1、ICS 点击此处添加 ICS 号点击此处添加中国标准文献分类号RB中 华 人 民 共 和 国 认 证 认 可 行 业 标 准RB/T XXXXXXXXX反贿赂管理体系 要求及使用指南Anti-bribery management systems-Requirements with guidance for use (ISO 37001:2016,IDT)XXXX - XX - XX 发布 XXXX - XX - XX 实施中 国 国 家 认 证 认 可 监 督 管 理 委 员 会 发 布RB/T XXXXXXXXX目 次前言 .I引言 .II1 范围 .12 规范性引用文件 .13 术语和定义
2、 .14 组织环境 .55 领导作用 .76 策划 .87 支持 .98 运行 .129 绩效评价 .1410 改进 .16附录 A (资料性附录) 关于使用本标准的指南 .1参考文献 .20RB/T XXXXX-XXXXI前 言本标准按照GB/T 1.1-2009给出规则起草。本标准使用翻译法等同采用ISO 37001:2016反贿赂管理体系 要求及使用指南。本标准由XXXX提出。 本标准由XXXX归口。本标准起草单位:XXXX。本标准主要起草人:XXXX。RB/T XXXXXXXXXII引 言贿赂是一种普遍现象。它会引发严重的社会、道德、经济和政治问题,破坏良好治理,阻碍经济发展,扭曲公平
3、竞争。它侵蚀正义、危害人权,阻碍贫困的消除。它还会提高经商成本,在商业交易中增加不确定性,提高商品和服务成本,降低产品和服务质量,从而可能导致生命和财产损失,破坏机构公信力并妨碍市场公平、高效运行。各国政府通过利用国际公约,如经济合作与发展组织的关于打击国际商业交易中行贿外国公职人员行为的公约和联合国反腐败公约及其国内法在治理贿赂上取得了一些成效。在大多数司法管辖区,个人的贿赂行为界定为犯罪,使组织和个人都为其贿赂行为承担责任正成为一种日益盛行的趋势。然而,仅靠法律并不足以解决贿赂问题。组织有义务主动打击贿赂,这一目标能通过本标准期望提供的反贿赂管理体系,并通过领导层承诺建立诚信、透明、公开和
4、合规的文化实现。组织文化的本质对反贿赂管理体系的成败至关重要。管理良好的组织被预期制定由合适的管理体系予以支撑的合规方针,以确保其遵守法律义务和诚信承诺。反贿赂方针是整体合规方针的组成部分。反贿赂方针及支撑性管理体系帮助组织避免或降低卷入贿赂事件的成本、风险和损害后果,在业务往来中提升信任度和信心,并提高其声誉。本标准反映了国际良好实践并能适用于所有司法管辖区,适用于所有领域的小型、中型和大型组织,包括公共、私营和非营利部门。组织所面临的贿赂风险根据组织规模大小、经营地域和所在行业、组织活动的性质、规模和复杂性等因素的不同而变化。本标准对组织贯彻执行方针、程序和控制措施予以规定,这些方针、程序
5、和控制措施是合理的并与组织所面临的贿赂风险相对称。本标准所述要求的实施指南见附录A。遵守本标准并不能确保杜绝涉及组织的、已发生或将发生的贿赂,因为贿赂风险无法完全消除。但本标准能帮助组织实施合理和适当的措施,用以预防、发现和应对贿赂。在本标准中,以下书面表述适用:“应”表示要求;“宜”表示推荐;“可”表示许可;“能”表示可能性或能力。信息标识为“注”的,为理解或明确相关要求的指南。本标准符合ISO对管理体系标准的要求。这些要求包括高阶结构、相同的核心文本,以及附带核心定义的共同术语,为使实施多项ISO管理体系标准的用户受益而设计。本标准能与其他管理体系标准(如ISO 9001、 ISO 140
6、01、 ISO/IEC 27001和ISO 19600)及管理标准(如ISO 26000和ISO 31000)一起使用。RB/T XXXXX-XXXX1反贿赂管理体系 要求及使用指南1 范围本标准为制定、实施、维护、评估以及改进反贿赂管理体系制定了具体要求并提供了指南。本体系能独立实施或纳入管理体系中整合实施。本标准解决与组织活动相关的下列贿赂:公共、私营和非营利部门中的贿赂;组织实施的贿赂;组织的员工代表组织或为其利益而实施的贿赂;组织的商业伙伴代表组织或为其利益而实施的贿赂;对组织实施的贿赂;对与组织活动相关的组织员工实施的贿赂;对与组织活动相关的组织商业伙伴实施的贿赂;直接和间接贿赂(如
7、通过或由第三方给予或收受贿赂)。本标准只适用于贿赂,为管理体系提出要求并提供指南,以帮助组织预防、发现和应对贿赂及遵守适用于其活动的反贿赂法律和自愿承诺。本标准不专门针对欺诈、卡特尔和其他反垄断/竞争违法行为、洗钱或其他与腐败行为相关的活动(尽管组织可能会选择扩展管理体系范围,以囊括这类活动)。本标准的要求是通用的,并旨在适用于所有组织(或组织的部分),不论类型、规模和活动性质,或是在公共、私营或非营利部门。这些要求的适用程度取决于4.1、4.2和4.5中列出的因素。注 1:见指南 A.2。注 2:用于预防、发现和降低组织实施贿赂风险的措施可能不同于用于预防、发现和应对向组织(或代表组织的员工
8、或商业伙伴)实施贿赂的措施。见指南 A.8.4。2 规范性引用文件本标准无规范性引用文件。3 术语和定义下列术语和定义适用于本文件。3.1 贿赂 bribery无论在何地违反适用法律直接或间接地提供、承诺、给予、接受或索取任何价值的不当利益(可以是财务的或非财务的),以引诱或奖励个人就其职责绩效(3.16)而言作为或不作为。注:上述为一般定义。“贿赂”一词的含义由适用于组织(3.2)的反贿赂法律和由组织设计的反贿赂管理体系(3.5)进行规定。3.2 组织 organizationRB/T XXXXXXXXX2为实现目标(3.11),由职责、权限和相互关系构成自身功能的一个人或一组人。注 1:组
9、织的概念包括,但不限于个体经营者、公司、集团、商行、企事业单位、权力机构、合伙企业、慈善机构或研究机构,或上述组织的部分或组合,无论是否为法人组织,公有的或私有的。注 2:对于拥有一个以上运营部门的组织,其中一个或多个运营部门能被定义为一个组织。3.3 相关方 interested party利益相关方 stakeholder能影响、被影响或认为自己受到某个决定或活动影响的个人或组织(3.2)。注:利益相关方可以是组织内部的或外部的。3.4 要求 requirement明示的和必须履行的需求。注 1:“要求”在 ISO 管理标准体系中的核心定义为:明示的、通常隐含的或必须履行的需求与期望。“通
10、常隐含的需求”不适用于反贿赂管理背景中。注 2:“通常隐含”是指组织和相关方的惯例或一般做法,所考虑的需求或期望是不言而喻的。注 3:规定要求指明示的要求,例如:文件化信息中规定的要求。3.5 管理体系 management system组织(3.2)建立方针(3.10)和目标(3.11)以及实现这些目标的过程(3.15)的相互关联或相互作用的一组要素。注 1:一个管理体系可关注一个或多个领域。注 2:管理体系要素包括组织结构、岗位和职责、策划和运行。注 3:管理体系的范围可包括整个组织、组织中可被明确识别的职能或可被明确识别的部门,以及跨组织的单一职能或多个职能。3.6 最高管理者 top
11、management在最高层指挥和控制组织(3.2)的一个人或一组人。注 1:最高管理者在组织内有授权和提供资源的权力。注 2:若管理体系(3.5)的范围仅覆盖组织的一部分,则最高管理者是指那些指挥并控制组织该部分的人员。注 3:组织的形式,取决于其运营所遵照的法律框架及其规模大小、所属行业等。有些组织可能同时设有治理机构(3.7)和最高管理者,而有些组织则没有将职责分属于多个机构。这些关于组织及其职责的不同情况,能在适用第 5 章的要求时予以考虑。3.7 治理机构 governing body对组织(3.2)的活动、治理以及政策承担最终责任和行使权力的集体或机构,最高管理者(3.6)向其报告
12、并对最高管理者问责。注 1:并不是所有组织,尤其是小型组织都会有独立于最高管理者的治理机构(见 3.6 的注 3)。注 2:治理机构包括但不限于董事会、董事会专业委员会、监事会、理事会或监察委员会等。3.8 RB/T XXXXX-XXXX3反贿赂合规团队 anti-bribery compliance function拥有运行反贿赂管理体系(3.5)职责和权限的个人或群体。 3.9 有效性 effectiveness完成策划的活动并实现策划结果的程度。3.10 方针 policy由最高管理者(3.6)或治理机构(3.7)正式发布的组织(3.2)的宗旨和方向。3.11 目标 objective要
13、实现的结果。注 1:目标可以是战略、战术的或操作层面的。注 2:目标能涉及不同的领域(如财务、销售与营销、采购、健康与安全及环境的目标),且能应用于不同层面(如战略的、组织整体的、项目、产品和过程(3.15)。注 3:目标能以其它方式表达,如:预期成果、目的、操作准则、反贿赂目标,或使用其他意思相近的词语(如:目的、终点或标的)。注 4:在反贿赂管理体系(3.5 )中,反贿赂目标由 组织(3.2 )确定,与反贿赂 方针(3.10)保持一致,以实现特定的结果。3.12 风险 risk不确定性对目标(3.11)的影响。注 1:影响是指偏离预期,可以是正面的或负面的。注 2:不确定性是一种状态,是指
14、对某一事件、其后果或其发生的可能性缺乏(包括部分缺乏)信息、理解或知识。注 3:风险通常以潜在“事件”(见 GB/T 236942013 的 4.5.1.3)和“后果”(见 GB/T 236942013 的4.6.1.3),或两者的组合来描述其特征。注 4:风险通常以事件的后果(包括情形的变更)和相关的事情发生的“可能性”(见 GB/T 236942013 的4.6.1.1)的组合来表示。3.13 能力 competence运用知识和技能实现预期结果的本领。3.14 文件化信息 documented information组织(3.2)需要控制和维护的信息及其载体。注 1:文件化信息能以任何格
15、式和载体存在,且来源不限。注 2:文件化信息能指:管理体系(3.5),包括其相关的过程(3.15);组织运行而创建的信息(文件);结果实现的证据(记录)。RB/T XXXXXXXXX43.15 过程 process将输入转化为输出的相互关联或相互作用的一组活动。3.16 绩效 performance可测量的结果。注 1:绩效可能涉及定量的或定性的结果。注 2:绩效可能涉及活动、过程(3.15)、产品(包括服务)、体系或组织(3.2)的管理。3.17 外包 outsource安排外部组织(3.2)承担组织部分职能或过程(3.15)。注 1:尽管外包的职能或过程在管理体系范围内,但外部组织在管理体
16、系(3.5)范围之外。注 2:ISO 管理体系标准的核心文本包括本标准未使用的、与外包相关的定义和要求,因为已在商业伙伴(3.26)的定义中包括外包商。3.18 监视 monitoring确定体系、过程(3.15)或活动的状态。注:确定状态,可能需要检查、监督或密切观察。3.19 测量 measurement 确定数值的过程(3.15)。3.20 审核 audit获取审核证据并予以客观评价,以判定审核准则满足程度的系统的、独立的、形成文件的过程(3.1.5)。注 1:审核能为内部审核(第一方)或外部审核(第二方或第三方),还能为多体系审核(合并两个或多个领域)。注 2:内部审核由组织(3.2
17、)自行实施执行或由外部其他方代表其实施。注 3:“审核证据”和“审核标准”的定义见 GB/T 19011。3.21 合格 conformity满足要求(3.4)。3.22 不合格 nonconformity不满足要求(3.4)。3.23 RB/T XXXXX-XXXX5纠正措施 corrective action为消除不合格(3.22)的原因并防止其再次发生所采取的措施。3.24 持续改进 continuous improvement提高绩效(3.16)的循环活动。3.25 员工 personnel组织(3.2)的董事、高级职员、雇员、临时人员或工人和志愿者。注 1:不同类型的员工会形成不同类
18、型和程度的贿赂风险(3.12),并能由组织的贿赂风险评估和贿赂风险管理程序区别对待。注 2:临时人员或工人的指南见 A.8.5。3.26 商业伙伴 business associate组织(3.2)已经或计划与其建立某种业务关系的外部组织。注 1:商业伙伴包括但不限于客户、顾客、合资企业、合资伙伴、联盟伙伴、外包商、承包商、咨询师、分包商、供应商、销售商、顾问、代理人、分销商、代表、中介和投资方。这个是特意宽泛的定义,并宜根据组织的贿赂风险(3.12)情况进行解释以适用于有相当可能使组织面临贿赂风险的商业伙伴。注 2:不同类型的商业伙伴会形成不同类型和程度的贿赂风险,组织(3.2)对于不同类型
19、的商业伙伴的影响力也不同。不同类型的商业伙伴能由组织的贿赂风险评估和贿赂风险管理程序区别对待。注 3:本标准中的“商业”能宽泛地解释为表示与组织生存目的相关的活动。3.27 公职人员 public official无论是经任命、选举或继任而担任立法、行政或者司法职务的人员;或者为包括公共机构或者公营企业行使公共职能的任何人员;或者国内或国际公共组织的任何官员或代理人;或者任何公职候选人。注:公职人员认定示例见附录A.21。3.28 第三方 third party独立于组织(3.2)的个人或机构。注:所有的商业伙伴(3.26)均为第三方,但并非所有的第三方都是商业伙伴。3.29 利益冲突 con
20、flict of interest商业、财务、家庭、政治或个人利益能妨碍个人在为组织(3.2)履职时的判断的情形。3.30 尽职调查 due diligence进一步评估贿赂风险(3.12)的性质和程度,以及帮助组织(3.2)作出与具体交易、项目、活动、商业伙伴(3.26)和员工相关决策的过程(3.15)。RB/T XXXXXXXXX64 组织环境4.1 理解组织及其环境组织应确定与其目的相关并影响其实现反贿赂管理体系目标能力的内部和外部事项。这些事项包括但不限于以下因素:a) 组织的规模、结构及其委托决策权;b) 组织运行或预期运行的地点和行业;c) 组织活动和运行的性质、规模和复杂性;d)
21、 组织的商业模式;e) 受组织控制的实体或控制组织的实体;f) 组织的商业伙伴;g) 与公职人员来往的性质和程度;h) 适用的法律、法规、合同以及专业的义务和责任。注:组织如果直接或间接控制另一个组织的管理活动,则该组织控制另一个组织(见A.13.1.3)。4.2 理解利益相关方的需求和期望组织应确定:a) 与反贿赂管理体系相关的利益相关方;b) 这些利益相关方的相关要求。注:在识别利益相关方的要求时,组织能区分利益相关方的强制性要求、非强制性期望或是对利益相关方的自愿承诺。4.3 确定反贿赂管理体系的范围组织应确定反贿赂管理体系的边界和适用性,以确立其范围。确定范围时,组织应考虑:a) 4.
22、1 提及的内部和外部事项;b) 4.2 提及的要求;c) 4.5 提及的贿赂风险评估结果。范围应作为文件化信息提供使用。注:见指南A.2。4.4 反贿赂管理体系组织应根据本标准的要求,建立、记录、实施、维护、持续评审并在必要时改进反贿赂管理体系,包括所需的过程及其相互作用。反贿赂管理体系应包含识别和评价贿赂风险及防范、发现和应对贿赂的措施。注 1:完全消除贿赂风险是不可能的,没有反贿赂管理体系能够防范和发现所有贿赂。反贿赂管理体系应是合理和适当的,且考虑了4.3提及的因素。注 2:见指南 A.3。4.5 贿赂风险评估4.5.1 组织应定期开展贿赂风险评估,应:a) 考虑 4.1 列出的因素,识别组织可能合理预料到的贿赂风险;b) 分析、评估和优先排序已识别的贿赂风险;c) 评价组织现有控制的适合性和有效性以降低所评估的贿赂风险。
