37001反贿赂管理体系管理手册及程序文件.docx
《37001反贿赂管理体系管理手册及程序文件.docx》由会员分享,可在线阅读,更多相关《37001反贿赂管理体系管理手册及程序文件.docx(82页珍藏版)》请在冰豆网上搜索。
37001反贿赂管理体系管理手册及程序文件
37001-2016反贿赂管理体系管理手册及程序文件
ISO37001:
2016反贿赂管理体系认证管理手册
编制
审核
确认
发布日期
2021年03月16日
文件编号
FHL-01-A0
0引言
0.1发布令
0.2公司简介
1范围
2规范性引用文件
3术语和定义
4反贿赂管理体系
4.1总则
4.2识别利益相关方的需求和期望
4.3确定体系范围
4.4制定方针
4.5确立目标
5管理职责
5.1管理承诺
5.2职责、权限与沟通
5.2.1职责和权限
5.2.2反贿赂合规职能
5.2.3沟通
6贿赂风险评估
6.1总则
6.2风险识别
6.3风险分析
6.4风险评价
6.5风险处置
7支持
7.1文件化信息
7.2资源支持
7.3雇用程序
7.4意识与培训
8反贿赂管理体系的实施
8.1总则
8.2尽职调查
8.3财务控制
8.4非财务控制
8.5礼物、招待、赞助费、捐赠和类似利益
8.6在受管控组织及商业伙伴中实施反贿赂管控措施
8.7汇报程序
8.8贿赂调查和处理
8.9对反贿赂控制措施不足的管理
9绩效评估
9.1监视、测量、分析和评价
9.2内部审核
9.3管理评审
10改进
10.1不符合和纠正措施
10.2持续改进
附件1:
管理者代表任命书
附件2:
反贿赂方针和目标方案
附件3:
公司组织架构图
附件4:
职能分配表
附件5:
程序文件清单
ISO37001-2016反贿赂管理体系程序文件清单
序号
文件名称
文件编号
备注
1
法律法规要求控制程序
ST-FP-001
2
信息交流沟通控制程序
ST-FP-002
3
相关方需求和期望程序
ST-FP-003
4
风险和机遇识别分析评价及应对处理控制程序
ST-FP-004
5
文件化信息及记录管理控制程序
ST-FP-005
6
贿赂风险管控措施计划和监视控制程序
ST-FP-006
7
贿赂行为的汇报和处理控制程序
ST-FP-007
8
尽职调查控制程序
ST-FP-008
9
资源管理控制程序
ST-FP-009
10
人力资源管理控制程序
ST-FP-010
11
财务控制程序
ST-FP-011
12
非财务控制程序
ST-FP-012
13
商业、合同和采购规范控制程序
ST-FP-013
14
贿赂调查和处理控制程序
ST-FP-014
15
监视测量分析和评价控制程序
ST-FP-015
16
不符合和纠正措施控制程序
ST-FP-016
17
内部审核控制程序
ST-FP-017
18
管理评审控制程序
ST-FP-018
19
改进控制程序
ST-FP-019
0引言
为有效管控贿赂,目前国际上已通过一系列重要的国际公约,如《联合国反腐败公约》,要求签字国必须将贿赂定为犯罪行为并采取有效措施加以预防和处理,并于2006年对中国生效。
近年来,国内也深入开展了一系列反腐败行动,体现了反贿赂反腐败的决心。
贿赂的成因是复杂的,在加强依法治理的同时,国际标准化组织(ISO)着手研制国际标准ISO37001《反贿赂管理体系》,并于2016年10月发布此标准。
深圳市发布了SZDB/Z245-2017《反贿赂管理体系》。
在标准化必将成为国际社会反贿赂的制高点,也将成为组织走向国际市场的新要求。
作者李柏伦翻版盗卖必追究责任!
本手册旨在帮助公司有效建立和实施反贿赂管理体系,以预防和处置潜在的贿赂风险。
本手册规定了公司应根据其面临的贿赂风险实施合理、恰当的政策、流程和管控措施。
公司遵守ISO37001《反贿赂管理体系》以及本管理手册并不能杜绝贿赂的发生,但可以帮助组织预防、发现和处理贿赂风险,并证明公司为实现上述目标已经实施了合理和适当的措施。
0.1发布令
发布令
为贯彻本公司的反贿赂方针,完善反贿赂管理体系,本公司根据ISO37001:
2016要求,并结合公司实际情况制定《反贿赂管理手册》,《反贿赂管理手册》是本公司一切反贿赂管理活动必须遵循的纲领性文件,现批准发布,于发布之日起实施。
作者李柏倫翻版盗卖必追究责任!
XXX有限公司
总经理:
日期:
2021年03月16日
1范围
公司依据ISO37001:
2016《反贿赂管理体系要求及使用指南》及SZDB/Z245-2017《反贿赂管理体系》要求制定反贿赂管理体系管理手册及相关程序文件。
用于证实公司有能力持续、稳定、有效及可行的提供满足顾客要求和适用的法律法规要求的产品和服务。
通过反贿赂管理体系的有效运行和过程的持续改进,保证符合顾客要求和适用法律法规要求,以提升顾客满意程度。
公司反贿赂管理体系范围适用于:
深圳市XXX有限公司与反贿赂管理有关的研发、销售、生产和采购等活动。
反贿赂管理体系旨在解决与组织活动相关的下列贿赂事宜:
a)公共、私营和非营利部门中的贿赂;
b)组织实施的贿赂;
c)组织的员工代表组织或为其利益而实施的贿赂;
d)组织的商业伙伴代表组织或为其利益而实施的贿赂;
e)对组织实施的贿赂;
f)在与组织相关的活动中对其员工实施的贿赂;
g)在与组织相关的活动中对其商业伙伴实施的贿赂;
h)直接和间接贿赂(例如,通过或由第三方给予或收受贿赂);
i)介绍贿赂。
只适用于解决贿赂相关事宜,提出了反贿赂管理体系的具体要求,以帮助组织预防、发现和处置贿赂,并遵守适用于组织的反贿赂法律法规、规范性文件及自愿承诺。
并不解决欺诈、垄断、反竞争、洗钱等罪行或其他与腐败相关的问题。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅所注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T19000-2015《质量管理体系基础和术语》
GB/T23694-2013《风险管理术语》
GB/T27921-2011《风险管理风险评估技术》
ISO37001-2016《反贿赂管理体系要求及使用指南》
SZDB/Z245-2017《反贿赂管理体系》
3术语和定义
ISO37001和GB/T19000界定的以及下列术语和定义适用于本文件。
为方便使用,以下重复列出了ISO37001和GB/T19000中的某些术语和定义。
3.1
贿赂bribery
无论在何地直接或间接地提供、承诺、给予、接受或索取任何价值的不当好处(可以是金钱的或非金钱的),以引诱或奖励个人利用职务之便的作为或不作为的行为。
注:
以下形式可视为好处:
a)财物,包括任何馈赠、贷款、费用、报酬或佣金,其形式为金钱、任何有价证券或任何种类的其他财产或财
产性利益;
b)任何职位、受雇工作或不当合约利益;
c)将任何贷款、义务或其他法律责任全部或部分予以支付、免却、解除或了结;
d)行使或不行使任何权利、权力或职责;
e)其他财产性或非财产性利益。
3.2
组织organization
为实现目标(3.8),由职责、权限和相互关系构成自身功能的一个人或一组人。
注1:
组织的概念包括但不限于代理商(人)、公司、集团、商行、企事业单位、行政机构、合营公司、协会、慈
善机构或研究机构、或上述组织的部分或组合,无论是否为法人组织、公有或私有。
注2:
对于拥有一个以上运营部门的组织,其中一个或一个以上的部门都可以定义为一个组织。
3.3
利益相关方interestedparty;stakeholder
可影响决策或活动,受决策或活动所影响,或自认为受决策或活动影响的个人或组织(3.2)。
注:
利益相关方可以是组织内部或组织外部的。
3.4
管理体系managementsystem
组织(3.2)用于建立方针(3.7)、目标(3.8)以及实现这些目标的过程(3.11)的相互关联或相互作用的一组要素。
注1:
一个管理体系可以针对单一领域或几个领域。
注2:
管理体系包含的要素有组织架构、组织角色和职责、规划、执行等。
注3:
管理体系的范围可包括整个组织、组织中可被明确识别的职能或可被明确识别的部门,以及跨组织的单一职
能或多个职能。
3.5
最高管理者topmanagement
领导和控制组织(3.2)的一个或一组高层管理人员。
注1:
最高管理者拥有在组织内部授权和提供资源的权力。
注2:
如果管理体系(3.4)的范围仅覆盖组织的一部分,最高管理者则指领导和控制这部分的人员。
注3:
组织的形式有多种,取决于其运营所遵照的法律框架及其规模大小、所属行业等。
因此,在运用第5章的要求时,应考虑这些关于组织及其责任的变化情况。
3.6
有效性effectiveness
规划的活动及其预期结果所实现的程度。
3.7
方针policy
最高管理者(3.5)正式表达的组织(3.2)的意图和方向。
3.8
目标objective
要实现的结果。
注1:
目标可能是战略性的、战术性的或运行层面的。
注2:
目标可能涉及不同的领域(例如财务、销售与营销、采购、健康和安全以及环境等方面的目标),并能够应用于不同层面(例如战略、组织范围、项目、产品和过程)。
注3:
可以用其它方式例如预期结果、目的、操作标准来表示反贿赂目标,也可以用其他具有相同含义的词语(例如目的、指标等)表达。
注4:
反贿赂管理体系(3.4)中,反贿赂目标由组织(3.2)自己设定,并要求其与反贿赂方针(3.7)保持一致,
以实现具体结果。
3.9
风险risk
不确定性对目标(3.8)的影响。
注1:
影响指对预期的偏离,包括正面或负面的。
注2:
不确定性是一种状态,是指对某一事件、其后果或其发生的可能性缺乏信息、理解或知识。
注3:
风险通常被描述为潜在的“事件”(见ISO指南73:
2009中3.5.1.3的定义)与“后果”(见ISO指南73:
2009中3.6.1.3的定义)或两者的组合。
注4:
风险通常以事件后果(包括环境的变化)与相关的时间发生的“可能性”(见ISO指南73:
2009中3.6.1.3
的定义)的组合来表示。
3.10
能力competence
应用知识和技能实现预期结果的本领。
3.11
过程process
将输入转化为输出的一系列相互关联或相互作用的活动。
3.12
绩效performance
可度量的结果。
注1:
绩效可能是定量或定性的。
注2:
绩效可能与活动、过程(3.11)、产品(包括服务)、体系或组织(3.2)的管理有关。
3.13
监视monitoring
确定体系、过程(3.11)或活动的状态。
注:
为确定状态,可能需要实施检查或监督。
3.14
审核audit
获取审核证据并予以客观评价,以判定审核准则满足程度的系统、独立并形成文件的过程(3.11)。
注1:
审核可以是内部审核(第一方)或外部审核(第二方或第三方),也可以是联合审核(结合两个或两个以上
的领域)。
注2:
内部审核由组织自己实施或由外部其他方代表组织实施。
注3:
“审核证据”和“审核标准”在ISO19011中有定义。
3.15
符合conformity
满足要求。
3.16
不符合nonconformity
未满足要求。
3.17
纠正措施correctionaction
为消除不符合(3.16)的原因并预防其再次发生所采取的措施。
3.18
持续改进continuousimprovement
不断提升绩效(3.12)的活动。
3.19
员工personnel
组织(3.2)的董事、监事、官员、雇员、临时员工或工人、志愿者等为组织工作的人员。
注:
不同类型的员工面临的贿赂风险(3.9)的类型和程度不同,因此,组织在实施贿赂风险评估和贿赂风险管理
过程中,应予区别对待。
3.20
商业伙伴businessassociate
组织(3.2)已经或计划与其建立某种业务关系的外部方。
注1:
商业伙伴包括但不限于客户、顾客、合资方、合资伙伴、联盟伙伴、外包商、承包商、专业顾问、分包商、
供应商、一般顾问、代理人、分销商、代表、中介和投资方。
该定义较为宽泛,组织可根据自身贿赂风险偏
好确定可能会为组织带来贿赂风险的商业伙伴。
注2:
不同类型的商业伙伴面临的贿赂风险(3.9)的类型和程度不同,组织(3.2)对不同类型的商业伙伴的影响
也不同。
因此,组织在实施贿赂风险评估和贿赂风险管理程序时应区别对待。
注3:
本文件中的“业务”广义上指与组织运营目标相关的活动。
3.21
利益冲突conflictofinterest
员工履职时可能会影响其判断的商业、金钱、家庭、政治或个人利益的情形。
3.22
公职人员publicofficial
包括任命或选举产生的拥有立法、司法、执法权力的人员;履行公共职能(包括为政府机关、事业单位、人民团体、国有企业服务)的人员;国内或国际组织的官员或代理人。
3.23
尽职调查duediligence
进一步评估风险(3.9)性质及程度的过程(3.11),以帮助组织(3.2)对特定的交易、项目、活动、商业伙伴(3.20)和员工(3.19)作出决策。
3.24
反贿赂合规职能anti-briberycompliancefunction
拥有运行反贿赂管理体系(3.4)职责和权限的一个或多个人。
4反贿赂管理体系
4.1总则
公司按ISO37001:
2016标准的要求建立反贿赂管理体系管理手册及程序成文件,在实施过程中逐步完善,以保持体系的有效性。
公司应:
a)确定建立和实施反贿赂管理体系所需的过程及其在组织中的应用;
b)确定这些过程的顺序和相互作用;
c)确定所需的准则和方法,以确保这些过程的运行和控制有效;
d)配置必要的资源和信息,以支持这些过程的运行和监视;
e)监视、测量(适用时)和分析这些过程;
f)实施必要措施,以实现所策划的结果和对这些过程的持续改进;
g)建立、实施、评审和维护反贿赂管理体系的组织保障,将该职责分配给具有反贿赂合规职能的人员;
h)制定反贿赂方针和目标。
4.2识别利益相关方的需求和期望
公司应确定:
a)与反贿赂管理体系相关的利益方;
b)这些利益相关方的需求。
注:
在识别利益相关方的需求时,组织可区分出它们是属于强制性要求、非强制性期望或是自愿承诺。
4.3确定体系范围
公司明确反贿赂管理体系的边界和适用性,以确定其覆盖范围。
确定范围时应考虑:
a)组织的规模、结构及委托决策权;
b)组织正在开展或即将开展的业务区域和行业;
c)组织活动及运营的性质、规模和复杂性;
d)组织的商业模式;
e)受组织控制的机构或控制组织的机构;
f)组织的商业伙伴;
g)与公职人员来往的性质和程度;
h)需履行的法定、监管、合同以及专业的义务和责任;
i)4.2中的要求;
j)6.1中提及的风险评估结果。
注:
组织对不纳入体系范围的情形应说明理由并形成文件,任何未纳入范围的情形不影响反贿赂管理体系的要求。
4.4制定方针
公司制定适用的反贿赂方针,至少包含以下内容:
a)明确禁止贿赂,遵守适用于组织的所有反贿赂法律法规;
b)与组织宗旨相适应,包括对满足反贿赂管理体系要求的承诺;
c)提供制定、审核与实现反贿赂目标的框架;
d)申明反贿赂合规职能的权限和独立性;
e)鼓励对反贿赂管理的正面关注,鼓励基于善意与信任的汇报,表明违反反贿赂方针的后果。
反贿赂方针应:
a)由组织最高管理者审批和发布;
b)形成文件并保存;
c)在组织内以恰当的方式向员工宣贯,并向商业伙伴传达;
d)定期评审和更新,确保其可被利益相关方获取。
详见《公司所处环境经营分析控制程序》及《反贿赂管理方针和目标方案》。
4.5确立目标
公司确定相关部门和人员的反贿赂目标,以减少及避免贿赂行为。
目标应可测量、监视和沟通,并形成文件。
适用时,反贿赂目标可为:
a)贿赂风险的管控率;
b)贿赂事件发生率;
c)贿赂事件有效处置率;
d)通过公平、公正和公开采购、营销的业务量比例等。
组织应适时评审反贿赂目标,并适当更新。
详见《反贿赂管理方针和目标管理方案》。
5管理职责
5.1管理承诺
最高管理者通过以下活动,对其建立、实施反贿赂管理体系并持续改进的承诺提供证据:
a)审批和签发反贿赂方针;
b)制定反贿赂目标;
c)进行管理评审;
d)确保资源得到配置;
e)在公司内传达有效反贿赂管理和满足反贿赂管理体系要求的重要性;
f)在公司内营造适当的反贿赂文化;
g)促进反贿赂管理体系的持续改进;
h)支持其他管理岗位在其职权范围内预防和识别贿赂风险。
5.2职责、权限与沟通
5.2.1职责和权限
最高管理者确保公司内的职责、权限得到规定和沟通。
各级管理者应确保所属部门的员工遵守并执行与其职责相关的反贿赂管理体系要求。
详见《反贿赂职责一览表》。
5.2.2反贿赂合规职能
最高管理者任命合适人员或合适部门负责反贿赂管理体系实施和运作,并确保其具有以下职责和权限:
a)确保反贿赂管理体系所需的过程得到建立、实施、维护和持续改进;
b)确保反贿赂管理体系符合适用的法律法规及本文件的要求;
c)组织风险评估;
d)对举报的贿赂事件进行管理、调查及核实;
e)向员工提供反贿赂管理体系以及反贿赂相关问题的培训、建议和指导;
f)定期或适时向最高管理者汇报反贿赂管理体系的成效;
g)与执纪执法等部门进行沟通和对接。
详见《管理者代表任命书》。
5.2.3沟通
公司建立了适当的内外部沟通渠道,向员工及商业伙伴公开和传达其反贿赂方针及反贿赂管理体系的其他要求。
公司确保所有员工了解并遵守反贿赂相关要求,并保留相关记录。
详见《信息交流沟通控制程序》。
6贿赂风险评估
6.1总则
公司建立科学、系统的贿赂风险评估程序,以识别、分析、评价和处置风险,并定期评审风险评估程序及评估结果的适宜性和有效性。
风险评估程序应包括:
a)确定评估范围;
b)评估频率;
c)风险优先级划分的标准;
d)风险处置策略和管控措施;
e)形成文件并留档保存。
注:
贿赂风险识别的具体方法可参考GB/T27921-2011。
6.2风险识别
风险识别是认知和记录贿赂风险的过程,在识别其活动过程中的贿赂风险时,应检查:
a)可适用的法律法规及规范性文件的要求;
b)经营活动及业务获得的方式;
c)组织机构及岗位职责;
d)新增项目、交易、活动或供应商;
e)商业伙伴的透明程度;
f)利益相关方;
g)已往案例;
h)行业或商业惯例等。
识别出的风险,应包含以下要素:
a)涉及人员;
b)诱因;
c)发生时间;
d)发生地点;
e)如何发生。
注:
公司面临的贿赂风险根据其规模大小、行业运作情况、性质和复杂性等因素变化。
6.3风险分析
公司分析已识别的风险,以确定风险高低。
在进行风险分析时,可考虑以下因素:
a)风险性质;
b)风险发生的可能性;
c)风险的影响程度。
6.4风险评价
公司确定适宜的风险评价标准,以划分所识别风险的等级。
6.5风险处置
确定风险等级后,公司为每种类别或等级的风险制定适用的风险管控措施,并评估此类风险现有管控措施的有效性。
公司根据组织环境、法律法规的变化,对风险管控措施进行定期评审和修改。
详见《风险和机遇识别分析评价及应对处理控制程序》及《相关方期望和需求控制程序》
7支持
7.1文件化信息
反贿赂管理体系文件应包括:
a)反贿赂方针与目标;
b)贿赂风险管控措施规划和监视程序;
c)贿赂行为的汇报和处置程序;
d)风险评估和尽职调查程序;
e)贿赂风险清单;
f)为确保过程有效策划、运行和控制所需的文件,包括记录。
注1:
文件可采用任何类型的媒介进行保存。
注2:
文件复杂程度因组织的规模、业务类型、体系过程及相互作用的复杂程度、人员能力以及面临的风险等因素的不同而不同。
公司在创建、维护和更新反贿赂管理体系相关文件信息时,应:
a)确保这些文件包含必要的信息(如标题、日期、版本、审核与批准状态等),并易于理解(如以工具表、流程表等形式)、获取和传播(如纸质版、电子版);
b)采取适当的措施对相关文件信息进行存档和管理,以确保文件得到有效的保护、分发、使用和处理。
注:
组织可依据自身的文件保留政策自行决定存档方式。
详见《文件化信息管理控制程序》及《记录管理控制程序》。
7.2资源支持
公司明确并提供建立、实施、维护和持续改进反贿赂管理体系所需的人力、物力和财力等资源。
在配置人力资源时,应:
a)确保从事影响反贿赂绩效相关工作的人员(如反贿赂合规职能)具备适合的教育背景、培训、技能和经验,以确保反贿赂管理体系有效运作;
b)如有必要,提供培训或采取其他措施以获得所需能力,并评价采取措施的有效性;
c)保留作为能力证据的适当文件化信息。
注:
适用的措施可包括:
对员工进行培训、指导,或重新任命人员、雇用优秀人才等。
7.3雇用程序
对所有的员工,公司应:
a)雇用条件中要求被雇用人员必须遵守组织的反贿赂方针,同时有权对任何违反反贿赂方针的行为进行处置;
b)员工入职后,在合理时间内提供反贿赂方针或获取渠道,并提供相关的培训机会;
c)制定违反反贿赂方针的处理程序;
d)如有以下情况,员工不会受到报复、歧视或纪律处分(如威胁、孤立、降级、限制晋升、调岗、解雇、欺负、伤害或其他形式的干扰):
1)因合理识别出活动的贿赂风险在低风险以上水平且组织尚未管控到该风险,而拒绝参与或毁约;
2)善意或基于合理相信提出、汇报企图、实际或可疑的贿赂,或者违反反贿赂方针、反贿赂管理体系的情况(不包括个人参与的情
升级会员 