1、Anti-br ibery Management Systems二零二一年最新的反賄賂管理體系認證管理手冊編制審核確認發布日期2021年03月16日文件編號FHL-01-A0XXX有限公司反賄賂管理體系文件00.0.12344.4.4.4.4.55.5.5.5.5.66.6.目錄引言1發布令2公司簡介范圍規范性引用文件術語和定義反賄賂管理體系總則識別利益相關方的需求和期望確定體系范圍制定方針確立目標管理職責1管理承諾2職責、權限與溝通2. 1職責和權限2. 2反賄賂合規職能2. 3溝通賄賂風險評估1總則2風險識別6.6.6.77.7.7.7.88.8.8.8.8.8.8.8.8.99.9.9.

2、風險分析風險評價風險處置支持文件化信息資源支持雇用程序意識與培訓反賄賂管理體系的實施總則盡職調查財務控制非財務控制禮物、招待、贊助費、捐贈和類似利益在受管控組織及商業伙伴中實施反賄賂管控措施匯報程序賄賂調查和處理對反賄賂控制措施不足的管理績效評估監視、測量、分析和評價內部審核管理評審改進10. 1不符合和糾正措施10. 2持續改進附件1:管理者代表任命書附件2：反賄賂方針和目標方案附件3：公司組織架構圖附件4：職能分配表附件5：程序文件清單0引言為有效管控賄賂，目前國際上已通過一系列重要的國際公約，如 聯合國反腐敗公約，要求簽字國必須將賄賂定為犯罪行為并采取 有效措施加以預防和處理，并于200

3、6年對中國生效。近年來，國內也 深入開展了一系列反腐敗行動，體現了反賄賂反腐敗的決心。 賄賂的成因是復雜的，在加強依法治理的同時，國際標準化組織（ISO） 著手研制國際標準ISO 37001反賄賂管理體系，并于2016年10 月發布此標準。深圳市發布了 SZDB /Z 245-2017反賄賂管理體 系。在標準化必將成為國際社會反賄賂的制高點，也將成 為組織 走向國際市場的新要求。本手冊旨在幫助公司有效建立和實施反賄賂管理體系，以預防和 處置潛在的賄賂風險。本手冊規定了公司應根據其面臨的賄賂風險實 施合理、恰當的政策、流程和管控措施。公司遵守ISO 37001反 賄賂管理體系以及本管理手冊并不能

4、杜絕賄賂的發生，但可以幫助 組織預防、發現和處理賄賂風險，并證明公司為實現上述目標已經實 施了合理和適當的措施。0. 1發布令發布令為貫徹本公司的反賄賂方針，完善反賄賂管理體系，本公司根據 IS037001:2016要求，并結合公司實際情況制定反賄賂管理手冊,反賄賂管理手冊是本公司一切反賄賂管理活動必須遵循的綱領性 文件，現批準發布，于發布之日起實施。XXX有限公司總經理：日期：2021年03月16日范圍公司依據IS037001： 2016反賄賂管理體系要求及使用指南 及SZDB /Z 245-2017反賄賂管理體系要求制定反賄賂管理體 系管理手冊及相關程序文件。用于證實公司有能力持續、穩定、

5、有效 及可行的提供滿足顧客要求和適用的法律法規要求的產品和服務。通過反賄賂管理體系的有效運行和過程的持續改進，保證符合顧 客要求和適用法律法規要求，以提升顧客滿意程度。公司反賄賂管理體系范圍適用于：深圳市XXX有限公司與反賄賂 管理有關的研發、銷售、生產和采購等活動。反賄賂管理體系旨在解決與組織活動相關的下列賄賂事宜：公共、私營和非營利部門中的賄賂；組織實施的賄賂；組織的員工代表組織或為其利益而實施的賄賂；組織的商業伙伴代表組織或為其利益而實施的賄賂；對組織實施的賄賂；在與組織相關的活動中對其員工實施的賄賂；在與組織相關的活動中對其商業伙伴實施的賄賂；直接和間接賄賂(例如，通過或由第三方給予或

6、收受賄賂)；介紹賄賂。只適用于解決賄賂相關事宜，提出了反賄賂管理體系的具體要 求，以幫助組織預防、發現和處置賄賂，并遵守適用于組織的反賄賂 法律法規、規范性文件及自愿承諾。并不解決欺詐、壟斷、反競爭、洗錢等罪行或其他與腐敗相關的 問題。規范性引用文件下列文件對于本文件的應用是必不可少的O凡是注日期的引用文 件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其 最新版本（包括所有的修改單）適用于本文件。GB/T 19000-2015質量管理體系基礎和術語GB/T 23694-2013風險管理術語GB/T 27921-2011風險管理風險評估技術ISO 37001-2016反賄賂管理體系要

7、求及使用指南SZDB /Z 245-2017反賄賂管理體系術語和定義ISO 37001和GB/T 19000界定的以及下列術語和定義適用于本 文件。為方便使用，以下重復列出了 ISO 37001和GB/T 19000中 的某些術語和定義。3. 1賄賂 bribery無論在何地直接或間接地提供、承諾、給予、接受或索取任何價值的 不當好處(可以是金錢的或非 金錢的)，以引誘或獎勵個人利用職 務之便的作為或不作為的行為。注：以下形式可視為好處：財物，包括任何饋贈、貸款、費用、報酬或傭金，其形式為金 錢、任何有價證券或任何種類的其他財產或財產性利益；任何職位、受雇工作或不當合約利益；將任何貸款、義務或

8、其他法律責任全部或部分予以支付、免卻、 解除或了結；行使或不行使任何權利、權力或職責；其他財產性或非財產性利益。3. 2 組織 organization為實現目標(3.8),由職責、權限和相互關系構成自身功能的一個 人或一組人。注1：組織的概念包括但不限于代理商(人)、公司、集團、商行、 企事業單位、行政機構、合營公司、協會、慈善機構或研究機構、或上述組織的部分或組合，無論是否為法人 組織、公有或私有。注2：對于擁有一個以上運營部門的組織，其中一個或一個以上的部 門都可以定義為一個組織。3. 3利益相關方 interested party； stakeholder可影響決策或活動，受決策或活動

9、所影響，或自認為受決策或活動影 響的個人或組織(3.2)。注：利益相關方可以是組織內部或組織外部的。3.4管理體系 management system組織(3.2)用于建立方針(3.7)、目標(3.8)以及實現這些目標 的過程(3. 11)的相互關聯或 相互作用的一組要素。注1： 一個管理體系可以針對單一領域或幾個領域。注2：管理體系包含的要素有組織架構、組織角色和職責、規劃、執 行等。注3：管理體系的范圍可包括整個組織、組織中可被明確識別的職能 或可被明確識別的部門，以及跨組織的單一職能或多個職能。3. 5最高管理者top management領導和控制組織(3.2)的一個或一組高層管理人員

10、。注1：最高管理者擁有在組織內部授權和提供資源的權力。注2：如果管理體系(3.4)的范圍僅覆蓋組織的一部分，最高管理 者則指領導和控制這部分的人員。注3：組織的形式有多種，取決于其運營所遵照的法律框架及其規模 大小、所屬行業等。因此，在運用第5章的要 求時，應考慮這些關 于組織及其責任的變化情況。3. 6有效性 effectiveness規劃的活動及其預期結果所實現的程度。3. 7方針policy最高管理者(3.5)正式表達的組織(3.2)的意圖和方向。3.8目標 objective要實現的結果。注1：目標可能是戰略性的、戰術性的或運行層面的。注2：目標可能涉及不同的領域（例如財務、銷售與營銷

11、、采購、健 康和安全以及環境等方面的目標），并能夠應用于不同層面（例如 戰略、組織范圍、項目、產品和過程）。注3：可以用其它方式例如預期結果、目的、操作標準來表示反賄賂 目標，也可以用其他具有相同含義的詞語（例如目的、指標等）表 達。注4：反賄賂管理體系（3.4）中，反賄賂目標由組織（3.2）自己設 定，并要求其與反賄賂方針（3.7）保持一致，以實現具體結果。3.9風險risk不確定性對目標（3.8）的影響。注1：影響指對預期的偏離，包括正面或負面的。注2：不確定性是一種狀態，是指對某一事件、其后果或其發生的可能性缺乏信息、理解或知識。注3：風險通常被描述為潛在的“事件”（見ISO指南73：

12、2009中3.5. 1.3的定義）與“后果”（見ISO指南73：2009中3. 6. 1.3的定義）或兩者的組合。注4：風險通常以事件后果（包括環境的變化）與相關的時間發生的“可能性”（見ISO指南73： 2009中3. 6. 1. 3 的定義）的組合來表示。3. 10能力 competence應用知識和技能實現預期結果的本領。3. 11過程 process將輸入轉化為輸出的一系列相互關聯或相互作用的活動。3. 12績效 performance可度量的結果。注1：績效可能是定量或定性的。注2：績效可能與活動、過程（3.11） 產品（包括服務）、體系或 組織（3.2）的管理有關。3. 13監視

13、monitoring 確定體系、過程（3.11）或活動的狀態。注：為確定狀態，可能需要實施檢查或監督。14審核audit獲取審核證據并予以客觀評價，以判定審核準則滿足程度的系統、獨 立并形成文件的過程（3.11）。注1：審核可以是內部審核（第一方）或外部審核（第二方或第三方）, 也可以是聯合審核（結合兩個或兩個以上的領域）。注2：內部審核由組織自己實施或由外部其他方代表組織實施。注3： “審核證據”和“審核標準”在ISO 19011中有定義。15符合 conformity滿足要求。3. 16不符合 nonconformity未滿足要求。3. 17 纟q正措施 correction action

14、為消除不符合（3.16）的原因并預防其再次發生所采取的措施。18持續改進 continuous improvement不斷提升績效（3. 12）的活動。3. 19員工 personnel組織（3.2）的董事、監事、官員、雇員、臨時員工或工人、志愿者 等為組織工作的人員。注：不同類型的員工面臨的賄賂風險（3.9）的類型和程度不同，因 此，組織在實施賄賂風險評估和賄賂風險管理過程中，應予區別對待。3. 20商業伙伴 business associate組織（3.2）已經或計劃與其建立某種業務關系的外部方。注1：商業伙伴包括但不限于客戶、顧客、合資方、合資伙伴、聯盟 伙伴、外包商、承包商、專業顧問、

15、分包商、供應商、一般顧問、代理人、分銷商、代表、中介和投資方。該 定義較為寬泛，組織可根據自身賄賂風險偏好確定可能會為組織帶來賄賂風險的商業伙伴。注2：不同類型的商業伙伴面臨的賄賂風險（3.9）的類型和程度不 同，組織（3.2）對不同類型的商業伙伴的影響也不同。因此，組織在實施賄賂風險評估和賄賂風險管理程序時 應區別對待。注3：本文件中的“業務”廣義上指與組織運營目標相關的活動。21利益沖突 conflict of interest員工履職時可能會影響其判斷的商業、金錢、家庭、政治或個人利益 的情形。3. 22公職人員 public official包括任命或選舉產生的擁有立法、司法、執法權力

16、的人員；履行公共 職能（包括為政府機關、事業 單位、人民團體、國有企業服務）的 人員；國內或國際組織的官員或代理人。3. 23盡職調查due diligence進一步評估風險（3. 9）性質及程度的過程（3. 11）,以幫助組織（3.2） 對特定的交易、項目、活動、商業伙伴（3.20）和員工（3.19）作出決策。3. 24反賄賂合規職能 anti-bribery compliance function擁有運行反賄賂管理體系（3.4）職責和權限的一個或多個人。反賄賂管理體系1 總則公司按IS037001： 2016標準的要求建立反賄賂管理體系管理手 冊及程序成文件，在實施過程中逐步完善，以保持體

17、系的有效性。 公司應：確定建立和實施反賄賂管理體系所需的過程及其在組織中的應 用；確定這些過程的順序和相互作用；確定所需的準則和方法，以確保這些過程的運行和控制有效；配置必要的資源和信息，以支持這些過程的運行和監視；監視、測量(適用時)和分析這些過程；實施必要措施，以實現所策劃的結果和對這些過程的持續改進;建立、實施、評審和維護反賄賂管理體系的組織保障，將該職 責分配給具有反賄賂合規職能的人員；制定反賄賂方針和目標。2 識別利益相關方的需求和期望公司應確定：與反賄賂管理體系相關的利益方；這些利益相關方的需求。注：在識別利益相關方的需求時，組織可區分岀它們是屬于強制性要求、非強制性期望或是自愿承

18、諾。4.3 確定體系范圍公司明確反賄賂管理體系的邊界和適用性，以確定其覆蓋范圍。確定 范圍時應考慮：組織的規模、結構及委托決策權；組織正在開展或即將開展的業務區域和行業；組織活動及運營的性質、規模和復雜性；組織的商業模式；受組織控制的機構或控制組織的機構；組織的商業伙伴；與公職人員來往的性質和程度；需履行的法定、監管、合同以及專業的義務和責任；4.2 中的要求；6. 1中提及的風險評估結果。注：組織對不納入體系范圍的情形應說明理由并形成文件，任何未納 入范圍的情形不影響反賄賂管理體系的要求。4 制定方針公司制定適用的反賄賂方針，至少包含以下內容：明確禁止賄賂，遵守適用于組織的所有反賄賂法律法規

19、；與組織宗旨相適應，包括對滿足反賄賂管理體系要求的承諾；C) 提供制定、審核與實現反賄賂目標的框架；申明反賄賂合規職能的權限和獨立性；鼓勵對反賄賂管理的正面關注，鼓勵基于善意與信任的匯報， 表明違反反賄賂方針的后果。反賄賂方針應：由組織最高管理者審批和發布；形成文件并保存；在組織內以恰當的方式向員工宣貫，并向商業伙伴傳達；定期評審和更新，確保其可被利益相關方獲取。詳見公司所處環境經營分析控制程序及反賄賂管理方 針和目標方案。5 確立目標公司確定相關部門和人員的反賄賂目標，以減少及避免賄賂行為。目 標應可測量、監視和溝通，并形成文件。適用時，反賄賂目標可為：賄賂風險的管控率；賄賂事件發生率；賄賂

20、事件有效處置率；通過公平、公正和公開采購、營銷的業務量比例等。組織應適 時評審反賄賂目標，并適當更新。詳見反賄賂管理方針和目標管理方案。管理職責1 管理承諾最高管理者通過以下活動，對其建立、實施反賄賂管理體系并持 續改進的承諾提供證據：審批和簽發反賄賂方針；制定反賄賂目標；進行管理評審；確保資源得到配置；在公司內傳達有效反賄賂管理和滿足反賄賂管理體系要求的重 要性；在公司內營造適當的反賄賂文化；促進反賄賂管理體系的持續改進；支持其他管理崗位在其職權范圍內預防和識別賄賂風險。5.2 職責、權限與溝通2. 1 職責和權限最高管理者確保公司內的職責、權限得到規定和溝通。各級管理者應確保所屬部門的員工

21、遵守并執行與其職責相關的 反賄賂管理體系要求。詳見反賄賂職責一覽表。2. 2 反賄賂合規職能最高管理者任命合適人員或合適部門負責反賄賂管理體系實施 和運作，并確保其具有以下職責和權限：確保反賄賂管理體系所需的過程得到建立、實施、維護和持續 改進；確保反賄賂管理體系符合適用的法律法規及本文件的要求；組織風險評估；對舉報的賄賂事件進行管理、調查及核實；向員工提供反賄賂管理體系以及反賄賂相關問題的培訓、建議 和指導；定期或適時向最高管理者匯報反賄賂管理體系的成效；與執紀執法等部門進行溝通和對接。詳見管理者代表任命書。2. 3 溝通公司建立了適當的內外部溝通渠道，向員工及商業伙伴公開和傳 達其反賄賂方

22、針及反賄賂管理體系的其他要求。公司確保所有員工 了解并遵守反賄賂相關要求，并保留相關記錄。詳見信息交流溝通控制程序。賄賂風險評估1 總則公司建立科學、系統的賄賂風險評估程序，以識別、分析、評價 和處置風險，并定期評審風險評估程序及評估結果的適宜性和有效 性。風險評估程序應包括：確定評估范圍；評估頻率；風險優先級劃分的標準；風險處置策略和管控措施；形成文件并留檔保存。注：賄賂風險識別的具體方法可參考GE/T 27921-201E2 風險識別風險識別是認知和記錄賄賂風險的過程，在識別其活動過程中的 賄賂風險時，應檢查：可適用的法律法規及規范性文件的要求；經營活動及業務獲得的方式；組織機構及崗位職責

23、；新增項目、交易、活動或供應商；商業伙伴的透明程度；利益相關方；已往案例；行業或商業慣例等。識別出的風險，應包含以下要素：涉及人員；誘因；發生時間；發生地點；如何發生。注：公司面臨的賄賂風險根據其規模大小、行業運作情況、性質 和復雜性等因素變化。3 風險分析公司分析已識別的風險，以確定風險高低。在進行風險分析時， 可考慮以下因素：風險性質；風險發生的可能性；風險的影響程度。4 風險評價公司確定適宜的風險評價標準，以劃分所識別風險的等級。6. 5 風險處置確定風險等級后，公司為每種類別或等級的風險制定適用的風險 管控措施，并評估此類風險現有管控措施的有效性。公司根據組織環境、法律法規的變化，對風

24、險管控措施進行定期 評審和修改。詳見風險和機遇識別分析評價及應對處理控制程序及相 關方期望和需求控制程序支持1 文件化信息反賄賂管理體系文件應包括：反賄賂方針與目標；賄賂風險管控措施規劃和監視程序；賄賂行為的匯報和處置程序；風險評估和盡職調查程序；賄賂風險清單；為確保過程有效策劃、運行和控制所需的文件，包括記錄。注1：文件可采用任何類型的媒介進行保存。注2：文件復雜程度因組織的規模、業務類型、體系過程及相互作用的復雜程度、人員能力以及面臨的風險等因素的不同而不同。公司在創建、維護和更新反賄賂管理體系相關文件信息時，應：確保這些文件包含必要的信息(如標題、日期、版本、審核與 批準狀態等)，并易于

25、理解(如以工具表、流程表等形式)、獲取 和傳播(如紙質版、電子版)；采取適當的措施對相關文件信息進行存檔和管理，以確保文件 得到有效的保護、分發、使用和處理。注：組織可依據自身的文件保留政策自行決定存檔方式。詳見文件化信息管理控制程序及記錄管理控制程序。2 資源支持公司明確并提供建立、實施、維護和持續改進反賄賂管理體系所 需的人力、物力和財力等資源。在配置人力資源時，應：確保從事影響反賄賂績效相關工作的人員(如反賄賂合規職能) 具備適合的教育背景、培訓、技能和經驗，以確保反賄賂管理體系 有效運作；如有必要，提供培訓或采取其他措施以獲得所需能力，并評價 采取措施的有效性；保留作為能力證據的適當文

26、件化信息。注：適用的措施可包括：對員工進行培訓、指導，或重新任命人員、 雇用優秀人才等。7.3 雇用程序對所有的員工，公司應：雇用條件中要求被雇用人員必須遵守組織的反賄賂方針，同時 有權對任何違反反賄賂方針的行為進行處置；員工入職后，在合理時間內提供反賄賂方針或獲取渠道，并提 供相關的培訓機會；制定違反反賄賂方針的處理程序；如有以下情況，員工不會受到報復、歧視或紀律處分(如威脅、 孤立、降級、限制晉升、調崗、解雇、欺負、傷害或其他形式的干 擾)：因合理識別出活動的賄賂風險在低風險以上水平且組織尚未管 控到該風險，而拒絕參與或毀約；善意或基于合理相信提出、匯報企圖、實際或可疑的賄賂，或 者違反反

27、賄賂方針、反賄賂 管理體系的情況(不包括個人參與的情 況)。對于低賄賂風險以上的員工，公司應：在對其聘用或晉升之前進行背景調查，以確定可合理地相信其 能遵守反賄賂方針和反賄賂管理體系的要求；定期審查員工的績效獎金、績效目標和其它薪資獎勵因素，以 確保員工的利益得到合理的保障；此類員工及最高管理者必須根據已識別的風險程度定期發布聲 明，表明其遵守反賄賂方針。4 意識與培訓公司提高員工的反賄賂風險意識并為員工提供充分和適當的培 訓。根據員工的崗位、面臨的賄賂風險以及不斷變化的內外部環境, 定期(具體周期由組織決定)提供反賄賂意識培訓；應根據需要定 期更新培訓方案以反映相關新信息。公司向員工提供的培

28、訓括以下內容：公司的反賄賂方針和流程，反賄賂管理體系，以及員工遵守政策與體系的責任；賄賂對公司和員工造成的風險和損失；可能發生的與其職能相關的賄賂情況，及其識別方法；如何預防和避免賄賂發生，并識別關鍵風險指標；員工對反賄賂管理體系有效性的貢獻，包括提升反賄賂績效及 匯報可疑賄賂帶來的效益；違反反賄賂管理體系要求所帶來的影響和潛在后果；發現任何問題時的匯報對象和途徑；可用培訓和資源的相關信息；基于已識別的風險，組織應對低賄賂風險以上的商業伙伴提供 適當的反賄賂培訓。注：對商業伙伴的培訓與要求可通過合同或類似文件進行溝通，可由 組織、商業伙伴或其它機構執行。詳見資源控制程序及人力資源控制程序反賄賂

29、管理體系的實施1 總則公司根據反賄賂方針實施管控措施，形成文件并留檔，以確保流 程按計劃執行。公司確保外包流程得到控制和監督。2 盡職調查對低賄賂風險以上的，公司對風險的性質和程度進行盡職調查， 以獲取充分信息評估風險。公司對以下方面開展盡職調查：特定的交易、項目或活動；計劃或持續與特定類別的商業伙伴建立或維持業務關系；特定崗位的某些員工(見7.3)。公司評估在特定交易、項目和活動中，商業伙伴和員工相關的賄 賂風險性質和程度。評估應包括任何必要的盡職調查并定期更新， 以適時關注最新變更信息。公司可以根據必要性、合理性和適當性原則，決定是否對上述商 業伙伴和員工進行盡職調查。詳見盡職調查控制程序

30、。3 財務控制公司實施財務控制措施，以及時、準確、充分和定期記錄組織的 財務交易，實行合理的財務管理。根據組織規模和交易頻繁程度， 財務管理措施可包括：履行單一職責，同一人不能同時擁有提出和批準付款的權利；付款審批實行適當的梯度授權制度；確保支付人的任命和工作或服務已經得到授權；付款審批要求至少有兩人簽名；付款同意書需要附帶合適的支持文件；限制現金的使用并采取有效的現金控制方法；確保記賬時款項的分類和描述準確、清晰；對重大財務實施定期管理評審；實施定期和獨立的財務審核并定期變更實施審核的人員或組 織。詳見財務控制程序。8. 4 非財務控制公司在采購、運營、銷售、業務、人力資源、法律和監管活動以

31、 及其他非財務業務管理方面采取措施以降低賄賂風險，這些措施包 括：使用通過資格預審的分包商、供應商和顧問；評估商業伙伴對組織提供服務的必要性和合法性，以及對其提 供服務的付款是否合理合適；C) 適用時執行公開、公平、合適、透明的招投標制度；適用時需要至少兩人評估投標和批準簽訂合同；在允許和合理的條件下，應該在至少有三名競標人參與公平透 明的競標后再訂立合同；訂立合同、修改合同條款、批準合同規定或者提供有關工作內 容的文件要求至少兩人的簽名；對潛在的高賄賂風險交易實施嚴格的管理監督；保護投標和其它價格敏感信息的完整性和機密性；向員工提供合適的工具和模板(如實操指南、行為準則、審批 層級、檢查清單

32、、表格、IT工作過程等)。詳見商業、合同、采購規范控制程序及非財務控制程序。8.5 禮物、招待、贊助費、捐贈和類似利益公司確定并實施禮物、招待、贊助費、捐贈和類似利益的標準和 規定并形成文件，以預防和處理以賄賂為目的或有理由被視為以賄 賂為目的而提供或接受的禮物、招待、贊助費、捐款和類似利益。上述利益可包括：禮物、娛樂或招待；政治或慈善捐款；客戶或公職人員旅行；宣傳費用；贊助；團體好處；培訓;俱樂部會員；商業環境中的個人喜好；機密信息或機密資料。組織應確保上述利益：符合相關法律法規規定和程序；由合適的管理人員進行審批；相關費用限制在一合理水平。詳見法律法規要求控制程序及相關方期望和需求控制程

33、序。6 在受管控組織及商業伙伴中實施反賄賂管控措施公司采取措施確保其管轄內的組織遵守和使用其反賄賂管理體 系，或者制定獨立的反賄賂控制措施。針對低賄賂風險水平以上的商業伙伴，組織應確定：其實施了反賄賂控制措施，并評估該措施管控風險的有效性；當其未實施反賄賂控制措施，或無法確定其是否實施控制措施 時，在允許的范圍內，應要求其對相關業務、項目或活動實施反賄 賂控制措施；或在對其進行風險評估、訂立業務關系時關注此因素。商業伙伴進行反賄賂承諾，并確保其了解組織反賄賂方針及處 置賄賂事件的程序。詳見賄賂風險管控措施計劃和監視控制程序及公司所處 經營環境分析控制程序。7 匯報程序公司建立匯報程序，以明確員

34、工和其他利益相關方向反賄賂合規 負責人員或其他合適人員匯報意圖、可疑或實際的賄賂行為，任何 違反反賄賂管理體系或體系本身不足之處的路徑。允許員工直接上 報、通過一個合適的第三方上報或越級匯報。同時，允許匿名匯報，確保 舉報人的身份信息不被泄露并禁止報復行為。注：該匯報程序可與組織內用于匯報其它問題(如安全事故、不正當 行為或其它嚴重風險)的程序一致或部分一致。8 賄賂調查和處理公司建立賄賂調查程序，以實現：對匯報、監視或懷疑的任何賄賂、違反反賄賂控制措施的行為 進行調查；明確調查者的權利，并要求相關員工配合調查；調查發現情況屬實的，應采取處置措施；確保向反賄賂合規負責人員匯報調查的狀態和結果。

35、注：調查人員的角色或職位應與被調查范圍無關，組織可委托第三方 開展調查并匯報調查結果。公司就下列行為建立處置程序：任何賄賂行為；違反反賄賂控制措施的行為。組織應對賄賂的調查和處置過程形成文件并留檔，并將處置結果向外 部利益相關方匯報。詳見賄賂行為的匯報和處理控制程序。8. 9 對反賄賂控制措施不足的管理當對特定交易、項目、活動或商業伙伴關系展開風險評估后，發 現現有控制措施無法管理賄賂風險，且公司不能或不愿額外實施或 改善現有反賄賂控制措施，或采取其他合適措施促使公司管理相關賄 賂風 險時，公司應針對不同情況采取以下措施：如果是已經開展的交易、項目、活動或業務關系，根據交易、 項目、活動或關系

36、的風險和性質 采取合適的措施；如果可行，盡快 終止、停止、暫停或撤銷交易、項目、活動或業務關系。如果是提議的新交易、項目、活動或業務關系，則可延遲或不 再繼續。詳見不符合和糾正措施控制程序?？冃гu估1 監視、測量、分析和評價公司應：在適當的階段采取適宜的方法對反賄賂措施的有效性進行監視 和測量；對監視和測量結果進行分析和評價；合理地運用分析和評價結果。公司對監視、測量、分析、評價過程及結果形成文件并存檔。公司收集和分析反賄賂管理體系監視、測量、內部審核和管理評 審的結果，以評價管理體系的適宜性、有效性和持續改進空間。組 織可分析以下信息：匯報的賄賂事件；賄賂事件典型案例；未能滿足法律法規及相關

37、規定的不符合情況。 詳見監視、測量、分析和評價控制程序。內部審核9.2.1 公司按計劃間隔開展內部審核，以證實反賄賂管理體系：是否符合公司自身對反賄賂管理體系的要求及本手冊的要求。反賄賂管理體系是否得到有效的實施和維護。注1： ISO 19011提供了關于管理體系審核的指南。注2：公司內部審核的范圍和規?？梢罁M織的規模、結構、成熟度 和所在區域等決定。公司應：策劃、建立、實施和維護審核方案，包括頻次、方法、責任、策劃要求和報告等要素，并考慮相關過程的重要性和以往審核結果;規定每次審核的準則和范圍；挑選能夠勝任的審核員進行審核，確保審核過程的客觀性和公 正性；確保審核結果報告給相關管理層、承擔

38、反賄賂合規職能的部門 或人員及最高管理者；保留作為審核方案實施和審核結果證據的文件信息。審核應是合理、適當且基于風險考慮的，審核應包括內部審 核或其它程序審核，以檢查程序、管控措施和體系是否出現：賄賂或涉嫌賄賂；違反反賄賂方針或反賄賂管理體系的要求；商業伙伴未能遵守適用組織的反賄賂要求；反賄賂管理體系的不足或改進空間。2. 4 為確保審核方案的客觀性和公正性，公司應確保審核者為以 下情況之一：為審核過程成立或任命的獨立部門或人員；反賄賂合規職能的人員(審核范圍為評估反賄賂管理體系評價 或由反賄賂合規職能負責的類似 工作除外)；C)被審核部門以外的一名合適的員工；合適的第三方；由a)到d)中抽調

39、組成的小組。注1：公司確保審核員不參與涉及自身工作的審核。注2：審核員可由公司內部獨立于審核對象的人員或合適的外部方擔 任。詳見內部審核控制程序。3 管理評審公司管理層應定期對反賄賂管理體系進行評審，以檢查：以往管理評審提出措施的落實情況；與反賄賂管理體系相關的內外部因素變化情況；反賄賂管理的績效信息，包括不符合及改進措施、監視和測量 結果、審核結果；持續改進反賄賂管理體系的可能性及措施。注1：應保留評審記錄。注2：可邀請外部專家對其反賄賂管理體系的建立和實施效果進行評 審。詳見管理評審控制程序。改進1 不符合和糾正措施公司采取措施，以消除導致不符合的原因，防止不符合的發生。 糾正措施應與不符合的影響程度相適應。當出現不符合時，應：及時應對不符合，適用時：采取控制措施，糾正不符合；處理造成的后果。為防止不符合再次發生或在其他地方發生，通過以下方式評價消除不符合原因所需的措施：評