verified_user
Standardful
首頁chevron_right標準chevron_rightISO 37001:2025
現行有效國際標準update 標準更新:2025年2月fact_check 事實核查:2026年6月28日

ISO 37001:2025

反賄賂管理系統 使用指南要求

apartment發布組織:國際標準化組織 (ISO)

標準簡介

ISO 37001:2025 是現行的反賄賂管理系統(ABMS)國際標準,取代 ISO 37001:2016。它規定建立、實施、維護和持續改進預防、偵測和應對賄賂措施的要求,適用於任何規模、產業或地點的公共、民間與非營利組織。

此標準要求組織進行賄賂風險評估,實施相應的反賄賂政策和控制措施,對商業合作夥伴和交易建立盡職調查程序,並建立具有通報和檢舉機制的獨立合規監督。ISO 37001 認證表明組織已建立合理的反賄賂程序,可為依據美國《反海外腐敗法》和英國《賄賂法》等法律的抗辯提供支持。修訂版(ISO 37001:2025)已於 2025 年 2 月發布,轉換截止日期為 2027 年 2 月。

shield

反賄賂控制

提供在組織及其業務夥伴內實施政策、程序與控制的框架,以預防、偵測並回應賄賂行為。

assessment

賄賂風險評估

要求依國家、產業、交易型態及業務夥伴關係等因素,系統性辨識並評估賄賂風險。

account_balance

法規對齊

支援遵循 US FCPA、UK Bribery Act 等反賄賂法律以及全球類似立法。認證可作為合理程序之佐證。

list_alt ABMS 核心要素

  • 反賄賂政策與目標
  • 賄賂風險評估方法
  • 對業務夥伴與交易之盡職調查
  • 財務與非財務控制
  • 反賄賂法遵職能之獨立性
  • 檢舉與吹哨機制
  • 調查與矯正程序
  • 訓練、意識與溝通

誰需要合規?

groups

任何尋求建立或強化反賄賂控制的組織——公共、私部門或非營利。對於在高風險產業或國家營運的組織、政府承包商,以及受 FCPA、UK Bribery Act 或類似法律規範之實體尤具價值。

關鍵要求

1

反賄賂政策

最高管理階層應制定禁止賄賂、要求遵循適用法律之反賄賂政策,並向全體人員及業務夥伴傳達。

2

賄賂風險評估

定期進行評估以辨識、分析並評估賄賂風險。考量國家、產業、交易與業務關係之風險因素。就已辨識之風險排序並加以處理。

3

盡職調查

對業務夥伴、人員及特定交易施行基於風險之盡職調查。盡職調查程度應與所評估之賄賂風險相稱。

4

財務與非財務控制

實施控制以管理賄賂風險,包括核准權限、職務分工、禮品與招待政策,以及對所有交易之充分紀錄保存。

5

反賄賂法遵職能

指派具備權限、資源並可直接向治理機構報告之獨立反賄賂職能。負責監督 ABMS 之設計、實施與有效性。

實施路線圖

1
階段 1schedule 預計週期: 2-4 周

准备範圍、責任和監管背景

圍繞業務單元、受控實體、合資企业、代理、供應商和高風險交易定義反賄賂管理體系範圍。指定責任人,識別適用法律、客戶、認證或市場准入驅動因素,并在整改前約定證據模型。

2
階段 2schedule 預計週期: 4-8 周

差距分析和基於風險的計畫

依据 ISO 37001 期望和風險背景評估目前實務。審查反賄賂方针、领导承诺、合規職能獨立性、賄賂風險評估、盡職調查、财务和非财务控制、禮品招待、舉報、調查和矯正措施,并按法律暴露、客戶影響、安全或隱私風險以及稽核或提交準備度排列差距優先順序。

3
階段 3schedule 預計週期: 8-20 周

實施控制、文件和證據

部署所需流程、控制、審查、訓練、供應商控制和文件化資訊。圍繞賄賂風險評估、盡職調查文件、訓練記錄、審批日誌、禮品招待登記册、調查記錄、矯正措施和管理審查建立可追溯證據。

4
階段 4schedule 預計週期: 持續進行

審查、稽核并維護合規

在認證稽核前完成內部審查、準備度檢查和矯正措施。產品、供應商、法律、客戶、事件或營運變化后保持專案更新。

合規檢查清單

0 / 12

checklist 範圍与問責

checklist 控制与記錄

checklist 監控与改进

處罰與執行

warning

ISO 37001 屬自願性標準,未取得認證無直接罰則。惟相關反賄賂法律有嚴厲罰則:FCPA 對實體每次違規最高罰款 200 萬美元,個人最高判處 5 年徒刑;UK Bribery Act 罰則包括無上限罰款與最高 10 年徒刑。

常見問題解答

谁需要 ISO 37001?

expand_more

ISO 37001 適用于活動落入業務單元、受控實體、合資企业、代理、供應商和高風險交易的組織。採用动因通常来自監管、客戶、採購要求、市場准入,或證明組織能紀律化控制高影響風險的需要。

ISO 37001 的核心目的是什么?

expand_more

核心目的是为反賄賂方针、领导承诺、合規職能獨立性、賄賂風險評估、盡職調查、财务和非财务控制、禮品招待、舉報、調查和矯正措施建立可重複執行的專案。不同領域细节不同,但實務目标都是让義務可见、分配責任、執行控制并保持證據最新。

首先应做什么?

expand_more

先確認範圍和所有權。许多失敗源于邊界不清、缺少責任人,或證據与實際產品、服务、系統或資料流不匹配。

實施需要多长時間?

expand_more

聚焦實施通常需要數月。週期取決於成熟度、產品或場所數量、供應商參與度、技術複雜度、測試證據以及外部審查深度。

哪些證據最有用?

expand_more

有用證據包括賄賂風險評估、盡職調查文件、訓練記錄、審批日誌、禮品招待登記册、調查記錄、矯正措施和管理審查。稽核员、監管機構、客戶或審評人員通常期望看到控制正在執行,而不仅是政策存在。

应如何管理供應商?

expand_more

供應商責任应通过合約和執行流程明確。高風險供應商需要盡職調查、下傳要求、證據請求、績效監控以及针对發現項或事件的升級路徑。

專案应多久審查一次?

expand_more

審查频率应跟随風險和變化。年度審查很常見,但產品發布、事件、監管變化、客戶要求、重大供應商或稽核发现应更早觸發專項審查。

可以与其他合規專案整合吗?

expand_more

可以。ISO 37001 通常可以与相关標準共享治理、訓練、供應商管理、文件控制、問題追蹤、內部稽核和管理審查,同时保留自身特定法律或技術證據。

官方文件

查看全部

實施時間線

group_work
2013年
ISO/PC 278 project committee established to develop anti-bribery standard
flag
2016年10月
ISO 37001:2016 first edition published
public
2017-2019
Rapid global adoption — certifications issued in 40+ countries
new_releases
2025年2月
ISO 37001:2025 second edition published with enhanced culture and conflict-of-interest requirements
event_busy
2027年2月
Deadline for transition from 2016 to 2025 edition

相關分類