5.1 管理承诺
最高管理者应通过以下活动,对其建立、实施反贿赂管理体系并持续改进的承诺提供证据:
a) 审批和签发反贿赂方针;
b) 制定反贿赂目标;
c) 进行管理评审;
d) 确保资源得到配置;
e) 在组织内传达有效反贿赂管理和满足反贿赂管理体系要求的重要性;
f) 在组织内营造适当的反贿赂文化;
g) 促进反贿赂管理体系的持续改进;
h) 支持其他管理岗位在其职权范围内预防和识别贿赂风险。
5.2 职责、权限与沟通
5.2.1 职责和权限
最高管理者应确保组织内的职责、权限得到规定和沟通。
各级管理者应确保所属部门的员工遵守并执行与其职责相关的反贿赂管理体系要求。
5.2.2 反贿赂合规职能
最高管理者应任命合适人员或合适部门负责反贿赂管理体系实施和运作,并确保其具有以下职责和
权限:
a) 确保反贿赂管理体系所需的过程得到建立、实施、维护和持续改进;
b) 确保反贿赂管理体系符合适用的法律法规及本文件的要求;
c) 组织风险评估;
d) 对举报的贿赂事件进行管理、调查及核实;
e) 向员工提供反贿赂管理体系以及反贿赂相关问题的培训、建议和指导;
f) 定期或适时向最高管理者汇报反贿赂管理体系的成效;
g) 与执纪执法等部门进行沟通和对接。
注:反贿赂合规人员可以由专职或兼职人员担任。
5.2.3 沟通
组织应建立适当的内外部沟通渠道,向员工及商业伙伴公开和传达其反贿赂方针及反贿赂管理体系
的其他要求。组织应确保所有员工了解并遵守反贿赂相关要求,并保留相关记录。
6 贿赂风险评估
6.1 总则
组织应建立科学、系统的贿赂风险评估程序,以识别、分析、评价和处置风险,并定期评审风险评
估程序及评估结果的适宜性和有效性。
风险评估程序应包括:
a) 确定评估范围;
b) 评估频率;
c) 风险优先级划分的标准;
d) 风险处置策略和管控措施;
e) 形成文件并留档保存。
注:贿赂风险识别的具体方法可参考GB/T 27921-2011。
6.2 风险识别
风险识别是认知和记录贿赂风险的过程,组织在识别其活动过程中的贿赂风险时,应检查:
a) 可适用的法律法规及规范性文件的要求;
b) 经营活动及业务获得的方式;
c) 组织机构及岗位职责;
d) 新增项目、交易、活动或供应商;
e) 商业伙伴的透明程度;
f) 利益相关方;
g) 已往案例;
h) 行业或商业惯例等。
识别出的风险,应包含以下要素:
a) 涉及人员;
b) 诱因;
c) 发生时间;
d) 发生地点;
e) 如何发生。
注:组织面临的贿赂风险根据其规模大小、行业运作情况、性质和复杂性等因素变化。
6.3 风险分析
组织应分析已识别的风险,以确定风险高低。组织进行风险分析时,可考虑以下因素:
a) 风险性质;
b) 风险发生的可能性;
c) 风险的影响程度。
6.4 风险评价
组织应确定适宜的风险评价标准,以划分所识别风险的等级。
6.5 风险处置
确定风险等级后,组织应为每种类别或等级的风险制定适用的风险管控措施,并评估此类风险现有
管控措施的有效性。
组织应根据组织环境、法律法规的变化,对风险管控措施进行定期评审和修改。
7 支持
7.1 文件化信息
反贿赂管理体系文件应包括:
a) 反贿赂方针与目标;
b) 贿赂风险管控措施规划和监视程序;
c) 贿赂行为的汇报和处置程序;
d) 风险评估和尽职调查程序;
e) 贿赂风险清单;
f) 为确保过程有效策划、运行和控制所需的文件,包括记录。
注1:文件可采用任何类型的媒介进行保存。
注2:文件复杂程度因组织的规模、业务类型、体系过程及相互作用的复杂程度、人员能力以及面临的风险等因素
的不同而不同。
组织在创建、维护和更新反贿赂管理体系相关文件信息时,应:
a) 确保这些文件包含必要的信息(如标题、日期、版本、审核与批准状态等),并易于理解(如
以工具表、流程表等形式)、获取和传播(如纸质版、电子版);
b) 采取适当的措施对相关文件信息进行存档和管理,以确保文件得到有效的保护、分发、使用和
处理。
注:组织可依据自身的文件保留政策自行决定存档方式。
7.2 资源支持
组织应当明确并提供建立、实施、维护和持续改进反贿赂管理体系所需的人力、物力和财力等资源。
组织在配置人力资源时,应:
a) 确保从事影响反贿赂绩效相关工作的人员(如反贿赂合规职能)具备适合的教育背景、培训、
技能和经验,以确保反贿赂管理体系有效运作;
b) 如有必要,提供培训或采取其他措施以获得所需能力,并评价采取措施的有效性;
c) 保留作为能力证据的适当文件化信息。
注:适用的措施可包括:对员工进行培训、指导,或重新任命人员、雇用优秀人才等。
7.3 雇用程序
对所有的员工,组织应:
a) 雇用条件中要求被雇用人员必须遵守组织的反贿赂方针,同时有权对任何违反反贿赂方针的行
为进行处置;
b) 员工入职后,在合理时间内提供反贿赂方针或获取渠道,并提供相关的培训机会;
c) 制定违反反贿赂方针的处理程序;
d) 如有以下情况,员工不会受到报复、歧视或纪律处分(如威胁、孤立、降级、限制晋升、调岗、
解雇、欺负、伤害或其他形式的干扰):
1) 因合理识别出活动的贿赂风险在低风险以上水平且组织尚未管控到该风险,而拒绝参与或
毁约;
2) 善意或基于合理相信提出、汇报企图、实际或可疑的贿赂,或者违反反贿赂方针、反贿赂
管理体系的情况(不包括个人参与的情况)。
对于低贿赂风险以上的员工,组织应:
a) 在对其聘用或晋升之前进行背景调查,以确定可合理地相信其能遵守反贿赂方针和反贿赂管理
体系的要求;
b) 定期审查员工的绩效奖金、绩效目标和其它薪资奖励因素,以确保员工的利益得到合理的保障;
c) 此类员工及最高管理者必须根据已识别的风险程度定期发布声明,表明其遵守反贿赂方针。
7.4 意识与培训
组织应提高员工的反贿赂风险意识并为员工提供充分和适当的培训。
组织应根据员工的岗位、面临的贿赂风险以及不断变化的内外部环境,定期(具体周期由组织决定)
提供反贿赂意识培训;应根据需要定期更新培训方案以反映相关新信息。
组织向员工提供培训时,应包括以下内容:
a) 组织的反贿赂方针和流程,反贿赂管理体系,以及员工遵守政策与体系的责任;
b) 贿赂对组织和员工造成的风险和损失;
c) 可能发生的与其职能相关的贿赂情况,及其识别方法;
d) 如何预防和避免贿赂发生,并识别关键风险指标;
e) 员工对反贿赂管理体系有效性的贡献,包括提升反贿赂绩效及汇报可疑贿赂带来的效益;
f) 违反反贿赂管理体系要求所带来的影响和潜在后果;
g) 发现任何问题时的汇报对象和途径;
h) 可用培训和资源的相关信息;
i) 基于已识别的风险,组织应对低贿赂风险以上的商业伙伴提供适当的反贿赂培训。
注:对商业伙伴的培训与要求可通过合同或类似文件进行沟通,可由组织、商业伙伴或其它机构执行。