Hot Posts

2/recent/ticker-posts

ISO 37001 反賄賂管理系統:企業誠信經營的國際標準

 


隨著全球反貪腐法規日趨嚴格,從美國《海外反腐敗法》(FCPA)到英國《反賄賂法》(UK Bribery Act),企業若缺乏系統化的反賄賂管理機制,將面臨法律訴訟、商譽損害與供應鏈中斷等多重風險。ISO 37001 正是國際標準化組織(ISO)針對反賄賂議題所制定的管理系統標準,提供組織預防、偵測與因應賄賂行為的完整框架。

ISO 37001 是什麼

ISO 37001 反賄賂管理系統(Anti-bribery Management Systems),是一套可認證的國際標準。其核心目的是協助組織將反賄賂融入現有的管理流程中,建立誠信、透明的營運機制。

這套系統的特點:

        可獨立運行,也可與 ISO 9001ISO 14001 等系統整合,遵循 ISO 通用的高階結構(HLS)。

        適用範圍廣——涵蓋公私部門、非營利組織,包括組織自身人員與第三方的賄賂行為。

        聚焦於賄賂防治,不涵蓋洗錢、詐欺、壟斷等其他貪腐類型。

2025 年新版重點更新

ISO 370012025 已於 2025 2 月正式發布,將逐步取代 2016 年首版。新版主要變更:

        新增「反賄賂文化」條文(5.1.3——強調由上而下的誠信文化建構,從制度治理走向文化治理。

        風險評估更加強化(4.5——獨立條文強調動態風險管理,提升對潛在賄賂行為的識別與因應。

        涉及部門範圍擴大:法務、內稽、採購、人資、財務、業務等部門均需配合建置。

顧問提醒:已通過 2016 版驗證的企業,應關注驗證機構公告的轉版時程,及早進行落差分析與文件更新。

台灣企業為何需要 ISO 37001

ISO 37001 與台灣法規、國際準則的對接關係:

        對應 115 年度 ESG 評鑑指標 S-7、S-8、S-9——ESG 評鑑指標要求企業設置誠信經營推動單位,揭露經董事會通過之誠信經營政策與防範不誠信行為方案,並建立內外部人員檢舉制度。導入 ISO 37001 可協助企業建置反賄賂政策、風險評估、教育訓練、檢舉調查及內部稽核機制,作為回應 ESG 評鑑誠信經營指標之管理基礎。

        上市上櫃公司誠信經營守則——主管機關與證交所修訂守則,規定上市櫃公司應遵守反賄賂事項。ISO 37001 提供符合守則的管理架構。

        聯合國反貪腐公約施行法——台灣已公布施行法,UNCAC 規定具有國內法律效力。

        GRI 205 反貪腐揭露——若反貪腐為公司重大議題,須揭露 GRI 205-1(貪腐風險評估的營運據點)、205-2(反貪腐政策的溝通與訓練)、205-3(已確認的貪腐事件與行動)。

        RBA 責任商業聯盟——行為準則 D1 誠信經營、D2 無不正當收益,參與國際供應鏈的企業須符合。

ISO 37001 10 大條文架構

與其他 ISO 管理系統一致,ISO 37001 採用高階結構(HLS10 個章節:

1.      範圍

2.     規範性引用文件

3.     術語和定義

4.     組織背景——內外部議題、利害關係人、賄賂風險評估

5.     領導——反賄賂政策、高層承諾、反賄賂合規功能

6.     規劃——風險與機會、目標與方案

7.     支持——資源、能力、訓練、溝通、文件化資訊

8.     運行——盡職調查、財務與非財務控制、商業夥伴管理

9.     績效評估——監測、測量、內部稽核、管理審查

10. 持續改善——不符合事項、改正措施、持續精進

導入 ISO 37001 的三個階段
  • 現況評估與落差分析——盤點現有的反賄賂政策、內控機制、檢舉管道,對照 ISO 37001 條文找出缺口。
  • 系統建置與執行——制定反賄賂政策、建立賄賂風險評估流程、設計盡職調查程序、培訓全員反賄賂意識。
  • 驗證與維護——內部稽核、管理審查後申請第三方驗證取得證書;後續透過年度稽核與改版因應維持有效性。

顧問提醒:導入初期最容易卡關的環節是「賄賂風險評估」——很多企業第一次做會抓不準風險來源。建議先就採購、業務、代理商等高風險流程開始盤點,再逐步擴展。

常見問答

Q1ISO 37001 只適用於大企業嗎?

A不限規模。中小企業、非營利組織、公部門皆適用。尤其是參與國際供應鏈、或受 RBA、客戶稽核要求的中型企業,導入效益明顯。

Q2:已有誠信經營守則還需要 ISO 37001 嗎?

A守則是政策宣示,ISO 37001 是管理系統。前者說明「要做什麼」,後者建立「怎麼做、怎麼查、怎麼改」的完整機制。兩者互補。

Q3:導入大約需要多久?

A視組織規模與現有內控成熟度。一般中型企業約 46 個月可完成建置與驗證。

反賄賂管理有疑問?讓顧問協助你建立合規架構

無論是回應公司治理評鑑、滿足國際客戶的合規要求、或是系統化建立企業誠信文化,ISO 37001 都是有效的管理工具。若有任何導入、改版或稽核上的疑問,歡迎與我們聯繫:

        客服信箱:service@jsconsulting.com.tw

        諮詢專線:0800-020-500