ISO 37001:2016不仅是监管合规练习——它是一种法律防御机制。在承认该标准的司法管辖区,证明已建立并审计的反贿赂体系可以成为法律诉讼中的减轻因素。大多数组织不理解的是,该标准要求比例性:控制必须根据每个商业关系、地理区域和活动部门中识别的贿赂风险水平进行调整。反贿赂审计中最常见的发现是通用的尽职调查——对低风险的本地供应商和高风险司法管辖区的中间人应用相同级别的验证。可审计的反贿赂体系要求控制措施适应实际风险环境的证据,而不是合同金额。
交付成果
01
贿赂风险评估
按领域、流程和第三方关系映射腐败风险。
02
控制审计
验证尽职调查、举报渠道和礼品政策。
03
有效性报告
发现、建议和区域最佳实践基准比较。
干预流程
01
风险诊断
背景、利益相关方和贿赂暴露评估。
02
现场审计
访谈、记录审查和控制测试。
03
执行报告
按严重程度分类的发现及行动计划。
技术查询
不是。ISO 37001适用于任何有贿赂风险暴露的组织——公共、私营、非政府组织或混合型。在私营部门,在多个司法管辖区运营、与政府实体有关系或拥有复杂供应链的组织具有证明采用合理性的风险状况。此外,FCPA(美国)和英国《反贿赂法》等立法隐含地将该标准视为尽职调查的证据。认证体系可能是巨额罚款与有文件记录的法律辩护之间的区别。
道德准则是意向声明;ISO 37001要求具有运营控制的可审计体系。差异是可衡量的:准则说'我们不接受贿赂';标准要求证据证明每个风险第三方都有文档化的尽职调查流程,举报渠道活跃且可访问,高级管理层定期审查贿赂风险,并且违规行为有真实的文档化后果。没有这些证据,准则只是声明性的,但不可审计。
Fernando Arrieta提供管理体系的评估、诊断与方法论指导服务。这些活动独立于认证过程,认证过程专门由认可的认证机构执行。