ISO37001-2025反賄賂管理體系——要求及使用指南范圍本標準規定了建立、實施、保持、評審和改進反賄賂管理體系的要求，并提供了相關指導。該體系可以獨立存在，也可以融入整體管理體系中。本標準涉及組織活動相關的以下方面：公共部門、私營部門和非營利部門的賄賂；組織的賄賂行為；組織人員代表組織或為了組織利益而進行的賄賂；組織商業伙伴代表組織或為了組織利益而進行的賄賂；對組織的賄賂；與組織活動相關的對組織人員的賄賂；與組織活動相關的對組織商業伙伴的賄賂；直接和間接賄賂（例如，通過第三方或由第三方提供或接受的賄賂）。本標準僅適用于賄賂問題。它規定了要求，并為旨在幫助組織預防、檢測和應對賄賂，以及遵守適用于其活動的反賄賂法律和自愿承諾的管理體系提供了指導。本標準的要求是通用的，旨在適用于所有組織（或組織的一部分），無論其類型、規模和活動性質如何，也無論其屬于公共部門、私營部門還是非營利部門。這些要求的適用程度取決于4.1、4.2和4.5中指定的因素。見A.2以獲取指導。組織為防止、檢測和減輕自身賄賂風險所需的措施，可能與用于防止、檢測和應對對組織（或其人員或代表組織行事的商業伙伴）的賄賂的措施不同。見A.8以獲取指導。規范性引用文件本標準中無規范性引用文件。術語和定義以下術語和定義適用于本標準。ISO（國際標準化組織）和IEC（國際電工委員會）維護用于標準化的術語數據庫，其訪問地址如下：ISO在線瀏覽平臺：/obpIECElectropedia：/賄賂bribery提供、承諾、給予、接受或索取任何價值的不當利益（無論是財務的或非財務的），無論地點如何，直接或間接地違反適用法律，以此作為引誘或獎勵，促使個人就其職責績效（3.16）采取或不采取行動。上述為一般定義。“賄賂”一詞的含義由適用于組織（3.2）的反賄賂法律和由組織設計的反賄賂管理體系（3.5）進行具體規定。組織organization為實現其目標（3.11），具有自身職責、權限和相互關系的個人或一群人。組織的概念包括但不限于個體經營者、公司、集團、商行、企事業單位、行政機構、合伙企業、慈善機構或研究機構，或其部分或組合，無論是否具有法人資格，無論公立還是私立。如果組織是更大實體的一部分，則“組織”一詞僅指處于反賄賂管理體系（3.5）范圍內的該更大實體的一部分。相關方（推薦術語）interestedparty利益相關者（認可術語）stakeholder能夠影響、被影響或自認為受到某個決定或活動影響的個人或組織（3.2）。相關方可以是組織內部的或外部的。要求requirement明確表述的、必須履行的需求。ISO管理體系標準中“要求”的核心定義是“明確表述的、通常隱含的或必須履行的需求或期望”。在反賄賂管理的背景下，“通常隱含的要求”不適用。“通常隱含”意味著對于組織（3.2）和相關方（3.3）而言，所考慮的需求或期望是習慣或常見做法所隱含的。規定的要求是明確表述的，例如在成文信息（3.14）中。管理體系managementsystem組織（3.2）中用于建立方針（3.10）和目標（3.11），以及實現這些目標的過程（3.15）的一組相互關聯或相互作用的要素。管理體系可以針對一個領域或多個領域。管理體系要素包括組織的結構、崗位和職責、策劃和運行。管理體系的范圍可以包括整個組織、組織的特定和已識別的職能、組織的特定和已識別的部分，或跨一組組織的一個或多個職能。最高管理者topmanagement在最高層指揮和控制組織（3.2）的一個人或一組人。注釋1：最高管理者在組織內有授權和提供資源的權力。若管理體系（3.5）的范圍僅覆蓋組織的一部分，則最高管理者是指那些指揮并控制組織該部分的人員。組織的形式取決于其運營所遵照的法律框架及其規模大小、所屬行業等。有些組織可能同時設有治理機構（3.7）和最高管理者，而有些組織則沒有將職責分屬于多個機構。在適用第5章的要求時，應考慮到這些關于組織及其職責的不同情況。治理機構governingbody對組織（3.2）的整體活動、治理和政策承擔最終責任并行使權力的個人或一組人，最高管理者（3.6）向其報告并對其負責。治理機構可以以多種形式明確設立，包括但不限于董事會、監事會、唯一董事、聯合董事或受托人。ISO管理體系標準使用“最高管理者”一詞來描述一個崗位，該崗位根據標準和組織背景的不同，向治理機構報告并對其負責。并非所有組織，特別是小型和中型組織，都會有獨立于最高管理者的治理機構。在這種情況下，最高管理者履行治理機構的職責。[來源：ISO37000:2021,3.3.4，已修改——注的排序已更改：原注2現為注1；原注3現為注2；并增加了注3。]反賄賂職能anti-briberyfunction負責反賄賂管理體系（3.5）運行的個人或群體。有效性effectiveness完成策劃的活動并實現策劃結果的程度。方針policy由最高管理者（3.6）或治理機構（3.7）正式發布的組織（3.2）的宗旨和方向。目標objective要實現的結果。目標可以是戰略性的、戰術性的或操作性的。目標可以與不同的領域相關（如財務、銷售和市場營銷、采購、健康和安全以及環境）。它們可以是組織范圍內的，也可以是特定于項目、產品或過程（3.15）的。目標可以用其他方式表達，例如作為預期結果、目的、操作準則、反賄賂目標或使用具有相似含義的其他詞語（如宗旨、目標或指標）。在反賄賂管理體系（3.5）的語境中，組織（3.2）根據反賄賂方針（3.10）設定反賄賂目標，以實現特定結果。風險risk不確定性對目標的影響。影響是偏離預期的——無論是正面的還是負面的。不確定性是與事件、其后果或可能性相關的信息、理解或知識存在缺陷的狀態，即使是部分缺陷。風險通常通過參考潛在事件和后果，或這兩者的組合來描述其特征。風險通常用事件（包括環境變化）的后果及其相關發生可能性的組合來表達。能力competence運用知識和技能實現預期結果的能力。成文信息documentedinformation組織（3.2）需要控制和保持的信息及其所承載的媒介。成文信息可以是任何格式和媒介，且可以來自任何來源。成文信息可以指：管理體系（3.5），包括相關過程（3.15）；為組織運營而創建的信息（文件）；實現結果的證據（記錄）。過程process相互關聯或相互作用的一組活動，這些活動使用或轉化輸入以產生結果。注釋1：一個過程的結果是否被稱為輸出、產品或服務，取決于參考的語境。績效performance可測量的結果。績效可以與定量或定性的發現相關。績效可以與管理活動、過程（3.15）、產品、服務、體系或組織（3.2）相關。監視monitoring確定體系、過程（3.15）或活動的狀態。為了確定狀態，可能需要檢查、監督或批判性地觀察。測量measurement確定值的過程（3.15）。審核audit一種系統而獨立的過程（3.15），用于獲取證據并客觀地評價它，以確定審核準則被滿足的程度。審核可以是內部審核（第一方）或外部審核（第二方或第三方），也可以是結合審核（結合兩個或多個學科）。內部審核由組織（3.2）自身或代表其進行的外部方進行。“審核證據”和“審核準則”在ISO19011中有定義。符合性conformity滿足要求（3.4）。不符合性nonconformity未滿足要求（3.4）。糾正措施correctiveaction為消除不符合（3.21）的原因并防止其再次發生的措施。持續改進continualimprovement為增強績效（3.16）而反復進行的活動。人員personnel組織的（3.2）董事、官員、雇員、臨時工作人員或工人，以及志愿者。不同類型的人員會帶來不同類型和程度的賄賂風險（3.12），組織在賄賂風險評估和賄賂風險管理程序中可以對其采取不同的處理方式。關于臨時工作人員或工人的指導，請見A.8。商業伙伴businessassociate與組織（3.2）已經建立或計劃建立某種形式的商業關系的外部方。商業伙伴包括但不限于客戶、客戶、合資企業、合資伙伴、聯合體伙伴、外包提供商、承包商、咨詢師、分包商、供方、銷售商、顧問、代理、分銷商、代表、中介和投資者。此定義故意寬泛，應根據組織的賄賂風險（3.12）狀況來解釋，以適用于那些可能使組織合理暴露于賄賂風險的商業伙伴。不同類型的商業伙伴會帶來不同類型和程度的賄賂風險，組織（3.2）對不同類型的商業伙伴的影響能力也會有所不同。組織的賄賂風險評估和賄賂風險管理程序可以對不同類型的商業伙伴采取不同的處理方式。本文中的“商業”一詞可廣義解釋為與組織存在目的相關的活動。公職人員publicofficial通過任命、選舉或繼承而擔任立法、行政或司法職務的人，或行使公共職能的任何人，包括為公共機構或公共企業行使職能的人，或任何國內或國際公共組織的官員或代理人，或任何公職候選人。關于可被視為公職人員的個人的示例，請見A.21。第三方thirdparty獨立于組織（3.2）的個人或機構。注：所有的商業伙伴（3.26）均為第三方，但并非所有的第三方都是商業伙伴。利益沖突conflictofinterest一種情形，其中相關方擁有直接或間接的個人利益或組織利益，這些利益可能損害或干擾其以組織（3.2）的最佳利益為出發點公正地履行職責的能力。個人利益可能包括多種類型，如商業、財務、家庭、專業、宗教或政治利益。組織利益涉及的是組織或其部分（如團隊或部門）的利益，而非個體的利益。（來源：ISO37009:—1）,3.14]盡職調查duediligence進一步評估賄賂風險（3.12）的性質和程度的過程（3.15），幫助組織（3.2）就特定交易、項目、活動、商業伙伴（3.25）和人員（3.24）做出決策。反賄賂文化anti-briberyculture存在于整個組織（3.1）中的價值觀、道德觀、信念和行為，它們與組織的結構和控制系統相互作用，產生有利于反賄賂方針（3.10）和反賄賂管理體系（3.5）的行為規范。此術語改編自ISO37301:2021，3.28中的“合規文化”。組織的環境理解組織及其環境組織應確定與其宗旨相關且影響其實現反賄賂管理體系預期結果的能力的外部和內部問題。這些問題包括但不限于以下因素：組織的規模、結構和委托決策權限；組織運營或預期運營的地點和行業領域；組織活動和運營的性質、規模和復雜性；組織的商業模式；組織控制的實體以及控制組織的實體；組織的商業伙伴；與公職人員互動的性質和程度；適用的法定、監管、合同和職業義務及職責。組織應確定氣候變化是否為一個相關問題。注：如果組織直接或間接控制另一組織的管理，則視為對該組織具有控制權（見A.13）。理解相關方的需求和期望組織應確定：與反賄賂管理體系有關的相關方；這些相關方的相關要求；將通過反賄賂管理體系處理哪些要求。有關相關方可能提出與氣候變化相關的要求。在識別相關方的要求時，組織可以區分強制性要求、非強制性期望以及對相關方的自愿承諾。確定反賄賂管理體系的范圍組織應確定反賄賂管理體系的邊界和適用性，以建立其范圍。在確定此范圍時，組織應考慮：4.1中提及的外部和內部因素；4.2中提及的要求；4.5中提及的賄賂風險評估的結果。范圍應作為成文信息予以提供。注：見A.2以獲取指導。反賄賂管理體系組織應按照本標準的要求，建立、實施、保持并持續改進反賄賂管理體系，包括所需的過程及其相互作用。反賄賂管理體系應形成文件，并應包含旨在識別和評估賄賂風險，以及預防、檢測和應對賄賂風險的措施。完全消除賄賂風險是不可能的，任何反賄賂管理體系都無法預防和檢測出所有賄賂行為。反賄賂管理體系應合理且相稱，同時考慮到4.3中提及的因素。見A.3以獲取指導。賄賂風險評估組織應按策劃的時間間隔進行賄賂風險評估，這些評估應：考慮到4.1中列出的因素，識別組織可以合理預見的賄賂風險；分析、評估和確定已識別賄賂風險的優先級；評價組織現有控制措施在緩解已評估賄賂風險方面的適宜性和有效性。組織應建立評估其賄賂風險水平的準則，這些準則應考慮組織的政策和目標。賄賂風險評估應：按策劃的時間間隔進行評審，以便根據組織定義的時間和頻率，對變化和新信息進行適當評估；在組織結構或活動發生重大變化時進行評審。組織應保留成文信息，以證明已進行賄賂風險評估，并已用于設計或持續改進反賄賂管理體系。注：見A.4以獲取指導。領導作用領導作用和承諾治理機構當組織設有獨立的治理機構時，該機構應通過以下方式展示其在反賄賂管理體系方面的領導作用和承諾：批準組織的反賄賂方針；確保組織的戰略與反賄賂方針相一致；按策劃的時間間隔接收并評審有關組織反賄賂管理體系內容和運行情況的信息；要求為反賄賂管理體系的有效運行分配和指定充分且適當的資源；對最高管理者實施組織反賄賂管理體系的情況、預期結果及其有效性進行合理監督。如果組織沒有獨立的治理機構，這些活動應由最高管理者執行。有關治理機構和最高管理者崗位的更多指導，請參閱ISO37000:2021，4.2.3。最高管理者最高管理者應通過以下方式證實其在反賄賂管理體系方面的領導作用和承諾：確保制定反賄賂方針和反賄賂目標；確保將反賄賂管理體系要求融入組織的業務過程；確保可獲得反賄賂管理體系所需的資源；就反賄賂方針進行內部和外部溝通；傳達有效反賄賂管理和符合反賄賂管理體系要求的重要性；確保反賄賂管理體系實現其預期結果；指導和支持人員為反賄賂管理體系的有效性做出貢獻；在組織內部促進形成適當的反賄賂文化；促進持續改進；支持其他相關崗位在其職責范圍內展示其在預防和檢測賄賂方面的領導作用；鼓勵使用報告程序來提出對疑似和實際賄賂行為的疑慮（見8.9）；確保報告人員不會因誠信報告或基于合理信念報告違反或疑似違反組織反賄賂方針或反賄賂管理體系的行為，或拒絕參與賄賂行為（即使此種拒絕可能導致組織失去業務）而遭受報復、歧視或紀律處分（除非個人參與了違規行為）（見Z.2.2.1d））；按策劃的時間間隔向治理機構報告反賄賂管理體系的內容和運行情況，以及關于嚴重或系統性賄賂行為的指控。本標準中的“業務”一詞可廣泛解釋為與組織存在目的相關的活動。見A.5以獲取指導。反賄賂文化組織應在組織內部各層次開發、保持并推廣反賄賂文化。治理機構、最高管理者和管理層應展現出對組織范圍內所需共同行為和行為標準的積極、可見、一致且持續的承諾。最高管理者應鼓勵支持反賄賂方針和反賄賂管理體系的行為。同時，應預防和不容忍任何損害反賄賂原則的行為。注：見A.5以獲取指導。反賄賂方針最高管理者應制定反賄賂方針，該政策應：禁止賄賂；要求遵守適用于組織的反賄賂法律；與組織的目的相適應；為設定反賄賂目標提供框架；包括滿足適用要求的承諾；鼓勵在誠信或基于合理信念的基礎上，自信且無懼報復地提出擔憂；包括對反賄賂管理體系持續改進的承諾；解釋反賄賂職能的權威性和獨立性；解釋不遵守反賄賂方針的后果。反賄賂方針應：作為成文信息可供獲取；在組織內部進行溝通；適當時，可供相關方獲取；傳達給存在較高賄賂風險的商業伙伴。崗位、職責和權限總則最高管理者應對反賄賂管理體系的實施和合規負總體責任。最高管理者應確保相關崗位的職責和權限在組織內部得到分配和溝通。各級管理人員應負責要求其部門或職能范圍內應用并遵守反賄賂管理體系。治理機構、最高管理者和所有其他人員應負責理解、遵守并應用與其在組織中的崗位相關的反賄賂管理體系。反賄賂職能反賄賂職能應具有以下職責和權限：確保反賄賂管理體系符合本標準的要求；向治理機構和最高管理者報告反賄賂管理體系的績效；監督組織對反賄賂管理體系的設計和實施；就反賄賂管理體系及與賄賂相關的問題向人員和相關方提供建議和指導。反賄賂職能應獲得充分的資源，并分配給具有適當能力、地位、權限和獨立性的人員。在需要就賄賂或反賄賂管理體系提出任何問題或疑慮時，反賄賂職能應能直接且迅速地接觸治理機構和最高管理者。注：見A.6以獲取指導。最高管理者可以將反賄賂職能的全部或部分分配給組織外部的人員。如果這樣做，最高管理者應確保特定人員對外部分配的部分職能負有責任并擁有權限。委托決策當最高管理者將涉及較高賄賂風險的決策權限委托給人員時，組織應建立并保持一個決策過程或一系列控制措施，要求決策過程以及決策者的權限級別是適當的，并且不存在實際或潛在的利益沖突。最高管理者應確保其作為實施和反賄賂管理體系合規的崗位和責任的一部分，按計劃間隔對這些過程進行評審，如5.3.1中所述。注：決策權的委托并不免除最高管理者或治理機構在5.1.1、5.1.2和5.3.1中描述的職責和責任，也不一定將潛在的法律責任轉移給被委托的人員。策劃應對風險和機遇的措施在策劃反賄賂管理體系時，組織應考慮4.1中提及的因素和4.2中提及的要求，并確定需要應對的風險和機遇，以：確保反賄賂管理體系能夠實現其預期結果；預防或減少不良影響；實現持續改進；監視反賄賂管理體系的有效性。組織應策劃：應對這些風險和機遇的措施；如何：將這些措施整合并實施到其反賄賂管理體系過程中；評價這些措施的有效性。反賄賂目標及實現目標的策劃組織應在相關職能和層次上建立反賄賂目標。反賄賂目標應：與反賄賂方針保持一致；可測量（如果可行）；考慮適用的要求；得到監視；得到溝通；適時更新；作為成文信息可獲得；可實現。在策劃如何實現其反賄賂目標時，組織應確定：將要做什么；需要什么資源；誰將負責；目標何時實現；如何評價結果；誰將實施制裁或處罰。變更的策劃當組織確定需要對反賄賂管理體系進行變更時，應按策劃的方式執行變更。注：見A.20以獲取指導。支持資源組織應確定并提供建立、實施、維護和持續改進反賄賂管理體系所需的資源。注：見A.7以獲取指導。能力總則組織應：確定在其控制下從事影響反賄賂績效工作的人員所必需的能力；基于適當的教育、培訓或經驗，確保這些人員勝任的；適用時，采取措施以獲得所必需的能力，并評價所采取措施的有效性。應保存適當的成文信息作為能力的證據。注：適用的措施可以包括，例如：提供培訓、指導、或重新分配人員或業務合作伙伴，或者聘用或簽訂合同聘用相同的人員。聘用過程對于其所有人員，組織應實施以下程序：聘用條件要求人員遵守反賄賂方針和反賄賂管理體系，并賦予組織在人員不遵守時對其進行紀律處分的權利；在聘用開始后的合理期限內，人員應收到反賄賂方針的副本或獲得訪問該政策的途徑，并接受與該政策相關的培訓；組織應制定程序，以便對違反反賄賂方針或反賄賂管理體系的人員采取適當的紀律行動；人員不會因以下原因遭受報復、歧視或紀律行動（如威脅、孤立、降級、阻止晉升、調動、解雇、欺凌、迫害或其他形式的騷擾）：拒絕參與或拒絕任何他們合理判斷存在較高賄賂風險且組織未采取緩解措施的活動；或出于誠意或基于合理信念，提出或報告試圖、實際或涉嫌賄賂或違反反賄賂方針或反賄賂管理體系的情況（除非該個人參與了違反行為）。人員應了解報告潛在和實際利益沖突的必要性。注：見A.8以獲取指導。對于賄賂風險評估（見4.5）中確定的存在較高賄賂風險的所有職位以及反賄賂職能，組織應實施以下程序：在聘用人員之前，以及在組織調動或晉升人員之前，對他們進行盡職調查（見8.2），以在合理范圍內確定聘用或重新部署他們是適當的，并且有合理理由相信他們將遵守反賄賂方針和反賄賂管理體系；按策劃的時間間隔評審績效獎金、績效目標和其他薪酬激勵要素，以驗證是否已采取合理保障措施，防止它們鼓勵賄賂；此類人員、最高管理者和治理機構應按與已識別的賄賂風險相稱的計劃間隔提交聲明，確認他們遵守反賄賂方針和反賄賂管理體系。反賄賂合規聲明可以獨立存在，也可以是更廣泛的合規聲明過程的一部分。見A.8以獲取指導。意識人員的意識人員應知曉：反賄賂方針、程序和反賄賂管理體系，以及他們遵守的職責；他們對反賄賂管理體系有效性的貢獻，包括改進反賄賂績效和報告疑似賄賂行為的益處；不符合反賄賂管理體系要求的后果；反賄賂程序和反賄賂管理體系，以及他們遵守的職責；報告疑似賄賂行為的好處；他們如何以及向誰報告任何疑慮（見8.9）。組織應保留關于意識計劃的成文信息，以及提供的時間和對象。人員的培訓組織應為人員提供充分和適當的反賄賂培訓。此類培訓應適當考慮賄賂風險評估（見4.5）的結果，并涵蓋以下問題：適用的政策和程序；賄賂風險以及賄賂對他們和組織可能造成的損害；在他們履行職責時可能發生賄賂的情況，以及如何識別這些情況；如何識別和應對賄賂的索求或提供；他們如何幫助預防和避免賄賂，并識別關鍵的賄賂風險指標；有關可用培訓和資源的信息。組織應保留關于培訓程序、培訓內容以及提供的時間和對象的成文信息。注：適用的行動可以包括，例如：為人員提供培訓、對人員進行輔導、重新分配人員或商業伙伴，或聘用或簽訂合同。商業伙伴的培訓考慮到已識別的賄賂風險（見4.5），組織還應實施程序，為代表其行事或為其利益行事的商業伙伴提供反賄賂培訓，這些商業伙伴可能對組織構成高于低風險的賄賂風險。這些程序應明確需要接受此類培訓的商業伙伴、培訓內容以及提供培訓的方式。對于需要接受此類培訓的商業伙伴，組織應保留關于培訓程序、培訓內容以及提供的時間和對象的成文信息。注：商業伙伴的培訓要求可以通過合同或類似要求傳達，并由組織、商業伙伴或為此目的指定的其他方實施。意識和培訓計劃應在人員入職時，以及組織確定的策劃時間間隔內，根據其角色、所面臨的賄賂風險以及任何變化的情況，為其提供反賄賂意識和培訓。意識和培訓計劃應在必要的策劃時間間隔內進行更新，以反映相關的新信息。注：見A.9獲取指南。反賄賂溝通組織應確定與反賄賂管理體系有關的內部和外部溝通，包括：溝通什么；何時溝通；與誰溝通；如何溝通；誰來溝通；所使用哪種的語言溝通。反賄賂方針應以適當的語言提供給組織的所有人員和商業伙伴，并直接溝通給那些對組織構成高于低風險賄賂風險的人員和商業伙伴。此外，反賄賂方針應通過組織的內部和外部溝通渠道適當地進行公布。成文信息總則組織的反賄賂管理體系應包括：本標準所要求的成文信息；組織確定為反賄賂管理體系有效性所必需的成文信息。由于以下原因，不同組織的反賄賂管理體系所需成文信息的程度可能有所不同：組織的規模及其活動、過程、產品和服務的類型；過程的復雜性及其相互作用；人員的勝任能力。成文信息可以作為反賄賂管理體系的一部分單獨保留，也可以作為其他管理體系（如合規、財務、商業、審核）的一部分保留。見A.17獲取指南。成文信息創建和更新在創建和更新成文信息時，組織應確保：標識和說明（如標題、日期、作者、索引編號）；形式（如語言、軟件版本、圖表）和載體（如紙質的、電子的）；評審和批準，以保持適宜性和充分性。成文信息的控制反賄賂管理體系和本標準所要求的成文信息應得到控制，以確保：在需要的場合和時機，均可獲得并適用；予以妥善保護（如：防止泄密、不當使用或缺失）。為了控制成文信息，組織應適用時處理以下活動：分發、訪問、檢索和使用；存儲和防護，包括保持可讀性；更改控制（如版本控制）；保留和處置。對于組織所確定的策劃和運行反賄賂管理體系所必需的來自外部的成文信息，組織應進行適當識別，并予以控制。注：對于成文信息的“訪問”可能意味著僅允許查閱或者意味著允許查閱和并授權修改。運行運行的策劃和控制組織應策劃、實施和控制滿足要求以及實施第6條所確定措施所需的過程，通過：確定過程準則；按照準則控制過程。應提供必要的成文信息，以確信過程已按策劃進行。組織應控制計劃內的變更，并評審非預期變更的后果，必要時采取措施減輕任何不利影響。組織應確保對反賄賂管理體系相關的外部提供的過程、產品或服務進行控制。這些過程應包括8.2至8.10中所述的具體控制。注：外部組織處于管理體系范圍之外，盡管外部提供的職能或過程在范圍之內。盡職調查當組織的賄賂風險評估確定以下方面存在高于低風險的賄賂風險時：特定類別的交易、項目或活動；與特定類別商業伙伴的計劃或正在進行的關系；或特定職位的特定類別人員（見）。組織應評估這些類別中的特定交易、項目、活動、商業伙伴和人員的賄賂風險的性質和程度。此評估應包括任何必要的盡職調查，以獲取足夠信息來評估賄賂風險。盡職調查應按規定的頻率更新，以便適當考慮變化和新信息。組織可以得出結論，認為對某些類別的人員和商業伙伴進行盡職調查是不必要的、不合理的或不成比例的。上述a）、b）和c）中列出的因素并非窮盡。見A.10獲取指南。財務控制組織應實施管理賄賂風險的財務控制。注：見A.11獲取指南。非財務控制組織應實施管理采購、運營、銷售、商業、人力資源、法律、并購和監管活動等方面賄賂風險的非財務控制。任何特定交易、活動或關系均可同時受財務控制和非財務控制。見A.12獲取指南。受控組織和商業伙伴實施反賄賂控制組織應實施程序，要求其所有控制下的其他組織：實施組織的反賄賂管理體系；或實施其自身的反賄賂控制。在每種情況下，僅在受控組織所面臨的賄賂風險方面合理且相稱的范圍內實施，同時考慮按照4.5進行的賄賂風險評估。注：如果組織直接或間接控制另一組織的管理，則該組織對另一組織擁有控制權（見A.13）。對于組織未控制的商業伙伴，若賄賂風險評估（見4.5）或盡職調查（見8.2）確定存在高于低風險的賄賂風險，且商業伙伴實施的反賄賂控制有助于減輕相關賄賂風險，組織應實施以下程序：組織應確定商業伙伴是否已實施管理相關賄賂風險的反賄賂控制；若商業伙伴未實施反賄賂控制，或無法驗證其是否已實施。在可行的情況下，組織應要求商業伙伴就相關交易、項目或活動實施反賄賂控制；或若要求商業伙伴實施反賄賂控制不可行，則應在評估與該商業伙伴關系的賄賂風險（見4.5和8.2）以及組織管理此類風險的方式（見8.3、8.4和8.5）時將此作為考慮因素。注：見A.13獲取指南。反賄賂承諾對于存在高于低風險賄賂風險的商業伙伴，組織應實施程序，要求盡可能：商業伙伴承諾防止在相關交易、項目、活動或關系中，為商業伙伴自身、代表商業伙伴或為了商業伙伴的利益而進行的賄賂；若商業伙伴在相關交易、項目、活動或關系中，為自身、代表自身或為了自身的利益進行賄賂，組織有權終止與該商業伙伴的關系。若無法滿足上述a)或b)的要求，則應在評估與該商業伙伴關系的賄賂風險（見4.5和8.2）以及組織管理此類風險的方式（見8.3、8.4和8.5）時將此作為考慮因素。注：見A.14獲取指南。禮品、招待、捐贈及類似利益組織應實施程序，旨在防止提供、給予或接受禮品、招待、捐贈及類似利益，當這些行為被合理認為構成賄賂時。注：見A.15獲取指南。管理反賄賂控制的不足當對與商業伙伴的特定交易、項目、活動或關系進行的盡職調查（見8.2）表明，現有反賄賂控制無法管理賄賂風險，且組織無法或不愿實施額外或增強的反賄賂控制，或采取其他適當步驟（如改變交易、項目、活動或關系的性質）以使組織能夠管理相關賄賂風險時，組織應：對于現有的交易、項目、活動或關系，根據賄賂風險和交易、項目、活動或關系的性質，采取適當步驟盡快終止、停止、暫停或撤出；對于擬議的新交易、項目、活動或關系，推遲或拒絕繼續進行。提出疑慮組織應實施以下程序：鼓勵并允許人員基于誠意或合理信念，向反賄賂職能部門或適當人員（直接或通過適當的第三方）報告企圖、懷疑和實際的賄賂行為，或反賄賂管理體系中的任何違反或薄弱環節；除為推進調查所必需的范圍外，要求組織對報告保密，以保護報告者的身份以及報告中涉及或提及的其他人員的身份；允許匿名報告；禁止報復，并保護那些基于誠意或合理信念提出或報告關于企圖、實際或懷疑的賄賂行為，或違反反賄賂方針或反賄賂管理體系的疑慮的人員免受報復；使人員能夠從適當人員那里獲得關于在面對可能涉及賄賂的疑慮或情況時該如何做的建議。組織應確保所有人員都了解報告程序，能夠使用這些程序，并了解他們在這些程序下的權利和保護。這些程序可以與用于報告其他疑慮問題（如安全、瀆職、不法行為或其他嚴重風險）的程序相同，或作為其一部分。組織可以委托商業伙伴代表其管理報告系統。在某些司法管轄區，上述b)和c)項的要求被法律禁止。在這些情況下，組織應記錄其無法遵守的情況。有關進一步指導，請見ISO37002。調查和處理賄賂組織應實施以下程序：要求對任何被報告、發現或有合理理由懷疑的賄賂行為，或違反反賄賂方針或反賄賂管理體系的行為進行評估，并在適當時進行調查；要求在調查揭示出任何賄賂行為或違反反賄賂方針或反賄賂管理體系的行為時，采取適當行動；賦予調查人員權力并使其能夠進行調查；要求相關人員在調查中予以合作；要求向反賄賂職能部門和其他適當的合規職能部門報告調查的狀態和結果；要求調查保密，并確保調查結果是保密的。調查應由不屬于被調查角色或職能的人員進行，并向其報告。組織可以任命商業伙伴進行調查，并向不屬于被調查角色或職能的人員報告結果。有關指導，請見A.18。在某些司法管轄區，上述f)項的要求被法律禁止。在這種情況下，組織應記錄其無法遵守的情況。有關進一步指導，見ISO/TS37008。績效評價監視、測量、分析和評價組織應確定：需要監視和測量什么；需要用什么方法進行監視、測量、分析和評價，以確保結果有效；何時實施監視和測量；何時對監視和測量的結果進行分析和評價。組織應保留適當的成文信息，以作為結果的證據。組織應評價反賄賂績效和反賄賂管理體系的有效性。注：有關指導，請見A.19。內部審核總則組織應按策劃的時間間隔進行內部審核，以提供關于反賄賂管理體系是否：是否符合：組織自身的反賄賂管理體系要求；本標準的要求。是否得到有效的實施和保持。ISO19011提供了關于管理體系審核的指導。組織內部審核活動的范圍和規模可能因多種因素而異，包括組織規模、結構、成熟度和地點。有關指導，請見A.16。內部審核方案組織應策劃、建立、實施和保持一個或多個審核方案，包括頻率、方法、職責、策劃要求和報告。在建立內部審核方案時，組織應考慮相關過程的重要性和以往審核的結果。組織應：規定每次審核的審核目標、準則和范圍；選擇審核員并進行審核，以確保審核過程的客觀性和公正性；確保審核結果報告給相關管理者、反賄賂職能部門、最高管理者，以及適當時，治理機構。應保留成文信息作為審核方案實施和審核結果的證據。審核程序、控制和系統這些審核應合理、適當并基于風險。此類審核應包括內部審核過程或其他評審程序、控制和系統的程序，以評審：賄賂或懷疑賄賂；違反反賄賂方針或反賄賂管理體系；商業伙伴未符合組織適用的反賄賂要求；反賄賂管理體系中的薄弱環節或改進機會。客觀性和公正性為確保這些審核方案的客觀性和公正性，組織應確保這些審核由以下之一進行：為此過程建立或任命的獨立職能或人員；或反賄賂職能部門，除非審核范圍包括對反賄賂管理體系本身的評價，或反賄賂職能部門負責的其他類似工作；或來自被審核部門或職能以外的其他部門或職能的適當人員；或適當的第三方；或由a)至d)中任何一項組成的組合。組織應確保沒有審核員審核其自己的工作領域。管理評審總則最高管理者應按策劃的時間間隔評審組織的反賄賂管理體系，以確保其持續的適宜性、充分性和有效性。治理機構應基于最高管理者和反賄賂職能部門提供的信息，以及治理機構要求或獲取的任何其他信息，按計劃的時間間隔對最高管理者實施反賄賂管理體系的情況進行評審。管理評審輸入管理評審應包括：以往管理評審所采取措施的狀況；與反賄賂管理體系有關的外部和內部因素的變化；與反賄賂管理體系有關的相關方需求和期望的變化；反賄賂管理體系績效的信息，包括以下趨勢：不合格和糾正措施；監視和測量結果；審核結果；賄賂報告；調查；組織面臨的賄賂風險的性質和程度；持續改進的機會；針對賄賂風險所采取措施的有效性。管理評審結果管理評審的結果應包括與持續改進機會以及反賄賂管理體系任何變更需求相關的決定。應保留成文信息作為管理評審結果的證據。應向治理機構報告最高管理者評審結果的摘要。反賄賂職能部門的評審反賄賂職能部門應持續評估反賄賂管理體系是否：充分，以有效管理組織面臨的賄賂風險；得到了有效實施。反賄賂職能部門應按計劃的時間間隔，并在適當時臨時向治理機構和最高管理者，或向治理機構或最高管理者的適宜委員會，報告反賄賂管理體系的充分性和實施情況，包括調查和審核的結果。此類報告的頻率取決于組織的結構和需求。組織可以利用商業伙伴協助進行評審，只要將商業伙伴的意見適當地傳達給反賄賂職能部門、最高管理者，以及適當時的治理機構。改進持續改進組織應持續改進反賄賂管理體系的適宜性、充分性和有效性。注：見A.20獲取指導。不合格和糾正措施當發生不合格時，組織應：對不合格作出反應，并適用時：采取措施予以控制和糾正；處置后果。通過以下方式評價消除不合格原因的措施需求，以防止其再次發生或在其他地方發生：評審不合格；確定不合格的原因；確定是否存在或可能發生類似的不合格；實施任何所需的措施；評審所采取的任何糾正措施的有效性；必要時，對反賄賂管理體系作出變更。糾正措施應與所遇到的不合格的影響程度相適應。應保留成文信息作為以下方面的證據：不合格的性質以及隨后所采取的任何措施；任何糾正措施的結果。注：見A.20獲取指導。（資料性）本標準使用指南總則本附錄中的指南僅為示例。其目的是在某些特定領域指明組織在實施其反賄賂管理體系時可采取的行動類型。本指南既非旨在全面詳盡，亦非規定性要求，組織無需實施以下步驟即可擁有一個符合本標準要求的反賄賂管理體系。組織所采取的步驟應針對其面臨的賄賂風險的性質和程度而言是合理且相稱的（見4.5，以及4.1和4.2中的因素）。有關反賄賂管理的良好實踐的進一步指南，請參見參考文獻中列出的出版物。反賄賂管理體系的范圍獨立或整合的反賄賂管理體系組織可以選擇將此反賄賂管理體系作為單獨的系統實施，或作為整體合規管理體系的組成部分（在此情況下，組織可參考ISO37301獲取指南）來實施。組織還可以選擇將此反賄賂管理體系與其其他管理體系（如質量、環境和信息安全管理體系，此時組織可參考ISO9001、ISO14001和ISO/IEC27001）以及ISO26000和ISO31000并行實施或作為其一部分來實施。便利支付和勒索支付便利支付有時指的是為獲取服務而進行的非法或非正式支付，而支付者本有權在不支付此類費用的情況下合法獲得這些服務。它通常是指為公共官員或具有認證職能的人員支付的一筆相對較小的費用，以確保或加快常規或必要行動（如簽發簽證、工作許可、海關清關或安裝電話）的執行。盡管便利支付通常被視為與例如為贏得業務而支付的賄賂在性質上不同，但在大多數地區，它們是非法的，并且在本標準中被視為賄賂，因此應被組織的反賄賂管理體系所禁止。勒索支付是指因對人員健康、安全或自由的實際或感知威脅而強行從人員那里提取金錢，這超出了本標準的范圍。個人的安全和自由至關重要，許多法律體系不將因合理擔心自己或他人健康、安全或自由而支付金錢的行為定為犯罪。組織可以制定政策，允許在人員擔心自己或他人的健康、安全或自由面臨迫在眉睫的危險時支付金錢。組織應向可能面臨此類支付要求或索求的任何人員提供具體指導，說明如何避免和處理這些情況。此類指導可以包括，例如：規定面臨支付要求時任何人員應采取的行動：在便利支付的情況下，要求提供支付合法的證明以及官方支付收據，如果沒有令人滿意的證明，則拒絕支付；在勒索支付的情況下，如果其健康、安全或自由，或他人的健康、安全或自由受到威脅，則進行支付；規定進行了便利支付或勒索支付的人員應采取的行動：記錄事件；向適當的經理或反賄賂職能部門報告事件；規定當人員進行了便利支付或勒索支付時組織應采取的行動：指定適當的經理調查事件（最好是反賄賂職能部門或與人員所在部門或職能無關的經理）；在組織的賬戶中正確記錄支付；如果適當或法律要求，向相關當局報告支付。反賄賂管理體系賄賂通常具有隱蔽性，難以預防、發現和應對。認識到這些困難，本標準的總體意圖是，組織的治理機構和最高管理者層：對預防、發現和應對與組織業務或活動相關的賄賂做出真正承諾；本著真誠的意圖，在組織中實施旨在預防、發現和應對賄賂的措施。這些措施不能過于昂貴、繁瑣和官僚，以至于組織無法承擔或使業務停滯，同時也不能過于簡單和無效，以至于賄賂輕易發生。措施需要與賄賂風險相適應，并應在其預防、發現和應對賄賂的目標上有合理的成功機會。雖然需要實施的反賄賂措施類型在國際良好實踐中得到了相當廣泛的認可，并且其中一些在本標準中作為要求體現，但根據相關情況，需要實施的具體措施細節差異很大。無法詳細規定組織在任何特定情況下應該做什么。因此，本標準中引入了“合理且相稱”的限定條件，以便根據每種情況的自身特點進行判斷。以下示例提供了一些指導，說明在不同情況下如何應用“合理且相稱”的限定條件：一個大型跨國公司需要處理多層管理層和數千名員工。其反賄賂管理體系通常需要比只有少數員工的小型組織更為詳細。在賄賂風險較高的地點開展活動的組織，通常需要比僅在賄賂風險較低的地點（賄賂相對較少發生）開展活動的組織，進行更為全面的賄賂風險評估和盡職調查程序，并對該地點的業務交易實施更高水平的反賄賂控制。盡管許多交易或活動都存在賄賂風險，但參與大型、高價值交易或涉及廣泛商業伙伴的活動的組織所實施的賄賂風險評估、盡職調查程序和反賄賂控制，可能比涉及向多個客戶銷售小價值物品或與單一方進行多個較小交易的業務所實施的控制更為全面。業務伙伴范圍非常廣泛的組織可以在其賄賂風險評估中得出結論，認為某些類別的業務伙伴（如零售客戶）不太可能構成超過低風險的賄賂風險，并在設計和實施其反賄賂管理體系時考慮到這一點。例如，對于從組織購買消費品等物品的零售客戶，盡職調查不太可能是必要的，或作為相稱且合理的控制。盡管許多交易都存在賄賂風險，但組織應對高風險賄賂交易實施比低風險賄賂交易更為全面的反賄賂控制。在此背景下，重要的是要理解，識別和接受低賄賂風險并不意味著組織接受賄賂發生的事實，即賄賂發生的風險（賄賂是否可能發生）與賄賂的發生（賄賂本身的事實）并不相同。組織可以在對賄賂發生持“零容忍”態度的同時，仍在賄賂風險低或高于低風險的情況下開展業務（只要應用了充分的緩解措施）。下面提供了關于具體控制的進一步指導。賄賂風險評估4.5所要求的賄賂風險評估旨在使組織為其反賄賂管理體系奠定堅實基礎。此評估用于識別管理體系將重點關注的賄賂風險，即組織認為需優先進行賄賂風險緩解、控制實施以及分配反賄賂合規人員、資源和活動的賄賂風險。組織如何開展賄賂風險評估、采用何種方法、如何權衡和確定賄賂風險的優先級，以及接受（即“風險承受力”）或容忍的賄賂風險水平，均由組織自行決定。特別是，組織應制定其評估賄賂風險的標準（例如，風險是“低”、“中”還是“高”）；然而，在此過程中，組織應考慮其反賄賂方針和目標。以下是一個組織如何選擇進行此評估的示例。選擇賄賂風險評估準則。例如，組織可以選擇三級標準（如“低”、“中”、“高”）、更詳細的五級或七級準則，或采用更詳細的方法。這些準則通常會考慮多個因素，包括賄賂風險的性質、賄賂發生的可能性，以及一旦發生賄賂，其后果的嚴重性；評估組織的規模和結構所帶來的賄賂風險。一個位于單一地點、管理控制權集中于少數人的小型組織，比一個在多個地點運營、結構分散的大型組織更容易控制其賄賂風險；評審組織當前運營或預期運營的地點和部門，并評估這些地點和部門可能帶來的賄賂風險水平。可使用適當的賄賂指數來協助此評估。組織可將賄賂風險較高的地點或部門視為“中”或“高”風險，例如，這可能導致組織對這些地點或部門中的活動實施更高水平的控制；評審組織活動和運營的性質、規模和復雜性。例如，與在多個地點參與眾多大型建設項目的組織相比，在一個地點進行小型制造運營的組織可能更容易控制賄賂風險；某些活動可能帶來特定的賄賂風險，例如抵消安排，即政府采購產品或服務時要求供方將合同價值的一定比例再投資于采購國。組織應采取適當步驟，防止抵消安排構成賄賂。按類別評審組織的現有和潛在商業伙伴類型，并原則上評估其帶來的賄賂風險。例如：組織可能擁有大量客戶，他們從組織購買價值很低的產品，實際上對組織構成極小的賄賂風險。在這種情況下，組織可能認為這些客戶的賄賂風險較低，并確定無需對這些客戶實施任何特定的反賄賂控制。或者，組織可能與從組織購買價值極高產品的客戶打交道，這些客戶可能帶來顯著的賄賂風險[例如，要求組織提供賄賂以換取付款、審批的風險]。這些類型的客戶可被視為“中”或“高”賄賂風險，組織需對他們實施更高水平的反賄賂控制；不同類別的供方可能帶來不同水平的賄賂風險。例如，工作范圍非常廣泛的供方，或與組織的客戶、客戶或相關公職人員有接觸的供方，可能帶來“中”或“高”賄賂風險。某些類別的供方可能風險“低”，例如位于賄賂風險較低地點的供方，且與交易或組織的客戶或客戶相關的公職人員無接觸。某些類別的供方可能帶來“極低”賄賂風險，例如提供少量低價值物品的供方、機票或酒店在線購買服務。組織可得出結論，無需對這些低或極低賄賂風險的供方實施特定的反賄賂控制。代表組織與組織的客戶或公職人員互動的代理人或中介可能帶來“中”或“高”賄賂風險，特別是如果他們按傭金或成功費計費。評審可能與帶來賄賂風險的國內或國外公職人員互動的性質和頻率，例如，與負責頒發許可和審批的公職人員互動可能帶來賄賂風險；評審適用的法定、監管、合同和職業義務與職責，例如禁止或限制款待公職人員或使用代理人。考慮組織能夠在多大程度上影響或控制所評估的風險。上述賄賂風險因素相互關聯。例如，同一類別的供方根據其運營地點的不同，可能帶來不同的賄賂風險。在評估了相關賄賂風險后，組織可以確定針對每個風險類別所應用的反賄賂控制的類型和水平，并評估現有控制是否充分。如果不充分，可以適當地改進控制。例如，可能對賄賂風險較高的地點和商業伙伴類別實施更高水平的控制。組織可以確定，對低賄賂風險活動或商業伙伴實施低水平控制是可以接受的。本標準中的某些要求明確排除了將這些要求應用于低賄賂風險活動或商業伙伴的必要性（盡管組織如果愿意，可以選擇應用它們）。組織可以改變交易、項目、活動或關系的性質，從而將賄賂風險的性質和程度降低到現有、增強或額外的反賄賂控制能夠充分管理的水平。此賄賂風險評估工作并非旨在成為一項廣泛或過于復雜的工作，且評估結果不一定正確（例如，被評估為低賄賂風險的交易可能最終涉及賄賂）。在合理可行的范圍內，賄賂風險評估的結果應反映組織面臨的實際賄賂風險。該工作應設計為一種工具，幫助組織評估和確定其賄賂風險的優先級，并應按計劃間隔進行評審，并根據組織或環境的變化（如新市場或產品、法律要求、獲得的經驗）進行修訂。注：ISO31000和ISO31022提供了進一步的指導。管理機構和最高管理者的職責總則許多組織都設有某種形式的管理機構（例如董事會或監事會），負責組織的總體監督職責。這些職責包括對組織反賄賂管理體系的監督。然而，管理機構通常不對組織的日常活動進行直接指導。這是最高管理者人員（例如首席執行官、首席運營官）的職責，在本標準中稱為“最高管理者”。關于反賄賂管理體系，管理機構應了解其內容和運行方式，并應對管理體系的充分性、有效性和實施情況進行合理監督。它應通過管理評審過程，在計劃的時間間隔內接收有關管理體系性能的信息（這可以是向整個管理機構，或其下屬委員會，如審計委員會報告）。在這方面，反賄賂職能應能夠直接向管理機構（或其適當的委員會）報告有關管理體系的信息。有些組織，特別是較小的組織，可能沒有單獨的管理機構，或者管理機構和最高管理者的職責合并在一個團體甚至一個人身上。在這種情況下，該團體或個人將承擔本標準分配給最高管理者和管理機構的責任。注：領導層的承諾有時被稱為“高層的基調”或“來自高層的基調”。反賄賂文化支持反賄賂文化發展的因素包括：管理層積極實施、推廣并明顯遵守組織的反賄賂文化；通過樹立榜樣和領導作用，強調組織反賄賂文化的重要性；在員工入職計劃中強調組織的反賄賂文化；與員工就組織的反賄賂文化進行持續溝通；對員工在推廣組織反賄賂文化方面的成就給予明顯認可；對損害組織反賄賂文化的員工行為采取一致的處理方式，無論其職位如何。反賄賂文化的證據體現在以下方面的程度：上述各項是否得到記錄、實施和實踐；員工相信上述各項已得到實施；員工理解組織反賄賂文化與其職位、自身活動及其業務部門的相關性；員工重視反賄賂管理體系的作用和目標，特別是反賄賂方針、相關程序以及反賄賂職能的價值；針對損害組織反賄賂管理體系的員工行為所采取的糾正措施，在組織的所有適當層級上得到“認可”并按要求執行。反賄賂職能反賄賂職能的人員配置反賄賂職能的人員數量取決于多種因素，如組織的規模、組織面臨的賄賂風險程度以及由此產生的工作負荷。在小型組織中，反賄賂職能可能由一人兼職負責，該人員會將這一職責與其他職責相結合。當賄賂風險程度和工作負荷足以證明其必要性時，反賄賂職能可以由一人全職負責。在大型組織中，該職能可能由多人負責。一些組織可以將責任分配給具備一系列相關專業知識的委員會。一些組織可以選擇由第三方承擔部分或全部反賄賂職能，這是可以接受的，但前提是組織內的適當管理人員需保留對反賄賂職能的總體職責和權限，并監督第三方提供的服務。反賄賂職能人員的資質要求本標準要求反賄賂職能由具備適當能力、地位、權力和獨立性的人員負責。在這方面：“能力”指相關人員具備適當的教育、培訓或經驗，具備處理角色要求的個人能力，以及學習和適當履行角色的能力；“地位”指其他人員可能傾聽并尊重被賦予合規責任的人員的意見；“權力”指被賦予合規責任的相關人員由治理機構和高層管理授予足夠的權力，以便能夠有效履行合規職責；“獨立性”指被賦予合規責任的相關人員盡可能不親自參與組織內可能面臨賄賂風險的活動。當組織任命全職人員負責該角色時，這一點更容易實現，但對于任命人員將合規角色與其他職能相結合的小型組織來說則更為困難。當反賄賂職能為兼職時，該角色不應由在執行其主要職能時可能接觸賄賂的個人擔任。在非常小的組織中，如果難以實現獨立性，適當的人員應盡其所能將其其他職責與合規職責分開，以保持公正。反賄賂職能的直接溝通渠道反賄賂職能必須能夠直接與高層管理和治理機構溝通相關信息。該職能不應僅向鏈條中的另一位經理報告，然后該經理再向高層管理報告，因為這會增加反賄賂職能所傳遞的信息未被高層管理充分或清晰接收的風險。反賄賂職能還應與治理機構建立直接的溝通關系，而無需通過高層管理。這可以直接與完整的治理機構（如董事會或監督委員會）溝通，也可以與治理機構或高層管理特別委托的委員會（如審計或倫理委員會）溝通。反賄賂職能的主要責任反賄賂職能的主要責任是監督反賄賂管理體系的設計和實施。這不應與對組織反賄賂績效和遵守適用反賄賂法律的直接責任相混淆。每個人都有責任以道德和合規的方式行事，包括遵守組織反賄賂管理體系和反賄賂法律的要求。特別重要的是，管理層應在其負責的組織部分中發揮領導作用，以實現合規。注：ISO37301提供了進一步的指導。資源所需資源取決于多種因素，如組織的規模、其業務的性質以及所面臨的賄賂風險。資源示例包括以下內容：人力資源：應有足夠的人員，他們能夠投入足夠的時間履行其相關的反賄賂職責，以確保反賄賂管理體系能夠有效運行。這包括為反賄賂職能分配足夠的人員（無論是內部還是外部人員）。物質資源：組織內，包括反賄賂職能部門，應有必要的物質資源，以確保反賄賂管理體系能夠有效運行，例如辦公空間、家具、計算機硬件和軟件、培訓材料、電話、文具等；財務資源：應有足夠的預算，包括反賄賂職能部門的預算，以確保反賄賂管理體系能夠有效運行。聘用程序對人員的盡職調查在任命人員之前對其進行盡職調查時，組織應根據擬任人員的職能和相應的賄賂風險，采取以下行動：在面試時與潛在人員討論組織的反賄賂方針，并形成他們是否似乎理解并接受合規重要性的看法；采取合理步驟核實潛在人員的資格準確無誤；采取合理步驟從潛在人員的前雇主那里獲得令人滿意的推薦信；采取合理步驟確定潛在人員是否曾涉及賄賂行為；采取合理步驟核實組織并非因為潛在人員在之前的工作中不當偏袒組織而向其提供聘用機會；核實向潛在人員提供聘用機會的目的并非為了為組織獲取不當的有利待遇；采取合理步驟識別潛在人員與公職人員的關系。績效獎金包括獎金和激勵在內的薪酬安排，即使是無意的，也可能鼓勵人員參與賄賂。例如，如果經理因為為組織贏得合同而獲得獎金，該經理可能會受到誘惑去支付賄賂，或者對代理人或合資伙伴支付賄賂視而不見，以確保贏得合同。如果對經理施加過大的業績壓力（例如，如果經理因未達到過高的銷售目標而被解雇），也可能產生同樣的結果。組織需要仔細關注這些薪酬方面，以確保在合理范圍內它們不會成為賄賂的誘因。人員評價、晉升、獎金和其他獎勵可以作為激勵，鼓勵人員按照組織的反賄賂方針和反賄賂管理體系行事。然而，組織在這種情況下需要謹慎，因為失去獎金等的威脅可能導致人員隱瞞反賄賂管理體系中的失敗。應使人員意識到，違反反賄賂管理體系以提高其在其他領域（如實現銷售目標）的績效評級是不可接受的，并應導致采取糾正和/或紀律行動。利益沖突組織應識別、分析和評價內部和外部利益沖突的風險。組織應明確告知所有人員，他們有義務報告任何潛在和實際的利益沖突，如與他們的工作直接或間接相關的家庭、財務或其他聯系。這有助于組織識別人員可能促成或未能防止或報告賄賂的情況，例如：當組織的銷售經理與客戶的采購經理有關聯時；當采購職能的經理在供方中持有財務利益時；當組織的直線經理在競爭對手的業務中有個人財務利益時；當組織的董事（可能擔任非執行職務）或最高管理者在競爭組織或潛在收購組織中擁有合法或隱蔽的個人利益或職位時。組織應記錄所有利益沖突聲明，以及實際或潛在利益沖突的任何情況，以及是否以及采取了哪些行動來緩解沖突。這些（規定/政策）應至少每年評審一次，以確保其仍然相關且是最新的。組織人員的賄賂為防止、檢測和應對組織人員代表組織賄賂他人（“對外賄賂”）的風險所采取的必要措施，可能與用于防止、檢測和應對賄賂組織人員（“對內賄賂”）的風險的措施不同。例如，識別和減輕對內賄賂風險的能力可能會受到組織無法控制的信息（如員工個人銀行賬戶和信用卡交易數據）、適用法律（如隱私法）或其他因素的顯著限制。因此，組織可用于減輕對外賄賂風險的控制措施的數量和類型可能超過其能夠實施以減輕對內賄賂風險的控制措施的數量。組織人員的賄賂最有可能發生在那些能夠代表組織做出決策或影響決策的人員身上（例如，能夠授予合同的采購經理；能夠批準已完成工作的主管；能夠任命人員或批準工資或獎金的經理；負責準備頒發許可證和執照文件的職員）。由于賄賂很可能被組織系統或控制范圍之外的人員接受，因此組織防止或檢測這些賄賂的能力可能有限。除了上述關于盡職調查和利益沖突段落中提到的步驟外，本標準中關于此風險的以下要求可以減輕對內賄賂的風險：組織的反賄賂方針（見5.2）應明確禁止組織人員及代表組織工作的任何人索取和接受賄賂；指導和培訓材料（見7.3）應強化禁止索取和接受賄賂的規定，并包括：報告賄賂問題的指南（見8.9）；強調組織的無報復政策（見8.9）；組織的禮品和款待政策（見8.7）應限制人員接受禮品和款待；在組織網站上公布組織的反賄賂方針以及如何報告賄賂的詳細信息，有助于與商業伙伴設定期望，從而降低商業伙伴提供賄賂或組織人員索取或接受賄賂的可能性；控制措施（見8.3和8.4），例如要求使用經批準的供方、競爭性投標、合同授予、工作批準等至少需要兩人簽名，以減少腐敗的授予、批準、支付或利益的風險。組織還可以實施審計程序，以識別人員如何利用現有控制弱點謀取私利。示例程序包括：評審工資單文件，查找虛假和重復的人員記錄；評審人員業務費用記錄，以識別異常支出；將人員工資單文件信息（如個人銀行賬戶號碼和地址）與組織供方主文件中的銀行賬戶和地址信息進行比較，以識別潛在的利益沖突場景。臨時員工或工人在某些情況下，臨時員工或工人由勞務供方或其他商業伙伴提供給組織。在這種情況下，組織應確定這些臨時員工或工人（如果有的話）所帶來的賄賂風險是否通過將其視為自己的員工進行培訓和控制而得到充分處理，或者是否通過提供臨時員工或工人的商業伙伴施加適當的控制。意識與培訓培訓目的培訓的目的是幫助相關人員根據其在組織內或與組織相關的角色，適當理解以下內容：他們及其組織面臨的賄賂風險；反賄賂方針；與其角色相關的反賄賂管理體系的方面；他們需要采取的任何必要的預防和報告行動，以應對任何賄賂風險或疑似賄賂行為。培訓的形式和范圍培訓的形式和范圍取決于組織的規模和面臨的賄賂風險。培訓可以通過在線模塊或面對面的方式進行（例如，課堂會議、研討會、相關人員之間的圓桌討論或一對一會議）。培訓的方法不如其成果重要，即所有相關人員都應理解A.9.1中提及的問題。面對面培訓的建議建議對治理機構以及任何參與具有較高賄賂風險的操作和流程的人員（無論其在組織內的職位或層級）和商業合作伙伴進行面對面培訓。反賄賂職能人員的培訓如果負責反賄賂職能的相關人員沒有足夠的相關經驗，組織應提供必要的培訓，使其能夠充分履行反賄賂職能。培訓的組合方式培訓可以作為獨立的反賄賂培訓進行，也可以作為組織整體合規和道德培訓或入職計劃的一部分。培訓內容的適應性培訓內容可以根據人員的角色進行調整。在角色中不面臨顯著賄賂風險的人員可以接受關于組織政策的非常簡單的培訓，以便他們理解政策，并知道在發現潛在違規行為時應該怎么做。角色涉及高風險賄賂的人員應接受更詳細的培訓。培訓的重復性培訓應根據需要重復進行，以確保人員及時了解組織的政策和程序、與其角色相關的任何發展以及任何監管變化。對商業合作伙伴的培訓要求將培訓要求應用于根據7.3.4要求確定的商業合作伙伴，這提出了特別的挑戰，因為此類商業合作伙伴的員工通常不直接為組織工作，且組織通常無法直接接觸這些員工進行培訓。為商業合作伙伴工作的員工的實際培訓通常由商業合作伙伴或為此目的保留的其他方進行。重要的是，那些可能對組織構成較高賄賂風險的商業合作伙伴的員工應意識到這一問題，并接受合理旨在降低此風險的培訓。7.3.4的內容要求組織至少識別出哪些商業合作伙伴的員工應接受反賄賂培訓，此類培訓的最小內容應是什么，以及應如何進行此類培訓。培訓本身可以由商業合作伙伴、指定的其他方提供，或者如果組織選擇，也可以由組織自己提供。組織可以通過多種方式向其商業合作伙伴傳達這些義務，包括作為合同安排的一部分。盡職調查盡職調查的目的對某些交易、項目、活動、商業合作伙伴或組織人員進行盡職調查的目的是，進一步評估作為組織風險評估（見4.5）一部分所識別的、超出低風險的賄賂風險的范圍、規模和性質。它還起到預防和檢測賄賂風險的額外、有針對性的控制作用，并為組織決定是否推遲、終止或修改這些交易、項目或與商業合作伙伴或人員的關系提供信息。項目、交易和活動的盡職調查因素對于項目、交易和活動，組織可能認為有用的評估因素包括：結構、性質和復雜性（例如，直接或間接銷售、折扣水平、合同授予和招標程序）；融資和支付安排；組織參與的范圍和可用資源；控制程度和可見性；涉及的商業合作伙伴和其他第三方（包括公職人員）；上述e)中任何一方與公職人員之間的聯系；涉及方的能力和資格；客戶的聲譽；地點；市場或媒體上的報告。這些因素有助于組織更全面地了解潛在的風險點，從而做出更加明智的決策。通過盡職調查，組織可以識別出可能存在的賄賂風險，并采取相應的措施來預防或減輕這些風險。對商業合作伙伴的盡職調查組織在評估商業合作伙伴時可能認為有用的因素包括：商業合作伙伴是否為合法商業實體，如通過公司注冊文件、年度備案賬目、稅務識別號、證券交易所上市等指標證明；商業合作伙伴是否具備履行合同所需的資質、經驗和資源；商業合作伙伴是否建立了反賄賂管理體系，以及該體系的完善程度；商業合作伙伴是否有賄賂、欺詐、不誠實或類似不當行為的聲譽，或是否曾因賄賂或類似犯罪行為被調查、定罪、制裁或禁止參與；商業合作伙伴的股東（包括最終實益所有人）和最高管理者的身份，以及他們：是否有賄賂、欺詐、不誠實或類似不當行為的聲譽；是否曾因賄賂或類似犯罪行為被調查、定罪、制裁或禁止參與；是否與組織的客戶或相關公職人員有直接或間接的聯系，這可能導致賄賂（這包括本身不是公職人員，但可能與公職人員、公職候選人等有直接或間接關系的人）；交易結構和支付安排。盡職調查的性質、類型和范圍將取決于組織獲取足夠信息的能力、獲取信息的成本以及該關系可能帶來的賄賂風險程度等因素。組織對其商業合作伙伴實施的盡職調查程序應在類似賄賂風險水平上保持一致（例如，在高賄賂風險地點或市場中，高賄賂風險的商業合作伙伴可能需要比低賄賂風險地點或市場中的低賄賂風險商業合作伙伴進行更高水平的盡職調查）。不同類型的商業合作伙伴可能需要不同水平的盡職調查，例如：從組織潛在的法律和財務責任角度來看，當商業合作伙伴代表組織行事或為組織謀利時，它們對組織構成的賄賂風險高于僅向組織提供產品或服務時。例如，協助組織獲得合同授予的代理人可能向組織客戶的經理行賄以幫助組織贏得合同，因此組織可能對代理人的腐敗行為負責。因此，組織對代理人的盡職調查可能盡可能全面。另一方面，向組織出售設備或材料的供方，如果與組織的客戶或與組織活動相關的公職人員沒有涉及，則不太可能代表組織或為組織謀利而行賄，因此對供方的盡職調查水平可以較低。組織對其商業合作伙伴的影響力也影響組織作為盡職調查的一部分直接從這些商業合作伙伴獲取信息的能力。組織可能相對容易要求其代理人和合資伙伴在組織承諾與他們合作之前提供關于他們自己的廣泛信息，因為在這種情況下，組織對與誰簽訂合同有一定程度的選擇權。然而，組織可能更難要求客戶或客戶提供關于他們自己的信息或填寫盡職調查問卷。這可能是因為組織對客戶或客戶沒有足夠的影響力來這樣做（例如，當組織參與競爭性投標以向客戶提供服務時）。組織對其商業合作伙伴進行的盡職調查可能包括，例如：向商業合作伙伴發送問卷，要求其回答A.10.3.a)中提到的問題。在網絡上搜索商業合作伙伴及其股東和高層管理的信息，以識別任何與賄賂相關的信息。搜索適當的政府、司法和國際資源以獲取相關信息。檢查國家或地方政府或多邊機構（如世界銀行）保持的公開可用的被限制或禁止與公共或政府實體簽訂合同的組織名單。向其他適當方詢問商業合作伙伴的道德聲譽。任命具有相關專業知識的其他人或組織協助盡職調查過程。可以根據初步盡職調查的結果向商業合作伙伴提出進一步的問題（例如，解釋任何不利信息）。盡職調查的局限性盡職調查并非完美工具。沒有負面信息并不一定意味著商業合作伙伴不構成賄賂風險。負面信息也并不一定意味著商業合作伙伴構成賄賂風險。然而，組織需要仔細評估結果，并根據其掌握的事實做出理性判斷。總體意圖是，組織應對商業合作伙伴進行合理且相稱的調查，考慮到商業合作伙伴將開展的活動以及這些活動固有的賄賂風險，以便對組織與該商業合作伙伴合作時所面臨的賄賂風險水平做出合理判斷。人員盡職調查包含在A.8中。財務控制財務控制是組織為妥善管理其財務交易，并準確、完整、及時地記錄這些交易所實施的管理體系和過程。設計良好的反賄賂財務控制機制作為制衡手段，通過提高被發現的風險并收集信息以支持調查，從而遏制不當行為。根據組織的規模和交易情況，組織實施的能夠降低賄賂風險的財務控制措施可以包括，例如：實施職責分離，確保同一人不能同時發起和批準付款；實施適當的分級審批權限，以便較大交易需要更高級別管理層的批準；核實收款人的任命以及所執行的工作或服務已經得到組織相關審批機制的批準；要求付款審批至少需有兩個簽名；要求將適當的支持性文件附在付款審批單上；限制現金使用，并實施有效的現金控制方法；要求賬戶中的付款分類和描述準確清晰；按策劃的時間間隔對重大財務交易進行管理評審；按策劃的時間間隔實施獨立財務審計，并同樣按計劃間隔更換執行審計的個人或組織。非財務控制非財務控制是組織實施的管理體系和過程，以幫助其確保采購、運營、商業及其他非財務方面的活動得到妥善管理。根據組織和交易的規模，組織為降低賄賂風險而實施的采購、運營、商業及其他非財務控制可包括以下控制措施，例如：使用經過預審合格過程的批準承包商、分包商、供方和咨詢顧問，在該過程中評估其參與賄賂的可能性；此過程可能包括A.10條款中規定的盡職調查類型；評估：商業伙伴（不包括客戶或客戶）向組織提供的服務的必要性和合法性；服務是否得到妥善執行；向商業伙伴支付的任何款項相對于這些服務是否合理且相稱。這一點特別重要，以避免商業伙伴利用組織支付給其的部分款項代表組織或為了組織的利益而行賄的風險。例如，如果組織任命了一名代理人協助銷售，并在組織獲得合同時向其支付傭金或有費用，組織需要合理確信傭金支付相對于代理人實際提供的合法服務是合理且相稱的，同時考慮到若合同未授予時代理人承擔的風險。如果支付的傭金或有費用過高，則代理人利用其中部分款項誘使公職人員或組織客戶的雇員將合同授予組織的風險就會增加。組織還可要求其商業伙伴提供文件證明服務已提供；在可能和合理的情況下，僅在至少三個競爭者之間經過公平且適當時透明的競爭性招標過程后，才授予合同；要求至少兩人評估投標并批準合同的授予；實施職責分離，使批準合同簽訂的人員與請求合同簽訂的人員不同，且來自與管理合同或批準合同項下所完成工作的人員不同的部門或職能；要求至少兩人在合同上以及更改合同條款或批準合同項下所開展工作或提供供應的文件上簽字；對潛在高賄賂風險的交易實施更高層次的管理監督；通過限制適當人員的訪問，保護投標和其他價格敏感信息的完整性；提供適當的工具和模板以協助人員（例如實用指南、應做和不應做的事項、審批階梯、檢查表、表格、IT工作流程）。注：ISO37301中給出了更多控制示例和指導。受控組織和商業伙伴反賄賂管理體系的實施總則8.5條要求的原因是，受控組織和商業伙伴都可能給組織帶來賄賂風險。組織在這些情況下旨在避免的賄賂風險類型包括，例如：組織的子公司行賄，導致組織可能承擔責任；合資企業或合資伙伴行賄以贏得組織參與的合資企業的工作；客戶或客戶的采購經理要求組織行賄以換取合同授予；在客戶或公職人員可能從任命中個人受益的情況下，組織的客戶要求組織任命特定的分包商或供方；組織的代理人代表組織向組織客戶的經理行賄；組織的供方或分包商向組織的采購經理行賄以換取合同授予。如果受控組織或商業伙伴已針對這些風險實施了反賄賂控制，則組織面臨的賄賂風險通常會降低。8.5條的要求區分了組織能夠控制的組織和無法控制的組織。就本要求而言，如果組織直接或間接控制另一組織的管理，則視為對該組織具有控制權。例如，組織可以通過董事會多數投票或通過多數持股對子公司、合資企業或聯合體擁有控制權。僅僅因為組織與另一組織有大量業務往來，并不意味著就本要求而言，組織對該另一組織擁有控制權。受控組織有理由期望組織要求其控制的任何其他組織實施合理且相稱的反賄賂控制。這可以通過受控組織實施與組織自身相同的反賄賂管理體系，或者由受控組織實施其自己的特定反賄賂控制來實現。這些控制應考慮根據4.5進行的賄賂風險評估，針對受控組織面臨的賄賂風險而言，應是合理且相稱的。當商業伙伴由組織控制時（例如，組織對其具有管理控制權的合資企業），該受控商業伙伴應遵守8.5.1中的要求。非受控商業伙伴對于組織不控制的商業伙伴，在以下情況下，組織可能不需要采取8.5.2所要求的步驟來要求商業伙伴實施反賄賂控制：商業伙伴不存在或存在較低的賄賂風險；或商業伙伴存在的賄賂風險超過低風險，但商業伙伴可以實施的控制措施無助于緩解相關風險（堅持要求商業伙伴實施無助于緩解風險的控制措施毫無意義；然而，在這種情況下，組織應在其風險評估中考慮這一因素，以指導關于如何以及是否繼續與該商業伙伴合作的決策）。這反映了本標準的合理性和相稱性。如果賄賂風險評估（見4.5）或盡職調查（見8.2）得出結論，認為非受控商業伙伴存在超過低風險的賄賂風險，且商業伙伴實施的反賄賂控制有助于緩解這種賄賂風險，組織應在8.5下采取以下進一步步驟：組織確定商業伙伴是否已實施適當的反賄賂控制來管理相關賄賂風險。組織應在進行適當的盡職調查后（見條款A.10）做出這一確定。組織試圖驗證這些控制是否管理了與組織和商業伙伴之間交易相關的賄賂風險。組織無需驗證商業伙伴是否對其更廣泛的賄賂風險有控制措施。請注意，控制的范圍和組織需要采取的驗證這些控制的步驟都應與相關賄賂風險合理且相稱。如果組織已盡其合理能力確定商業伙伴已實施適當的控制，則就該商業伙伴而言，已滿足8.5的要求。如果組織發現商業伙伴沒有實施適當的反賄賂控制來管理相關賄賂風險，或者無法驗證其是否已實施這些控制，組織應采取以下進一步步驟：如果可行，組織要求商業伙伴就相關交易、項目或活動實施反賄賂控制；如果要求商業伙伴實施反賄賂控制不可行，組織在評估商業伙伴帶來的賄賂風險以及組織管理這些風險的方式時，應考慮這一因素。這并不意味著組織不能繼續與該商業伙伴建立關系或進行交易。然而，作為賄賂風險評估的一部分，組織應考慮商業伙伴涉及賄賂的可能性，并在評估整體賄賂風險時考慮缺乏此類控制的因素。如果組織認為該商業伙伴帶來的賄賂風險不可接受地高，且無法通過其他方式（例如重新構建交易）降低賄賂風險，則適用8.8條的規定。組織是否要求非受控商業伙伴實施控制，取決于具體情況。例如：當組織對商業伙伴具有相當程度的影響力時，通常要求是可行的。例如，當組織任命某代理代表其進行交易，或任命工作范圍較大的分包商時。在此情況下，組織通