标准简介
ISO 37001:2025 是当前的反贿赂管理体系国际标准,取代 ISO 37001:2016,为组织预防、检测和应对贿赂行为提供系统化管理框架。该标准适用于所有类型的组织,无论规模、行业或地域,涵盖组织自身人员、代表组织行事的人员以及业务合作伙伴相关的贿赂风险。ISO 37001 可独立实施,也可与 ISO 9001、ISO 37301 等管理体系整合。
ISO 37001 要求组织进行贿赂风险评估、制定反贿赂政策、建立尽职调查程序、实施财务和非财务控制措施、建立举报机制、开展培训和沟通,以及进行监督和审核。该标准特别强调最高管理层和治理机构的承诺、反贿赂合规职能的独立性和权限、以及对商业伙伴的尽职调查。认证由认可的第三方认证机构进行,有效期为三年,每年进行监督审核。ISO 37001 认证在政府采购、国际开发项目和合规敏感行业(如建筑、能源、国防、金融服务)中越来越被视为组织诚信的证明。
反贿赂控制
提供了在组织及其业务伙伴内实施政策、程序和控制的框架,以预防、发现和应对贿赂行为。
贿赂风险评估
要求基于国家、行业、交易类型和业务伙伴关系等因素,系统性识别和评估贿赂风险。
监管一致性
支持遵守 US FCPA、UK Bribery Act 等反贿赂法律及全球类似立法。认证可作为合理程序的证明。
list_alt ABMS 核心要素
- 反贿赂方针与目标
- 贿赂风险评估方法
- 对业务伙伴与交易的尽职调查
- 财务与非财务控制
- 反贿赂合规职能的独立性
- 举报与吹哨机制
- 调查与整改程序
- 培训、意识与沟通
谁需要合规?
任何寻求建立或加强反贿赂控制的组织——公共、私营或非营利组织。对于在高风险行业或国家运营的组织、政府承包商,以及受 FCPA、UK Bribery Act 或类似法律约束的实体尤为重要。
关键要求
反贿赂方针
最高管理者应制定禁止贿赂、要求遵守适用法律的反贿赂方针,并向全体人员及业务伙伴传达。
贿赂风险评估
定期开展评估以识别、分析和评价贿赂风险。考虑国家、行业、交易和业务关系等风险因素。对已识别的风险进行优先级排序并加以处置。
尽职调查
对业务伙伴、人员及特定交易开展基于风险的尽职调查。尽职调查的程度应与评估的贿赂风险相称。
财务与非财务控制
实施控制以管理贿赂风险,包括审批权限、职责分离、礼品与招待政策,以及对所有交易的充分记录保存。
反贿赂合规职能
任命具有权限、资源并可直接向治理机构报告的独立反贿赂职能。负责监督 ABMS 的设计、实施与有效性。
实施路线图
准备范围、责任和监管背景
围绕业务单元、受控实体、合资企业、代理、供应商和高风险交易定义反贿赂管理体系范围。指定责任人,识别适用法律、客户、认证或市场准入驱动因素,并在整改前约定证据模型。
差距分析和基于风险的计划
依据 ISO 37001 期望和风险背景评估当前实践。审查反贿赂方针、领导承诺、合规职能独立性、贿赂风险评估、尽职调查、财务和非财务控制、礼品招待、举报、调查和纠正措施,并按法律暴露、客户影响、安全或隐私风险以及审核或提交准备度排列差距优先级。
实施控制、文档和证据
部署所需流程、控制、评审、培训、供应商控制和成文信息。围绕贿赂风险评估、尽职调查文件、培训记录、审批日志、礼品招待登记册、调查记录、纠正措施和管理评审建立可追溯证据。
评审、审核并维护合规
在认证审核前完成内部评审、准备度检查和纠正措施。产品、供应商、法律、客户、事件或运营变化后保持项目更新。
合规检查清单
checklist 范围与问责
checklist 控制与记录
checklist 监控与改进
处罚与执行
ISO 37001 属于自愿性标准,未获认证无直接处罚。然而,相关反贿赂法律规定了严厉处罚:FCPA 对实体每次违规罚款最高可达 200 万美元,个人最高可判处 5 年监禁;UK Bribery Act 处罚包括无上限罚款和最高 10 年监禁。
常见问题解答
谁需要 ISO 37001?
expand_more
ISO 37001 适用于活动落入业务单元、受控实体、合资企业、代理、供应商和高风险交易的组织。采用动因通常来自监管、客户、采购要求、市场准入,或证明组织能纪律化控制高影响风险的需要。
ISO 37001 的核心目的是什么?
expand_more
核心目的是为反贿赂方针、领导承诺、合规职能独立性、贿赂风险评估、尽职调查、财务和非财务控制、礼品招待、举报、调查和纠正措施建立可重复运行的项目。不同领域细节不同,但实践目标都是让义务可见、分配责任、运行控制并保持证据最新。
首先应做什么?
expand_more
先确认范围和所有权。许多失败源于边界不清、缺少责任人,或证据与实际产品、服务、系统或数据流不匹配。
实施需要多长时间?
expand_more
聚焦实施通常需要数月。周期取决于成熟度、产品或场所数量、供应商参与度、技术复杂度、测试证据以及外部审查深度。
哪些证据最有用?
expand_more
有用证据包括贿赂风险评估、尽职调查文件、培训记录、审批日志、礼品招待登记册、调查记录、纠正措施和管理评审。审核员、监管机构、客户或审评人员通常期望看到控制正在运行,而不仅是政策存在。
应如何管理供应商?
expand_more
供应商责任应通过合同和运行流程明确。高风险供应商需要尽职调查、下传要求、证据请求、绩效监控以及针对发现项或事件的升级路径。
项目应多久评审一次?
expand_more
评审频率应跟随风险和变化。年度评审很常见,但产品发布、事件、监管变化、客户要求、重大供应商或审核发现应更早触发专项评审。
可以与其他合规项目整合吗?
expand_more
可以。ISO 37001 通常可以与相关标准共享治理、培训、供应商管理、文件控制、问题跟踪、内部审核和管理评审,同时保留自身特定法律或技术证据。