verified_user
Standardful
首页chevron_right标准chevron_rightISO 37001:2025
有效国际标准update 标准更新:2025年2月fact_check 事实核查:2026年6月28日

ISO 37001:2025

反贿赂管理体系 使用指南要求

apartment发布组织:国际标准化组织 (ISO)

标准简介

ISO 37001:2025 是当前的反贿赂管理体系国际标准,取代 ISO 37001:2016,为组织预防、检测和应对贿赂行为提供系统化管理框架。该标准适用于所有类型的组织,无论规模、行业或地域,涵盖组织自身人员、代表组织行事的人员以及业务合作伙伴相关的贿赂风险。ISO 37001 可独立实施,也可与 ISO 9001、ISO 37301 等管理体系整合。

ISO 37001 要求组织进行贿赂风险评估、制定反贿赂政策、建立尽职调查程序、实施财务和非财务控制措施、建立举报机制、开展培训和沟通,以及进行监督和审核。该标准特别强调最高管理层和治理机构的承诺、反贿赂合规职能的独立性和权限、以及对商业伙伴的尽职调查。认证由认可的第三方认证机构进行,有效期为三年,每年进行监督审核。ISO 37001 认证在政府采购、国际开发项目和合规敏感行业(如建筑、能源、国防、金融服务)中越来越被视为组织诚信的证明。

shield

反贿赂控制

提供了在组织及其业务伙伴内实施政策、程序和控制的框架,以预防、发现和应对贿赂行为。

assessment

贿赂风险评估

要求基于国家、行业、交易类型和业务伙伴关系等因素,系统性识别和评估贿赂风险。

account_balance

监管一致性

支持遵守 US FCPA、UK Bribery Act 等反贿赂法律及全球类似立法。认证可作为合理程序的证明。

list_alt ABMS 核心要素

  • 反贿赂方针与目标
  • 贿赂风险评估方法
  • 对业务伙伴与交易的尽职调查
  • 财务与非财务控制
  • 反贿赂合规职能的独立性
  • 举报与吹哨机制
  • 调查与整改程序
  • 培训、意识与沟通

谁需要合规?

groups

任何寻求建立或加强反贿赂控制的组织——公共、私营或非营利组织。对于在高风险行业或国家运营的组织、政府承包商,以及受 FCPA、UK Bribery Act 或类似法律约束的实体尤为重要。

关键要求

1

反贿赂方针

最高管理者应制定禁止贿赂、要求遵守适用法律的反贿赂方针,并向全体人员及业务伙伴传达。

2

贿赂风险评估

定期开展评估以识别、分析和评价贿赂风险。考虑国家、行业、交易和业务关系等风险因素。对已识别的风险进行优先级排序并加以处置。

3

尽职调查

对业务伙伴、人员及特定交易开展基于风险的尽职调查。尽职调查的程度应与评估的贿赂风险相称。

4

财务与非财务控制

实施控制以管理贿赂风险,包括审批权限、职责分离、礼品与招待政策,以及对所有交易的充分记录保存。

5

反贿赂合规职能

任命具有权限、资源并可直接向治理机构报告的独立反贿赂职能。负责监督 ABMS 的设计、实施与有效性。

实施路线图

1
阶段 1schedule 预计周期: 2-4 周

准备范围、责任和监管背景

围绕业务单元、受控实体、合资企业、代理、供应商和高风险交易定义反贿赂管理体系范围。指定责任人,识别适用法律、客户、认证或市场准入驱动因素,并在整改前约定证据模型。

2
阶段 2schedule 预计周期: 4-8 周

差距分析和基于风险的计划

依据 ISO 37001 期望和风险背景评估当前实践。审查反贿赂方针、领导承诺、合规职能独立性、贿赂风险评估、尽职调查、财务和非财务控制、礼品招待、举报、调查和纠正措施,并按法律暴露、客户影响、安全或隐私风险以及审核或提交准备度排列差距优先级。

3
阶段 3schedule 预计周期: 8-20 周

实施控制、文档和证据

部署所需流程、控制、评审、培训、供应商控制和成文信息。围绕贿赂风险评估、尽职调查文件、培训记录、审批日志、礼品招待登记册、调查记录、纠正措施和管理评审建立可追溯证据。

4
阶段 4schedule 预计周期: 持续进行

评审、审核并维护合规

在认证审核前完成内部评审、准备度检查和纠正措施。产品、供应商、法律、客户、事件或运营变化后保持项目更新。

合规检查清单

0 / 12

checklist 范围与问责

checklist 控制与记录

checklist 监控与改进

处罚与执行

warning

ISO 37001 属于自愿性标准,未获认证无直接处罚。然而,相关反贿赂法律规定了严厉处罚:FCPA 对实体每次违规罚款最高可达 200 万美元,个人最高可判处 5 年监禁;UK Bribery Act 处罚包括无上限罚款和最高 10 年监禁。

常见问题解答

谁需要 ISO 37001?

expand_more

ISO 37001 适用于活动落入业务单元、受控实体、合资企业、代理、供应商和高风险交易的组织。采用动因通常来自监管、客户、采购要求、市场准入,或证明组织能纪律化控制高影响风险的需要。

ISO 37001 的核心目的是什么?

expand_more

核心目的是为反贿赂方针、领导承诺、合规职能独立性、贿赂风险评估、尽职调查、财务和非财务控制、礼品招待、举报、调查和纠正措施建立可重复运行的项目。不同领域细节不同,但实践目标都是让义务可见、分配责任、运行控制并保持证据最新。

首先应做什么?

expand_more

先确认范围和所有权。许多失败源于边界不清、缺少责任人,或证据与实际产品、服务、系统或数据流不匹配。

实施需要多长时间?

expand_more

聚焦实施通常需要数月。周期取决于成熟度、产品或场所数量、供应商参与度、技术复杂度、测试证据以及外部审查深度。

哪些证据最有用?

expand_more

有用证据包括贿赂风险评估、尽职调查文件、培训记录、审批日志、礼品招待登记册、调查记录、纠正措施和管理评审。审核员、监管机构、客户或审评人员通常期望看到控制正在运行,而不仅是政策存在。

应如何管理供应商?

expand_more

供应商责任应通过合同和运行流程明确。高风险供应商需要尽职调查、下传要求、证据请求、绩效监控以及针对发现项或事件的升级路径。

项目应多久评审一次?

expand_more

评审频率应跟随风险和变化。年度评审很常见,但产品发布、事件、监管变化、客户要求、重大供应商或审核发现应更早触发专项评审。

可以与其他合规项目整合吗?

expand_more

可以。ISO 37001 通常可以与相关标准共享治理、培训、供应商管理、文件控制、问题跟踪、内部审核和管理评审,同时保留自身特定法律或技术证据。

官方文档

查看全部

实施时间线

group_work
2013年
ISO/PC 278 project committee established to develop anti-bribery standard
flag
2016年10月
ISO 37001:2016 first edition published
public
2017-2019
Rapid global adoption — certifications issued in 40+ countries
new_releases
2025年2月
ISO 37001:2025 second edition published with enhanced culture and conflict-of-interest requirements
event_busy
2027年2月
Deadline for transition from 2016 to 2025 edition

相关分类