引 言
贿赂是一种普遍现象。它会引发严重的道德、经济和政治问题,破坏良好治理,阻碍经济发展,扭曲公平竞争。它侵蚀正义、危害人权,阻碍贫困的消除。它还会増加营商成本,在商业交易中引入不确定性,增加商品和服务的成本,降低产品和服务的质量,从而可能导致生命和财产的损失,破坏机构的公信力并妨碍市场公平、高效的运行。
各国政府通过利用国际公约一一如世界经济合作与发展组织的《禁止在国际商业交易中贿赂外国公职人员公约》和《联合国反腐败公约》及其国家法律在治理贿赂上取得了一些成效。在大多数司法管辖区,虽然目前仅将个人的贿赂行为界定为犯罪,但使组织和个人都须为其贿赂行为承担责任正成为一种日益盛行的趋势。
然而,仅靠法律并不足以解决贿赂问题。因此,组织有义务通过领导层承诺建立诚信、透明、公开、合规的文化,积极打击贿赂。
组织的文化倾向决定着反贿赂管理体系的成败。本国际标准旨在通过建立反贿赂管理体系框架来支持上述文化的建立。一个良好经营的组织应该有一套由合适的管理体系衍生出的合规政策,以确保其遵守法律义务和诚信承诺。反贿赂政策是组织整体合规政策的一个组成部分。反贿赂政策及其支撑体系可以帮助组织避免或降低卷入贿赂案件的成本、风险和损害,在业务往来中建立信任关系,并提高其声誉。
本国际标准反映了国际良好实践并适用于所有司法管辖区,适用于各国所有领域的小型、中型和大型组织,包括公共、私人和非营利行业。组织所面临的贿赂风险根据其组织规模大小、所属地区和行业运作情况、组织活动的性质、规模和复杂性等因素的不同而变化。因此,本国际标准要求的由组织实施的政策、过程和管控措施应与其所面临的贿赂风险相适宜的。实施本国际标准要求的指南见附录A。
对于组织来说,遵守本标准并不能杜绝贿赂的发生,因为完全消除贿赂风险是不可能的。
然而,该标准可以帮助组织实施合理和适当的措施,用以预防、发现和处置贿赂。本国际标准可结合ISO 19600和其他管理体系标准如ISO 9001、ISO 14001 、ISO 22000、ISO 26000 和 ISO 31000 —起使用。
反贿赂管理体系 要求及使用指南
ISO 37001:2016
1 范 围
本国际标准为制定、实施、维护、评估以及改进反贿赂管理体系制定了具体要求并提供了指南。本体系可以独立或者纳入组织的整体管理体系中实施。本标准解决与组织活动相关的下列贿赂:
a)公共、私营和非营利部门中的贿赂:
b)组织实施的贿赂;
c)组织的员工代表组织或为其利益而实施的贿赂;
d)组织的商业伙伴代表组织或为其利益而实施的贿赂;
e)对组织实施的贿赂;
f)在与组织相关的活动中对其员工实施的贿赂;
g)对与组织有关的活动中对其商业伙伴实施的贿赂;
h)直接和间接贿赂(例如,通过或由第三方给予或收受贿赂)。
本国际标准只适用于贿赂,提出了反贿赂管理体系的要求并提供了实施指南,以帮助组织预防、发现和处置贿赂及遵守适用于其活动反贿赂法律和自愿承诺。在本国际标准中,“贿赂”一词是指无论在何地违反适用法律直接或间接地提供、承诺、给予、接受或索取任何价值的不当好处(可以是金钱的或非金钱的),以引诱或奖励个人利用职务之便的作为或不作为。
此外,通用的“贿赂”一词可通过反贿赂法律进一步明确,这些法律应适用于组织及为其设计的反贿赂管理体系。
本国际标准并不解决欺诈、卡特尔、反垄断/竞争罪行、洗钱或其他与腐败相关的活动等问题(尽管有些组织可能会选择将以上这类活动囊括进本管理体系范围内)。
本国际标准的要求是通用的,适用于所有组织(或其中的某些部分),无论其组织类型、活动规模和性质以及是否属于公共、私营或非营利部门。这些要求的适用范围取决于4.1、4.2和4.5中列出的因素。
如果本国际标准要求的任何部分与现行法律冲突或为现行法律所禁止,那么,组织则无须履行该要求相关的全部或部分。
- 注1:参见2。
- 注2:组织必沿的预防、发现和处置贿赂风险的措施可能与组织对其(或代表其员工或商业伙伴)实际使用的措施不同。参见8.4。
2 规范性引用文件
无
3 术语和定义
下列术语和定义适用于本国际标准。
3.1 贿赂 bribery
在任何地点,违反适用法律直接或间接地提供、承诺、给予、接受或索取任何价值的不当好处,以引诱或奖励个人利用职务之便的作为或不作为。
3.2 组织 Organization
为实现目标(3.11),有自己职责、权限和关系的个人或团体。
- 注1:组织的概念包括但不限于独资企业、公司、股份公司、事务所、企业、权力机构、合伙企业、慈善或研究机构,或以上的部分或其组合,无论其注册与否,公共还是私私有。
- 注2:对于拥有一个以上运营部门的组织,其中一个单独部门可以定义为一个组织。
3.3 利益相关方Stakeholder
可以影响决议或活动,或受决议或活动的影响,或认为自身受决议或活动影响到的个人或组织。
- 注:利益相关方可以是组织内部的也可以是组织外部的。
3.4 要求 Requirement
明示和规定的需求。
3.5 管理体系 Management System
组织制定政策、目标和过程并实现这些目标的一系列相互关联或相互作用的因素。
- 注1:一个管理体系可以解决单个或多个学科问题。
- 注2:体系包含的因素有组织架构、组织角色和职责、规划、执行等。
- 注3:管理体系的范围可包括整个组织、组织具体而确定的功能、组织具体而确定的环节、或者跨集团的一个或多个职能。
3.6 最高管理层 Top Management
领导和控制组织的一个或一组高层管理人员。
- 注1:最高管理层拥有在组织内部授权和提供资源的权力。
- 注2:如果管理体系仅覆盖组织的一部分,最高管理层就指对该部分进行领导和控制的人员。
- 注3:组织的形式有多种,取决于其运营所遵照的法律框架及其规模大小、所属行业等。有些组织可能同时设有主管部门和最高管理层,而有些组织则可能没有权责分明的多个部门。因此,在运用第5章的要求时,应考虑这些关于组织及其责任的变化情况。
3.7 主管部门 governing body
对组织的活动、管理以及政策承担最终责任和行使权力的集体或机构,并向最高管理层汇报及对其负责。
- 例如:董事会、监事会、理事会或监察委员会等。
- 注:并不是所有组织尤其是小型组织都会有独立于最高管理层的主管部门。
3.8 反贿赂合规职能 Anti-bribery compliance function
拥有运行反贿赂管理体系职责和权限的一个或多个人。
3.9 有效性 Effectiveness
规划的活动及其预期结果所实现的程度。
3.10 方针 Policy
最高管理层或主管部门表达的正式的组织的意图和方向。
3.11 目标 Objective
预计达成的结果。
- 注1:目标可以是战略、战术或操作方面。
- 注2:目标会涉及不同的学科(例如,财务、销售与营销、采购、健康和安全以及环境等方面的目标),也可以在不同的层面上进行运用(例如,战略、组织范围、项目、产品和过程。
- 注3:可以用其它方式例如预期结果、目的、操作标准来表示反贿赂目标,也可以用其他具有相同含义的词语(例如目的、目标或指标等)表达。
- 注4:反贿赂管理体系中,反贿赂目标由组织自己设定,并要求其与反贿赂政策保持一致,以实现具体结果。
3.12 风险 Risk
不确定性对目标的影响。
- 注1:影响与预期结果的偏差,表现为积极和消极的影响。
- 注2:不确定是肯定的,即使是部分的不确定。其原因是对事件及其结果或可能性的相关信息缺乏、理解偏差等。
- 注3:风险的特征通常是潜在的“事件”(见ISO指南73:2009中5.1.3的定义)和“后果”(见ISO指南73:2009中3.6.1.3的定义)或两者的组合。
- 注4:通常以事件的后果(包括环境的改变)及其发生的可能性(见ISO指南73:2009中6.1.3的定义)的组合表示风险。
3.13 能力 Competence
运用知识和技能以达到预期结果的才能。
3.14 文件信息 Documented Information
要求组织(3.01)控制和维护的信息及其载体。
- 注1:文件信息可以是任何格式、媒介和来源。
- 注2:文件信息可指:
一一管理体系(3.04),包括其相关的过程(3.14);
一一组织为了运行而创建的信息;
一一结果性证据(记录)。
3.15 过程 Process
一系列将输入转化为输出的相互关联或相互作用的活动。
3.16 绩效 Performance
可测量的结果。
- 注1:绩效可以用定量或定性描述。
- 注2:绩效与管理活动、过程、产品(包括服务)、体系或组织有关。
3.17 外包(动词)outsource(verb)
安排外部组织实施组织的部分职能或过程。
3.18 监视Monitoring
确定体系、过程或活动的状态。
- 注:为确定状态,可能需要检查、监督或严格观察。
3.19 测量 Measurement
确定价值的过程。
3.20 审核 Audit
系统、独立地获取审核证据及做出客观评价以确定满足审核标准的程度并形成文件的过程。
- 注1:审核可以是内部审核(第一方)或外部审核(第二方或第三方),也可以是联合审核(结合两个或两个以上的领域)。
- 注2:内部审核由组织自己或代表组织的外方进行。
- 注3:“审核证据”和“审核标准”在ISO 19011中有定义。
3.21 符合 Conformity
满足要求。
3.21 不符合 Nonconformity
不满足要求。
3.22 纠正措施 Correction Action
消除不符合的原因并预防再发生的行动。
3.23 持续改进 Continuous Improvement
提升绩效所不断采取的行动。
- 注:参见A.2
3.24 员工 Personnel
组织的董事、官员、雇员、临时员工或工人和志愿者。
- 注1:临时工或工人参见8.5
- 注2:不同类型的员工面临的贿赂风险类型和程度不同,因此,组织在实施其贿赂风险评估和贿赂风险管理程序应对其区别对待。
3.25 商业伙伴 Business Associate
组织己经或计划与其建立某种业务关系的外部方。
- 注1:商业伙伴包括但不限于客户、顾客、合资方、合资伙伴、联盟伙伴、外包商、承包商、专业顾问(consultants)、分包商、供应商、外包商、一般顾问(advisors)、代理人、分销商、代表、中介和投资方。这个定义较宽泛,组织可根据自己的贿赂风险偏好界定出可能会给组织带来贿赂风险的商业伙伴。
- 注2:不同类型的商业伙伴面临的贿赂风险的类型和程度不同,组织对于不同类型的商业伙伴的影响力也不同。因此,组织的贿赂风险评估和贿赂风险管理程序应对其区别对待。
- 注3:本国际标准中的“业务”广义上指与组织运营目标相关的活动。
3.26 公职人员 Public official
无论是任命或选举产生的拥有立法、执法或司法权力的人员,或履行公共职能(包括公共机构、国有企业)的人,或国内和/或国际公立组织组织的官员或代理商。
- 注:公职人员的有关示例见附录20。
3.27 第三方 Third party
独立于组织的个人或团体。
3.28 利益冲突 Conflict of Interest
可能会影响员工履职的业务、财务、家庭、政治或个人利益。
3.29 尽职调查 Due diligence
进一步评估风险的性质和程度的过程,以帮助组织对特定的交易、项目、活动、商业伙伴和员工作出决策。
4 组织背景
4.1 理解组织及其背景
组织应确定与其宗旨相关并影响反贿赂管理体系实现目标的能力的内外部因素。这些因素包括但不限于:
a)组织的大小和结构
b)组织所在或即将开展的业务区域和行业;
c)组织活动和运营的性质、规模和复杂性;
d)组织管辖的实体;
e)组织的商业伙伴;
f)与公职人员来往的性质和程度;
g)可适用的法定、监管、合同以及专业的义务和责任。
- 注:组织如果直接或间接控制另一个组织的管理层,即是指该组织控制另一个组织。
4.2 了解利益相关方的需求和期望
组织应确定:
a)与反贿赂管理体系相关的利益方,以及
b)这些利益相关方的相关需求。
- 注:在识别利益相关方的耑求时,组织可区分出它们是属于强制性要求、非强制性期望或是自愿承诺。
4.3 确定反贿赂管理体系的范围
组织应明确反贿赂管理体系的边界和适用性,以确定其范围。确定范围时,组织应考虑:
a)4.1中的内部和外部因素;
b)4.2中的要求;
c)4.5中提及的风险评估结果。
范围应该作为文件信息公开提供。
4.4 反贿赂管理体系
组织应根据本国际标准的要求,建立、记录、实施、维护和持续评审以及必要时改进反贿赂管理体系,包括所需的过程及其相互作用。
反贿赂管理体系应包含识别和评估贿赂风险及预防、发现和处置贿赂的措施。
- 注1:完全消除贿赂风险是不可能的,没有任何一个反贿赂管理体系能够预防和发现所有的贿赂行为。
反贿赂管理体系应是合理和适当的,且考虑了4.3所提及的因素。
- 注2:见A.3。
4.5 贿赂风险评估
4.5.1 组织应开展贿赂风险评估,包括:
a)考虑4.1 所提及的因素,识别组织可能合理地预料到的贿赂风险;
b)评估已识别的贿赂风险并对其进行优先排序;
c)评价组织现有控制方法管控已识别出的风险的适合性和有效性。
4.5.2 组织应在考虑其政策和目标上制定标准,以评价贿赂风险的水平。
4.5.3 对贿赂风险评估的评审应:
a)定期进行,以可基于组织确定的时间和频率正确地评估变化了和最新的信息;
b)在组织的结构或活动发生重大变更时进行。
4.5.4 组织应保持文件信息以证明贿赂风险评估己经实施,并将其用于反贿赂管理体系的设计活动中。
- 注:见A.4
5 领 导
5.1 领导和承诺
5.1.1 主管部门
当组织有主管部门时,该部门应通过以下活动表明对反贿赂管理体系的领导作用和承诺:
a)批准组织的反贿赂政策;
b)定期接收和评审关于组织的反贿赂管理体系的内容和实施信息;
c)确保反贿赂管理体系有效运行所需的合适和充足资源得到分配;
d)对由最高管理层执行的反贿赂管理体系实施活动及该体系的有效性进行合理的监督。
- 注:组织如果没有主管部门,应由最高管理层实施这些活动。
5.1.2 最高管理层
最高管理层应通过以下活动表明对反贿赂管理体系的领导作用和承诺:
a)确保反贿赂管理体系(包括其政策和目标)得到建立、实施、维护、评审,以能充分地处置组织的贿赂风险;
b)确保将反贿赂管理体系的要求融入到组织的业务过程中;
c)为反贿赂管理体系的有效运行配置充足和适当的资源;
d)在组织内外部沟通反贿赂政策;
c)在组织内传达有效反贿赂管理和满足反贿赂管理体系要求的重要性;
d)确保反贿赂管理体系取得预期结果;
g)指导与鼓励员工为反贿赂管理体系的有效性做出贡献;
h)在组织内营造适当的反贿赂文化;
i)促进持续改进;
j)支持其他相关管理岗位在其各自职责领域预防和发现贿赂;
k)鼓励员工汇报怀疑和实际的贿赂(见8.9);
l)确保员工不因善意或基于合理相信举报违反或涉嫌违反组织反贿赂政策的行为或拒绝参与贿赂(组织可能因此丧失业务机会)(个人违反参与的除外)而遭受报复、歧视或纪律处分;
m)定期向主管部门(若有)汇报反贿赂管理体系的内容和运行以及对严重和/或系统性贿赂的指控情况。
- 注:参见A.5
5.2 反贿赂政策
最高管理层应制定、评审并维护的反贿赂政策:
a)禁止贿赂;
b)要求遵守适用于组织的反贿赂法律;
c)与组织宗旨相适应;
d)提供制定、审核与实现反贿赂目标的框架;
e)包括对满足反贿赂管理体系要求的承诺;
f)确保不会因举报而遭受报复:
g)包括持续改进反贿赂管理体系的承诺;
h)声明反贿赂合规职能的权限和独立性;以及
i)解释不遵守反贿赂政策的后果。
反贿赂政策应:
a)以文件的形式提供;
b)在组织内以恰当的形式进行沟通并向超过低贿赂风险的商业伙伴进行传达;
c)适用时,可被利益相关方获得。
5.3 组织角色、职责和权限
5.3.1 角色和职责
最高管理层应承担实施和遵守5.1.2 中所述的反贿赂管理体系的总体职责。
最高管理层应确保相关角色的职责和权限在组织内得到分配和沟通。
各级管理者应确保其部门或职责运用和遵守了反贿赂管理体系的要求。
主管部门(若有)、最高管理层和其他所有员工应理解、遵守和运用与其角色相关的反贿赂管理体系要求。
5.3.2 反贿赂合规职能
最高管理层应当授予反贿赂合规职能以下职责和权限:
a)监督由组织设计和实施反贿赂管理体系;
b)向员工提供关于反贿赂管理体系以及贿赂相关问题的建议和指导;
c)确保反贿赂管理体系符合本国际标准的要求;
d)适当时,向主管部门(若有)、最高管理层和其他合规职能汇报反贿赂管理体系的绩效。
组织应为反贿赂合规职能配备充足的资源和拥有适当的能力、地位和独立性的人员。
一旦出现与贿赂或反贿赂管理体系相关的任何问题或担忧,反贿赂合规职能可以直接并及时地向主管部门(若有)和最高管理层汇报。最高管理层可将部分或全部反贿赂合规职能指派给组织外的人员负责。如果这样做的话,最高管理层应确保该人员拥有对其被指派负责的职能的职责和权限。
- 注:参见A.6
5.3.3 委托决策
如果最高管理层赋予员工对发生超过低贿赂风险事件做出决策的职责或权限,那么组织应建立和维护“决策制定”的过程或一系列控制措施,以确保决策过程和“决策人”的权限是适当的,且没有实际或潜在的利益冲突。作为其角色和职责的一部分一一在5.3.1章节中要求的实施和遵守反贿赂管理体系,最高管理层应确保定期审查这些过程。
- 注1:委托职责和权限时,高层管理者应识別并对实际或潜在的利益冲突采取措施。
- 注2:最高管理层或主管部门并不因决策委托而免除1.1和5.3.1章节中规定的职责和义务,其潜在的法律责任也不会因此由受委托的人承担。
6 规 划
6.1 应对贿赂风险和机遇的行动
对反贿赂管理体系进行规划时,组织应考虑4.1中提及的因素、4.2中提及的要求、4.5中识别出的风险以及需要解决的机遇,以:
a)合理地确保反贿赂管理体系能达到其目标;
b)预防或降低与反贿赂政策和目标相关的非预期影响;
c)监视反贿赂管理体系的有效性;
d)持续改进。
组织应策划:
a)应对这些风险和机遇的措施;
b)如何:
1)将这些措施融入到组织的反贿赂管理体系流程中并实施它们;
2)评价这些措施的有效性。
6.2 反贿赂目标及实现策划
组织应该在相关职能和层级中建立反贿赂目标。反贿赂目标应:
a)和反贿赂政策保持一致;
b)可测量化的(如果可操作的话);
c)考虑到4.1中的因素、4.2中的要求和4.5中识别出的贿赂风险等可适用的要求;
d)可实现;
e)可监视;
f)可传达;
g)适用时可更新。
组织应保留反贿赂目标相关的文件信息。
在策划如何实现其反贿赂目标时,组织应确定:
一一做什么;
一一需要什么资源;
一一谁负责;
一一何时完成;
一一结果如何评价和汇报。
7 支 持
7.1 资 源
组织应当确定并提供建立、实施、维护和持续改进反贿赂管理体系所需要的资源。
- 注:见A.7。
7.2 能 力
7.2.1 总 则
组织应:
a)确定在其控制下影响反贿赂绩效的工作人员所须的能力;
b)确保这些人员在具备适合的教育背景、培训或经验基础上能够胜任工作;
c)适用时,可采取措施获得并维持必要的能力,并评价所采取措施的有效性;
d)保留作为能力证据的适当文件信息。
- 注:适用的措施包括,如:向员工和商业伙伴提供培训、指导,或重新分配,雇用或签约优秀人才或商业伙伴。
7.2.2 雇用程序
7.2.2.1 对于所有的员工,组织应当执行以下程序:
a)雇用条件中要求员工必须遵守反贿赂政策和反贿赂管理体系,并保留组织对违反纪律的员工进行处置的权利;
b)在员工上岗后的一段合理时间内向其发放或提供渠道获取反贿赂政策及与该政策相关的培训;
c)组织拥有这样的程序,以对违反反贿赂政策和反贿赂管理体系的人员采取适当的纪律处分;
d)在以下情况中,员工不会受到处罚(如降级、限制晋升、纪律处分、调岗或解雇、欺负或伤害):
1)因为合理识别出活动的贿赂风险超出低风险水平且组织尚未管控到该风险而拒绝参与或毁约;
2)善意或基于合理相信提出或汇报企图、实际或怀疑的贿赂或违反反贿赂政策或反贿赂管理体系的情况(不包括个人参与违法的情况)。
7.2.2.2 对于岗位超过低贿赂风险(在4.5 贿赂风险评估中识别出的)的员工和承担合规职能的所有员工,组织应当执行以下程序:
a)在聘用、转岗或晋升之前应对其进行尽职调查(8.2),以确定雇用或调动他们是适当的且能够合理的相信他们会遵守反贿赂政策和反贿赂管理体系的要求;
b)定期审查员工的绩效奖金、绩效目标和其它的薪资奖励因素,以确保有合理的措施防止员工涉及贿赂;
c)此类员工、最高管理层以及主管部门(若有)必须根据己识别风险程度定期发布声明,表明其遵守反贿赂政策。
- 注1:反贿赂合规声明可以单独进行,也可以作为更宽泛意义的合规声明的一部分进行。
- 注2:见A.8。
7.3 意识和培训
组织应当为员工提供充分和适当的反贿赂意识及培训,此类培训应在考虑贿赂风险评估(见4.5)结果的基础上妥善处理以下问题:
a)组织的反贿赂政策、程序和反贿赂管理体系以及员工应遵守的责任;
b)贿赂风险及贿赂可对员工和组织造成的伤害;
c)与员工职能相关的可能发生贿赂的情形,以及如何识别这些情形;
d)员工如何预防和避免贿赂,并识别关键贿赂风险指标;
e)员工对反贿赂管理体系有效性的贡献,包括提升反贿赂绩效及汇报可疑贿赂所带来的效益;
f)不遵守反贿赂管理体系的要求所带来的影响和潜在后果;
g)发现问题时如何以及向谁汇报(见8.9 );
h)可用的培训和资源信息。
组织应根据员工的岗位、面临的贿赂风险以及不断变化的环境,定期(具体周期由组织决定)为其提供反贿赂意识培训。
组织应根据需要定期更新意识和培训方案以反映相关的最新信息。
考虑识别出的风险(见4.5 ),组织还应对代表组织或为了组织利益且所构贿赂风险超过低贿赂风险的商业伙伴实施反贿赂意识与培训的程序。该程序应识别出对商业伙伴提供意识和培训的必要性,培训应该提供的内容和方法。
组织应保留培训程序、培训内容和培训对象的文件信息。
- 注1:对商业伙伴的意识与培训要求可在合同或类似文件中进行沟通,可由组织、商业伙伴或其它机构来执行。
- 注2:参见A.9。
7.4 沟 通
7.4.1 组织应确定与反贿赂管理体系相关的内部和外部沟通,包括:
a)沟通内容;
b)沟通时间;
c)沟通对象;
d)沟通方式;
e)沟通主体;
f)沟通使用的语言。
7.4.2 组织应向所有员工和商业伙伴公开其反贿赂政策,并向超出低贿赂风险的员工和商业伙伴进行直接沟通;组织应当通过其合适的内外部沟通渠道公布反贿赂政策。
7.5 文件信息
7.5.1 总 则
组织的反贿赂管理体系应包括:
a)本国际标准要求的文件信息;
b)组织确定的确保反贿赂管理体系有效必备的文件信息。
- 注1:不同组织的反贿赂管理体系文件信息的程度可以不同,取决于:
——组织的规模和活动、过程、产品和服务的类型;
——过程及其相互作用的复杂程度;
——人员的能力。
- 注2:根据组织的文件存档政策不同,可以将反贿赂管理体系的文件进行单独保存,也可与其他管理体系(如合规、金融、商业和审核等)的文件一起保存。
- 注3:见A.17。
7.5.2 创建和更新
在创建和更新文件信息时,组织应确保适当的:
a)识别和描述(如标题、日期、编制人或文件编号);
b)格式(如语言、软件版本、图表)和媒介(纸质版、电子版);
c)评审和批准的适宜性和充分性。
7.5.3 文件信息控制
组织应对反贿赂管理体系和本国际标准要求的文件信息予以控制,以确保:
a)在需要的地点和时间,它是可用的和适宜使用的;
b)它是受充分保护的(如避免泄密、不当使用及缺失)。
为控制文件信息,适用时,组织应开展下列活动:
一一分发、访问、检索和使用;
一一存储和保存,包括易读性的保存;
——变更控制(如版本控制);
一一保留和处置。
组织确定的策划和运行反贿赂管理体系所需的外来文件应得到适当的识别和控制。
- 注:访问可以是指仅允许查阅文件信息的权限,也可以是指允许查阅和变更文件信息的权限。
8 运 行
8.1 运行策划和控制
组织应策划、实施、监视和控制满足反贿赂管理体系要求的过程,并实施6.1 所确定的措施,通过:
a)为过程建立准则;
b)依照准则对过程进行控制;
c)保留证实过程是按照策划实施的必要文件信息。
这些过程应包括8.2至8.10中的具体管控措施。
组织应控制策划的变更并评估意外的后果,必要时,采取措施降低任何不利影响。
8.2 尽职调查
当组织在4.5 的贿赂风险评估中识别出下列情形超出低贿赂风险:
a)特定的交易、项目或活动类型;
b)计划或持续与特定类型的商业伙伴建立业务关系;或
c)特定职位的某些员工(见7.2.2.2)。
组织应评估与特定交易、项目、活动、商业伙伴和员工相关的贿赂风险性质和程度。
评估应包括任何必要的尽职调查,以获取充分信息评估风险。组织应定期更新尽职调查,以恰当地关注到变更的和最新的信息。
- 注1:组织可以决定对上述类别的员工和商业伙伴进行尽职调查的必要性、合理性或适当性。
- 注2:以上a)、b)和c)中所列情况并不详尽。
- 注3:见A.10。
8.3 财务控制
组织应实施财务控制措施来管理贿赂风险。
- 注:见A.11。
8.4 非财务控制
组织应实施采购、运营、销售、商业以及其他非财务控制措施来管理贿赂风险。
- 注1:任何交易、活动或关系都可以采用财务和非财务控制措施。
- 注2:见A.12。
8.5 在受管控组织及商业伙伴中实施反贿赂管控措施
8.5.1 组织应采取程序要求其管辖内的其他组织:
a)实施组织的反贿赂管理体系,或
b)实施自己的反贿赂控制措施。
在每一种情况下,只有考虑了4.5 中实施的贿赂风险评估以及受管控组织面临的贿赂风险,以上两种情况的执行才是合理的和适当的。
- 注:如果一个组织直接或间接地控制了另一个组织的管理层,则可以认定该组织控制另一个组织。
8.5.2 根据风险评估(见4.5)或尽职调查(见8.2)结果,在组织管辖范围外的商业伙伴及合资公司所构风险超过低贿赂风险时,且该商业伙伴及合资公司采取了能帮助其降低贿赂风险的反贿赂控制措施,组织应当实施以下程序:
a)组织应该确定商业伙伴的控制措施是否能管理相关贿赂风险;
b)当商业伙伴没有反贿赂控制措施,或组织无法确定其是否实施了控制措施时:
1)如果可行,组织应要求商业伙伴对相关业务、项目或活动实施反贿赂控制措施;
2)如果不能要求商业伙伴实施反贿赂控制措施,组织在评估其面临的风险和风险管理方式时应关注此因素。
- 注:见A.13。
8.6 反贿赂承诺
关于所构贿赂风险超出低贿赂风险的所有商业伙伴,组织应执行程序,如果切实可行的话,要求:
a)商业伙伴承诺自己或代表自己或为了自身利益预防与相关交易、项目、活动或业务关系有关的贿赂;
b)在相关的交易、项目、活动和关系中,由商业伙伴自己或代表或为了其利益的其他方实施贿赂时,组织能够终止与商业伙伴的业务关系(参见4.5和82)。
如有无法满足上述a)或b)的要求,则在评估与该商业伙伴业务关系的贿赂风险时应将这一因素考虑在内。
- 注:见A.14。
8.7 礼物、招待、捐赠和类似的好处
组织应实施程序,预防以贿赂或有理由被视为贿赂为目的的提供、准备或接受礼物、招待、捐款和类似好处。
- 注:见A.15。
8.8 对反贿赂控制措施不足的管理
当对特定交易、项目、活动或商业伙伴关系展开尽职调查(见8.2)后,发现现有的反贿赂控制措施无法管理贿赂风险,且组织不能或不愿实施额外或改善现有反贿赂控制措施或采取其他合适措施,以使组织能够管理相关的贿赂风险时,组织应:
a)如果是已经开展的交易、项目、活动或业务关系,根据交易、项目、活动或关系的风险和性质采取合适的措施:如果可行的话,尽快地终止、停止、暂停或撤销交易、项目、活动或业务关系。
b)如果是提议的新交易、项目、活动或业务关系,则可延迟或不再继续。
8.9 提出问题
组织应执行程序,以:
a)使员工能够(直接或通过合适的第三方)向反贿赂合规职能或其他合适的人汇报意图、可疑和实际的贿赂或任何违反反贿赂管理体系行为或体系的不足之处;
b)除需要进行调查或法律要求的外,组织应对举报信息进行保密,以保护举报人或该举报中牵涉到的其他人员的身份信息;
c)允许匿名汇报;
d)保护员工在出于善意或基于合理相信提出或举报意图、可疑和实际的贿赂行为或实施反贿赂管理体系存在的问题后免受报复行为,并禁止这种报复行为;
e)使员工在遇到一个可能涉及贿赂的问题或情况时能够从合适的人员那里得到咨询:
f)鼓励员工使用汇报程序。组织应当帮助确保所有员工知晓和能够使用汇报程序,且了解该汇报程序赋予其的权利和保护渠道。
- 注1:这些程序可能与用于报告其它问题(如安全、医疗事故、不正当行为或其它严重风险)的程序一致或是作为其中的一部分。
- 注2:组织可以委托其他组织管理该汇报体系。
8.10 调查和处理贿赂
组织应执行程序:
a)对汇报、发现或合理怀疑的贿赂、违反反贿赂政策或反贿赂管理体系的行为进行评估和适当的调查;
b)调查中如果发现贿赂、违反反贿赂政策或反贿赂管理体系行为的,组织需采取适当的措施;
c)授权调查者,并要求相关员工在调查中进行合作;
d)要求将调查的情况和结果向反贿赂合规职能和其他合规人员(适当的话)进行汇报。
调查应由与调查对象不在同一岗位或部门的人员承担及向其汇报,组织可聘请其他组织开展调查并汇报调查工作。
- 注:见A.18
9 绩效评价
9.1 监视、测量、分析和评价
组织应确定:
a)需要监视和测量的是什么;
b)监视、测量、分析和评价的方法,适当时,以确保有效的结果;
c)何时执行监视和测量;
d)何时分析和评价监视和测量的结果;
e)向谁提供监视、测量、分析和评价的信息。
组织应保留作为方法和结果证据的适当文件信息。
组织应评价反贿赂的绩效和反贿赂管理体系的有效性。
- 注:见A.19。
9.2 内部审核
9.2.1 组织应按计划的时间间隔开展内部审核,以证实反贿赂管理体系是否:
a)符合:
1)组织自身对反贿赂管理体系的要求;
2)本国际标准的要求;
b)反贿赂管理体系得到有效的实施和维护。
- 注1:ISO 19011 提供了关于管理体系审核的指南。
- 注2:组织内部审核的范围和规模可依据组织的大小、结构、成熟度和所在地等决定。
9.2.2 组织应:
a)策划、建立、实施和维护包括频次、方法、责任、策划要求和报告等要素的审核方案,在此过程中应考虑相关过程的重要性和以往的审核结果;
b)规定每次审核的准则和范围;
c)挑选能够胜任的审核员进行审核,确保审核过程的客观性和公正性;
d)确保审核结果报告给相关管理层、最高管理层和反贿赂合规职能;
e)保留作为审核方案实施和审核结果证据的文件信息。
9.2.3 审核应是合理、适当且基于风险考虑的,审核应包括内部审核过程或其它程序,以检查程序、管控措施和体系是否出现:
a)贿赂或涉嫌贿赂;
b)不遵守反贿赂政策或反贿赂管理体系的要求;
c)商业伙伴未能遵守组织的可适用的要求;
d)反贿赂管理体系的缺陷或改进的空间。
9.2.4 为确保审核方案的客观性和公正性,组织应确保审核者为:
a)为审核过程成立或任命的独立部门或人员;
b)反贿赂合规职能(审核范围包括评估反贿赂管理体系评价或由反贿赂合规职能负责的类似工作除外);或
c)被审核部门以外的一名合适的员工;
d)合适的第三方;或
e)由a)到d)中抽调组成的小组。
组织应确保审核员不得参与涉及自身工作的审核。
- 注:见指南A.16。
9.3 管理评审
9.3.1 最高管理层评审
为了确保反贿赂管理体系能持续稳定、适宜和有效地运行,最高管理层应当定期对反贿赂管理体系进行评审。
最高管理层评审应考虑:
a)以往管理评审提出措施的落实现状;
b)与反贿赂管理体系相关的内外部因素的变化情况;
c)反贿赂管理体系的绩效信息,包括以下趋势:
1)不符合项和改进措施;
2)监视和测量结果;
3)审核结果;
4)贿赂报告;
5)凋查结果;
6)组织面临的贿赂风险的性质和范围;
d)解决贿赂风险所采取行动的效果;
e)如10.2 所述的持续改进反贿赂管理体系的机会。
最高管理层评审的输出应包括与反贿赂管理体系的持续改进机会和变更需求相关的决策。
组织应将最高管理层评审结果的概要向主管部门报告。
组织应保留作为最高管理层评审结果证据的文件信息。
9.3.2 主管部门评审
主管部门(若有)应基于最髙管理层、反贿赂合规职责提供的信息及其可能获得的其他信息对反贿赂管理体系定期进行评审。
组织应保留作为主管部门评审结果证据的文件信息的摘要。
9.4 反贿赂合规职能的评审
反贿赂合规职能应当持续评估反贿赂管理体系是否:
a)有效地管理组织面临的贿赂风险;
b)得到有效的实施。
反贿赂合规职能应当定期和(如有要求)不定期向主管部门(若有)和最高管理层、或合适的主管部门或最高管理层的委员会报告反贿赂管理体系的适当性和实施愔况,包括调查和审核的结果。
- 注1:报告的频率由组织决定,但建议每年至少一次。
- 注2:组织可以让其他组织协助审查,只要其能够将观察到情况与组织的反贿赂合规职能进行适当的沟通。
10 改 进
10.1 不符合和纠正措施
当出现不符合时,组织应:
a)及时应对不符合,适用时:
1)采取控制措施和纠正不符合;
2)应对后果。
b)为使不符合不再发生或在其他地方发生,通过以下方式评价消除不符合原因所需的措施:
1)评审不符合;
2)确定不符合的原因:
3)排查是否存在类似不符合或其发生的可能性。
c)需要采取的任何措施;
d)评审所采取的纠正措施的有效性;
e)如果有必要,修改反贿赂管理体系。
纠正措施应与所遇到的不符合项的影响程度相适应。
组织应保留文件信息作为以下信息的证据:
——不符合项的性质和任何后续采取的措施;
——任何纠正措施的结果。
10.2 持续改进
组织应不断提高反贿赂管理体系的适宜性、充分性和有效性。
附录 略
原文下载:
好东西啊 下载学习