反贿赂管理体系
1
范围
本指导性技术文件适用于所有领域的商业组织,其他非商业组织可参照使用。本指导性技术文件为
组织建立、实施、维护、评估以及改进反贿赂管理体系制定了具体要求,可以独立实施或与组织的其他
管理体系整合实施。本指导性技术文件解决与组织活动相关的下列贿赂事宜:
a)
公共、私营和非营利部门中的贿赂;
b)
组织实施的贿赂;
c)
组织的员工代表组织或为其利益而实施的贿赂;
d)
组织的商业伙伴代表组织或为其利益而实施的贿赂;
e)
对组织实施的贿赂;
f)
在与组织相关的活动中对其员工实施的贿赂;
g)
在与组织相关的活动中对其商业伙伴实施的贿赂;
h)
直接和间接贿赂(例如,通过或由第三方给予或收受贿赂);
i)
介绍贿赂。
本指导性技术文件只适用于解决贿赂相关事宜,提出了反贿赂管理体系的具体要求,以帮助组织预
防、发现和处置贿赂,并遵守适用于组织的反贿赂法律法规、规范性文件及自愿承诺。
本指导性技术文件并不解决欺诈、垄断、反竞争、洗钱等罪行或其他与腐败相关的问题,组织如将
上述活动纳入管理体系范围内,本文件亦不予适用。
“贿赂”的具体形式由组织按其实际情况确定,但不得与反贿赂相关法律法规相冲突。
注:
贿赂的具体形式见
3.1的注释。
2
规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 19000-2015 《质量管理体系 基础和术语》GB/T 23694-2013 《风险管理 术语》
GB/T 27921-2011 《风险管理 风险评估技术》
ISO 37001-2016 《反贿赂管理 体系要求及使用指南》
3
术语和定义
ISO 37001 和 GB/T 19000 界定的以及下列术语和定义适用于本文件。为方便使用,以下重复列出
了
ISO 37001 和 GB/T 19000 中的某些术语和定义。
3.1
贿赂
bribery
无论在何地直接或间接地提供、承诺、给予、接受或索取任何价值的不当好处
(
可以是金钱的或非
金钱的),以引诱或奖励个人利用职务之便的作为或不作为的行为。
注:
以下形式可视为好处:
a)
财物,包括任何馈赠、贷款、费用、报酬或佣金,其形式为金钱、任何有价证券或任何种类的其他财产或财产性利益;
b)
任何职位、受雇工作或不当合约利益;
c)
将任何贷款、义务或其他法律责任全部或部分予以支付、免却、解除或了结;
d)
行使或不行使任何权利、权力或职责;
e)
其他财产性或非财产性利益。
3.2
组织
organization
为实现目标(
3.8),由职责、权限和相互关系构成自身功能的一个人或一组人。
注
1:
组织的概念包括但不限于代理商(人)、公司、集团、商行、企事业单位、行政机构、合营公司、协会、慈善机构或研究机构、或上述组织的部分或组合,无论是否为法人组织、公有或私有。
注
2:
对于拥有一个以上运营部门的组织,其中一个或一个以上的部门都可以定义为一个组织。
3.3
利益相关方
interested party;stakeholder
可影响决策或活动,受决策或活动所影响,或自认为受决策或活动影响的个人或组织(
3.2)。
注:
利益相关方可以是组织内部或组织外部的。
3.4
管理体系
management system
组织(
3.2)用于建立方针(3.7)、目标(3.8)以及实现这些目标的过程(3.11)的相互关联或相互作用的一组要素。
注
1:
一个管理体系可以针对单一领域或几个领域。
注
2:
管理体系包含的要素有组织架构、组织角色和职责、规划、执行等。
注
3:
管理体系的范围可包括整个组织、组织中可被明确识别的职能或可被明确识别的部门,以及跨组织的单一职能或多个职能。
3.5
最高管理者
top management
领导和控制组织(
3.2)的一个或一组高层管理人员。
注
1:
最高管理者拥有在组织内部授权和提供资源的权力。
注
2:
如果管理体系(
3.4)的范围仅覆盖组织的一部分,最高管理者则指领导和控制这部分的人员。
注
3:
组织的形式有多种,取决于其运营所遵照的法律框架及其规模大小、所属行业等。因此,在运用第
5 章的要求时,应考虑这些关于组织及其责任的变化情况。
3.6
有效性
effectiveness
规划的活动及其预期结果所实现的程度。
3.7
方针
policy
最高管理者(
3.5)正式表达的组织(3.2)的意图和方向。
3.8
目标
objective
要实现的结果。
注
1:
目标可能是战略性的、战术性的或运行层面的。
注
2:
目标可能涉及不同的领域(例如财务、销售与营销、采购、健康和安全以及环境等方面的目标),并能够应用于不同层面(例如战略、组织范围、项目、产品和过程)。
注
3:
可以用其它方式例如预期结果、目的、操作标准来表示反贿赂目标,也可以用其他具有相同含义的词语(例如目的、指标等)表达。
注
4:
反贿赂管理体系(
3.4)中,反贿赂目标由组织(3.2)自己设定,并要求其与反贿赂方针(3.7)保持一致, 以实现具体结果。
3.9
风险
risk
不确定性对目标(
3.8)的影响。
注
1:
影响指对预期的偏离,包括正面或负面的。
注
2:
不确定性是一种状态,是指对某一事件、其后果或其发生的可能性缺乏信息、理解或知识。
注
3:
风险通常被描述为潜在的
“事件”
(
见
ISO
指南
73:2009
中
3.5.1.3
的定义
)
与
“后果”
(
见
ISO
指南
73:2009
中
3.6.1.3
的定义
)或两者的组合。
注
4:
风险通常以事件后果
(包括环境的变化
)
与相关的时间发生的
“可能性”
(
见
ISO
指南
73:2009
中
3.6.1.3 的定义)的组合来表示。
3.10
能力
competence
应用知识和技能实现预期结果的本领。
3.11
过程
process
将输入转化为输出的一系列相互关联或相互作用的活动。
3.12
绩效
performance
可度量的结果。
注
1:
绩效可能是定量或定性的。
注
2:
绩效可能与活动、过程(
3.11)、产品(包括服务)、体系或组织(3.2)的管理有关。
3.13
监视
monitoring
确定体系、过程(
3.11)或活动的状态。
注:
为确定状态,可能需要实施检查或监督。
3.14
审核
audit
获取审核证据并予以客观评价,以判定审核准则满足程度的系统、独立并形成文件的过程(
3.11)。
注
1:
审核可以是内部审核(第一方)或外部审核(第二方或第三方),也可以是联合审核(结合两个或两个以上的领域)。
注
2:
内部审核由组织自己实施或由外部其他方代表组织实施。
注
3:
“审核证据”和“审核标准”在ISO 19011 中有定义。
3.15
符合
conformity
满足要求。
3.16
不符合
nonconformity
未满足要求。
3.17
纠正措施
correction action
为消除不符合(
3.16)的原因并预防其再次发生所采取的措施。
3.18
持续改进
continuous improvement
不断提升绩效(
3.12)的活动。
3.19
员工
personnel
组织(
3.2)的董事、监事、官员、雇员、临时员工或工人、志愿者等为组织工作的人员。
注:
不同类型的员工面临的贿赂风险(
3.9)的类型和程度不同,因此,组织在实施贿赂风险评估和贿赂风险管理过程中,应予区别对待。
3.20
商业伙伴
business associate
组织(
3.2)已经或计划与其建立某种业务关系的外部方。
注
1:
商业伙伴包括但不限于客户、顾客、合资方、合资伙伴、联盟伙伴、外包商、承包商、专业顾问、分包商、供应商、一般顾问、代理人、分销商、代表、中介和投资方。该定义较为宽泛,组织可根据自身贿赂风险偏好确定可能会为组织带来贿赂风险的商业伙伴。
注
2:
不同类型的商业伙伴面临的贿赂风险(
3.9)的类型和程度不同,组织(3.2)对不同类型的商业伙伴的影响也不同。因此,组织在实施贿赂风险评估和贿赂风险管理程序时应区别对待。
注
3:
本文件中的
“业务”广义上指与组织运营目标相关的活动。
3.21
利益冲突
conflict of interest
员工履职时可能会影响其判断的商业、金钱、家庭、政治或个人利益的情形。
3.22
公职人员
public official
包括任命或选举产生的拥有立法、司法、执法权力的人员;履行公共职能
(
包括为政府机关、事业
单位、人民团体、国有企业服务)的人员;国内或国际组织的官员或代理人。
3.23
尽职调查
due diligence
进一步评估风险
(
3.9)
性质及程度的过程
(
3.11),
以帮助组织(
3.2)
对特定的交易、项目、活
动、商业伙伴(
3.20)和员工(3.19)作出决策。
3.24
反贿赂合规职能
anti-bribery compliance function
拥有运行反贿赂管理体系(
3.4)职责和权限的一个或多个人。
4
反贿赂管理体系
4.1
总则
组织应按本文件的要求建立反贿赂管理体系并形成文件,在实施过程中逐步完善,以保持体系的有
效性。
组织应:
a)
确定建立和实施反贿赂管理体系所需的过程及其在组织中的应用;
b)
确定这些过程的顺序和相互作用;
c)
确定所需的准则和方法,以确保这些过程的运行和控制有效;
d)
配置必要的资源和信息,以支持这些过程的运行和监视;
e)
监视、测量(适用时)和分析这些过程;
f)
实施必要措施,以实现所策划的结果和对这些过程的持续改进;
g)
建立、实施、评审和维护反贿赂管理体系的组织保障,将该职责分配给具有反贿赂合规职能的
人员;
h)
制定反贿赂方针和目标。
4.2
识别利益相关方的需求和期望
组织应确定:
a)
与反贿赂管理体系相关的利益方;
b)
这些利益相关方的需求。
注:
在识别利益相关方的需求时,组织可区分出它们是属于强制性要求、非强制性期望或是自愿承诺。
4.3
确定体系范围
组织应明确反贿赂管理体系的边界和适用性,以确定其覆盖范围。确定范围时应考虑:
a)
组织的规模、结构及委托决策权;
b)
组织正在开展或即将开展的业务区域和行业;
c)
组织活动及运营的性质、规模和复杂性;
d)
组织的商业模式;
e)
受组织控制的机构或控制组织的机构;
f)
组织的商业伙伴;
g)
与公职人员来往的性质和程度;
h)
需履行的法定、监管、合同以及专业的义务和责任;
i)
4.2
中的要求;
j)
6.1
中提及的风险评估结果。
注:
组织对不纳入体系范围的情形应说明理由并形成文件,任何未纳入范围的情形不影响反贿赂管理体系的要求。
4.4
制定方针
组织应制定适用的反贿赂方针,至少包含以下内容:
a)
明确禁止贿赂,遵守适用于组织的所有反贿赂法律法规;
b)
与组织宗旨相适应,包括对满足反贿赂管理体系要求的承诺;
c)
提供制定、审核与实现反贿赂目标的框架;
d)
申明反贿赂合规职能的权限和独立性;
e)
鼓励对反贿赂管理的正面关注,鼓励基于善意与信任的汇报,表明违反反贿赂方针的后果。反贿赂方针应:
a)
由组织最高管理者审批和发布;
b)
形成文件并保存;
c)
在组织内以恰当的方式向员工宣贯,并向商业伙伴传达;
d)
定期评审和更新,确保其可被利益相关方获取。
4.5
确立目标
组织应确定相关部门和人员的反贿赂目标,以减少及避免贿赂行为。目标应可测量、监视和沟通,
并形成文件。
适用时,反贿赂目标可为:
a)
贿赂风险的管控率;
b)
贿赂事件发生率;
c)
贿赂事件有效处置率;
d)
通过公平、公正和公开采购、营销的业务量比例等。
组织应适时评审反贿赂目标,并适当更新。
5
管理职责
5.1
管理承诺
最高管理者应通过以下活动,对其建立、实施反贿赂管理体系并持续改进的承诺提供证据:
a)
审批和签发反贿赂方针;
b)
制定反贿赂目标;
c)
进行管理评审;
d)
确保资源得到配置;
e)
在组织内传达有效反贿赂管理和满足反贿赂管理体系要求的重要性;
f)
在组织内营造适当的反贿赂文化;
g)
促进反贿赂管理体系的持续改进;
h)
支持其他管理岗位在其职权范围内预防和识别贿赂风险。
5.2
职责、权限与沟通
5.2.1
职责和权限
最高管理者应确保组织内的职责、权限得到规定和沟通。
各级管理者应确保所属部门的员工遵守并执行与其职责相关的反贿赂管理体系要求。
5.2.2
反贿赂合规职能
最高管理者应任命合适人员或合适部门负责反贿赂管理体系实施和运作,并确保其具有以下职责和
权限:
a)
确保反贿赂管理体系所需的过程得到建立、实施、维护和持续改进;
b)
确保反贿赂管理体系符合适用的法律法规及本文件的要求;
c)
组织风险评估;
d)
对举报的贿赂事件进行管理、调查及核实;
e)
向员工提供反贿赂管理体系以及反贿赂相关问题的培训、建议和指导;
f)
定期或适时向最高管理者汇报反贿赂管理体系的成效;
g)
与执纪执法等部门进行沟通和对接。
注:
反贿赂合规人员可以由专职或兼职人员担任。
5.2.3
沟通
组织应建立适当的内外部沟通渠道,向员工及商业伙伴公开和传达其反贿赂方针及反贿赂管理体系
的其他要求。组织应确保所有员工了解并遵守反贿赂相关要求,并保留相关记录。
6
贿赂风险评估
6.1
总则
组织应建立科学、系统的贿赂风险评估程序,以识别、分析、评价和处置风险,并定期评审风险评
估程序及评估结果的适宜性和有效性。
