一、标准介绍
        贿赂是合规管理中最为突出的议题。《反贿赂管理体系——要求及使用指南》(ISO37001:2016)为组织建立系统的反贿赂管理体系提供要求和应用指南。ISO37001 标准亦遵循过程方法和 PDCA 方法论,强调以风险为基础。ISO37001 标准将近 200 页,其内容细致入微,企业可以对照该标准建设合规体系,也可以通过聘请经过认证的独立第三方,辅导企业建设一套有效的立体合规体系,并在合规体系建设完成后获取认证,成为通过 ISO37001 认证的企业。可以预见,在将来国际投标活动中,极有可能将获得 ISO37001 标准认证证书作为投标资质要求之一。
        二、ISO37001 的应用
        确定合规管理体系的范围、方针和原则。组织反贿赂管理体系的范围主要针对组织活动有关的所有行贿和受贿的行为,包括:
        ●在公有、私营和非营利部门的贿赂;
        ●组织实施的贿赂;
        ●组织员工代表组织或为组织利益实施的贿赂;
        ●组织的商业伙伴代表组织或为其利益实施的贿赂;
        ●对组织实施的贿赂;
        ●对组织员工实施的与组织活动有关的贿赂;
        ●对组织商业伙伴实施的与组织活动有关的贿赂;
        ●直接和间接的贿赂。
        民营企业国际化行业运营环境复杂,须充分理解内外部的运营环境,考虑涉及的贿赂风险,以合理确定反贿赂管理体系的范围,明确反贿赂方针和原则。
        贿赂风险的识别、评价和策划。贿赂管理体系的基本逻辑和方法论仍是风险管理、过程方法和 PDCA 方法。贿赂风险的识别和评价是实现有效控制贿赂风险的基础。民营企业应充分收集和理解运营所在国家的法规和传统文化,以准确界定贿赂风险。企业可以分区域和业务过程识别贿赂风险。如依据招投标——中标——采购和分包——合同实施——合同变更——竣工和验收和其他行政和商务活动的过程梳理,再将这些大的过程细分成子过程,针对每一个子过程的业务节点(含商业伙伴)识别行贿和受贿风险。贿赂风险的评价通常也采用LEC 法。对超出容忍阈值的贿赂风险,应进行控制策划,建立合规框架,包括合规风险的应对措施和目标,控制措施应是合理的和与风险水平相匹配的。管理目标应予以分解为各过程或者层次的绩效指标(KPI)。
        贿赂风险管理、绩效评估和改进。组织通过程序的运行和过程控制(含外包过程)实施风险控制措施,实现其控制目标,包括(1)尽职调查;(2)财务控制;(3)非财务控制;(4)受组织控制的组织以及非受控商业伙伴的贿赂风险控制;(5)反贿赂承诺;(6)礼物、款待、捐赠及类似利益管理;(7)反贿赂控制不力时的管理;(8)鼓励举报和报告;(9)调查和处理贿赂。组织应制定监控机制对反贿赂管理体系运行的绩效进行评估,包括合规 KPI 的监视、审核和管理评审。其中管理评审包括了反贿赂合规职能的评审、最高管理者评审和管理机构评审。监控机制中发现的任何问题或者异常趋势,都应及时采取适宜的措施,实现改进,最大程度规避贿赂风险
        三、ISO19600 和 ISO37001 的异同
        建立有效的合规和反贿赂管理体系并不能杜绝不合规的发生,但是能够系统性地降低不合规和贿赂发生的风险并成为司法抗辩的有力证据。这对于组织在国内和国外的经营和发展都尤为重要。

表 1 ISO19600 和 ISO37001 的异同