和经验，以确保反贿赂管理体系有效运作；
b) 如有必要，提供培训或采取其他措施以获得所需能力，并评价采取措施的有效性；
c) 保留作为能力证据的适当文件化信息。
注：适用的措施可包括：对员工进行培训、指导，或重新任命人员、雇用优秀人才等。
7.3 雇用程序
对所有的员工，组织应：
a) 雇用条件中要求被雇用人员必须遵守组织的反贿赂方针，同时有权对任何违反反贿赂方针的行为进行处置；
b) 员工入职后，在合理时间内提供反贿赂方针或获取渠道，并提供相关的培训机会；
c) 制定违反反贿赂方针的处理程序；
d) 如有以下情况，员工不会受到报复、歧视或纪律处分（如威胁、孤立、降级、限制晋升、调岗、解雇、欺负、伤害或其他形式的干扰）：
1) 因合理识别出活动的贿赂风险在低风险以上水平且组织尚未管控到该风险，而拒绝参与或毁约；
2) 善意或基于合理相信提出、汇报企图、实际或可疑的贿赂，或者违反反贿赂方针、反贿赂管理体系的情况（不包括个人参与的情况）。
对于低贿赂风险以上的员工，组织应：
a) 在对其聘用或晋升之前进行背景调查，以确定可合理地相信其能遵守反贿赂方针和反贿赂管理体系的要求；
b) 定期审查员工的绩效奖金、绩效目标和其它薪资奖励因素，以确保员工的利益得到合理的保障；
c) 此类员工及最高管理者必须根据已识别的风险程度定期发布声明，表明其遵守反贿赂方针。
7.4 意识与培训
SZDB/Z 245—2017
组织应提高员工的反贿赂风险意识并为员工提供充分和适当的培训。
组织应根据员工的岗位、面临的贿赂风险以及不断变化的内外部环境，定期（具体周期由组织决定）提供反贿赂意识培训；应根据需要定期更新培训方案以反映相关新信息。
组织向员工提供培训时，应包括以下内容：
a) 组织的反贿赂方针和流程，反贿赂管理体系，以及员工遵守政策与体系的责任；
b) 贿赂对组织和员工造成的风险和损失；
c) 可能发生的与其职能相关的贿赂情况，及其识别方法；
d) 如何预防和避免贿赂发生，并识别关键风险指标；
e) 员工对反贿赂管理体系有效性的贡献，包括提升反贿赂绩效及汇报可疑贿赂带来的效益；
f) 违反反贿赂管理体系要求所带来的影响和潜在后果；
g) 发现任何问题时的汇报对象和途径；
h) 可用培训和资源的相关信息；
i) 基于已识别的风险，组织应对低贿赂风险以上的商业伙伴提供适当的反贿赂培训。
注：对商业伙伴的培训与要求可通过合同或类似文件进行沟通，可由组织、商业伙伴或其它机构执行。

重IATF16949

8 反贿赂管理体系的实施
8.1 总则
组织应根据反贿赂方针实施包括但不限于8.2至8.12中提及的管控措施，形成文件并留档，以确保流程按计划执行。
组织应确保外包流程得到控制和监督。