ISO37001-2016 反贿赂管理体系认证及管理完整方案

ISO37001反贿赂管理体系认证规则二、ISO37001反贿赂管理手册（2017版）三、反贿赂/反腐败承诺书四、ISO37001-2016反贿赂管理体系认证ISO37001反贿赂管理体系认证规则1.标准简介2.适用范围3.认证基本原则4.对认证人员的要求5.销售过程6.审核准备8.审核实现9.认证决定10.证书的扩大、缩小、暂停、恢复和撤销11.受理申诉和投诉12.认证记录管理ISO37001反贿赂管理体系认证规则版本：A贿赂是当今世界最具有破坏性和挑战性的问题之一。据统计每年超过一万亿美元的贿赂款给我们带来了灾难性的后果，如：降低了人们的生活质量、加大了贫富差距和不公平、侵蚀了公共资源等。ISO37001《反贿赂管理体系一要求和使用指南》,提出了反贿赂管理系统的建立、实施、维护、改进的指导与要求，该系统可以是独立、或综合的管理系统。贿赂是指在公众、私有、非营利性部门，贿赂组织或其职员，行贿或收受贿赂，或通过第三者行贿或收受贿赂，贿赂会发生在任何地方，以获得任何财务或非财务的好处。ISO37001反贿赂管理体系旨在组织中灌输反贿赂文化并实施适当的控制，这将增加预防、侦查贿赂的机会并减少贿赂案件的发生。IS037001反贿赂管理体系具有普遍的适用性，在各个国家、各种类型的组织均可适用，无论其是否为上市公司、私营公司或非盈利组织。这是一个非常灵活的管理体系和管理工具，只要其存在潜在的腐败贿赂问题，无论何种规模何种性质的组织均2适用范围2.1本规则用于规范必维认证(北京)有限公司(以下简称“必维”)对申请认证和获证的各类组织按照ISO37001《反贿赂管理体系—要求和使用指南》建立反贿赂管理体系的认证活动。2.2本规则旨在遵守认证认可相关法律法规及国家技术标准，对反贿赂管理体系认证实施过程作出具体规定，确保必维对认证过程的管理和相应责任。2.3本规则是对必维从事反贿赂管理体系认证活动的基本要求，公司各部门从事该项认证活动应当遵守本规则。ISO37001反贿赂管理体系认证规则版本：A3认证基本原则3.1公正性：保持公正，是提供第三方认证的必要条件。公司通过合同评审、技术评审、审核准备和实现等过程控制，确保审核过程是公正的、客观的。3.2能力：能力是指经证实的应用知识和技能的本领。公司通过审核人员管理机制，保障的人员能力是提供可建立信心的认证审核的必要条件。3.3责任：公司基于合理抽样、足够的客观证据基础上进行审核和评价，并在此基础上做出认证决定。3.4开放性：为确保诚信性与可信性，公司采用透明运营的方式，公布有关反贿赂管理体系认证审核过程和状态的适宜、及时的信息，或提供获取上述信息的公开3.5保密性：公司采取措施对任何关于客户的专有信息予以保密，但对于享有获取充分评价认证审核符合性所需的信息的特别权利是必不可少的。3.6对投诉的回应：公司依据《投诉和申诉流程》,对投诉和申诉进行调查和适4对认证人员的要求4.1审核人员需取得必维认证的ISO37001审核员资格。4.2其他人员如申请评审人员、审核计划排程人员、认证决定人员等，应经评价确认满足必维认证确定的能力要求。4.3认证人员将遵守与从业相关的法律法规和认证规则，对认证活动及作出的认证审核报告和认证结论的真实性承担相应的法律责任ISO37001反贿赂管理体系认证规则版本：A5销售过程5.1销售过程如以下流程图所示客户客户BV认证5.2认证申请收到潜在客户的要求，当地的销售人员会向组织发送《ISO37001认证申请表》,便于组织提供认证所需的信息。除了组织的一般信息外，申请反贿赂管理体系认证还需要提供以下信息：1)提出申请认证的范围(包括现场、多现场、总部);2)审核类型(初审、再认证、转证审核);3)审核语言；4)组织的主要活动、产品和服务；5)负责反贿赂管理的组织代表或负责人；ISO37001反贿赂管理体系认证规则版本：A6)反贿赂管理有效人数；7)反贿赂管理体系与哪些体系整合，现有获得认证的管理体系；8)与反贿赂管理相关的法规要求；9)在过去5年中，组织涉及某种类型与贪污问题有关的刑事调查或诉讼案件；10)组织接受国家、国际的捐助资金或公共资金与公司营业额的比例。5.3审核人天的确定初次审核的人天基于反贿赂管理体系有效人员，按附录A反贿赂管理体系人天计算表计算基本审核人天，然后根据客户特定的复杂程度和反贿赂管理风险进行增减，但减少的人天幅度不得超过30%。每年至少进行一次现场监督审核，每次年度监督审核时间为初审时间的1/3,最少的监督审核时间为1天。再认证审核时间的计算与初次审核相似，再认证审核的人天时间通常为初次认证复杂性来自于所承担的业务相关风险的数量和类型。风险作为反贿赂管理目标的不确定性影响，应来自风险影响准则的量化评估，如：采购、招投标、工程项目、财务管理、公司治理等，并适用于不同层次(战略，组织范围，项目，过程);地理位置和所处国家；当地廉洁文化；历史和事件趋势等。5.4申请评审5.4.1必维认证将对申请组织提交的申请资料进行审查，并确认：(1)申请资料齐全。(2)申请组织从事的活动符合相关认证规则和法律法规的规定。5.4.2根据申请组织申请的认证范围、复杂性、有效人数、完成审核所需时间和其他影响认证活动的因素，综合确定是否有能力受理认证申请。5.4.3对符合要求的，必维认证可决定受理认证申请；对不符合要求的，必维认ISO37001反贿赂管理体系认证规则版本：A证将通知申请组织补充和完善，或者不受理认证申请。5.4.4必维认证将保存认证申请的审查确认工作记录。5.5签订认证合同在实施认证审核前，应与申请组织订立具有法律效力的书面认证合同。已签订认证合同的申请组织也称为客户。6审核准备6.1该流程适用于各种审核的准备过程，以及反贿赂管理认证过程的一阶段、二阶段、监督审核和再认证审核。6.2团队分配：审核组应具备必要的能力以覆盖反贿赂管理审核的范围，必要时，应包括合格专家的技术支持。当反贿赂管理体系审核与另外标准进行整合审核时，审核组在涵盖的标准认证范围内均应具备相应的能力。6.3审核计划：审核计划应明确认证范围内的所有过程，并在审核前发送给客户已及审核组成员。6.4.监督审核计划：监督审核计划应与客户沟通商定后完成，需考虑以下内容：·认证范围内人数、活动、部门的增加或减少当在一个审核现场存在监管合规问题，审核组长应该分配适当的时间，审查客户的纠正/预防措施相关的问题。7认证审核7.1现场和非现场审核7.1.1审核时间包括现场审核时间和审核员所花费的策划、报告的非现场时间。现场所用的时间不少于总人天的80%。ISO37001反贿赂管理体系认证规则版本：A7.1.2当需要额外时间进行策划和编制报告时，应考虑增加策划和编制报告的时间，但不能由此减少现场审核时间。7.2一阶段审核7.2.1一阶段审核的目的和重点如下：1)审核组织的管理体系文件；2)评估客户的场所和地点的具体情况，并与客户人员进行讨论，以确定二阶段3)评审客户的管理状态以及对标准要求的理解，特别是对反贿赂风险评价、尽职调查、合规功能、关键过程控制策划、目标和管理体系的运行方面；4)收集必要的信息资料，包括管理体系的范围，过程，场所，以及相关的法律5)评审二阶段审核的资源分配，与客户针对二阶段审核的具体安排达成共识；6)确认审核时间，策划时考虑组织场所和过程的复杂程度。7)评价内部审核和管理评审是否策划和实施，评价管理体系的实施水平证明客户为二阶段审核做好准备；8)一旦该组织在一阶段后宣布"准备就绪",就需要进行二阶段审核，评估客户是否满足ISO37001国际标准的所有要求。7.2.2一阶段审核的输出包括：·审核报告以及二阶段的建议·二阶段的审核计划·文件评审发现/或二阶段审核担心成为不符合的事项。7.2.3一阶段审核所产生的关注事项应在90天内关闭或在较早的二阶段审核前关闭。在审核组组长推荐的情况下，可以进入二阶段审核过程。ISO37001反贿赂管理体系认证规则版本：A7.3.1二阶段审核是完整条款、完整体系的审核。审核组长必须确保在审核过程中标准所有条款的要求被验证。7.3.2二阶段审核的目的是评价反贿赂管理体系实施的有效性，二阶段审核是现场审核。至少应包括以下内容：·关于符合适用管理体系标准或其他规范性文件的所有要求的信息和证据；·绩效监控、测量、报告和对关键绩效目标指标的评审(符合适用的管理体系标准或其他规范性文件的期望)·反贿赂管理体系与合规功能·反贿赂风险的识别和控制策划·关键过程的运行控制·内部审核和管理评审·反贿赂方针政策和管理职责·规范性要求与公司政策、绩效目标和指标之间的联系，任何适用的法律要求，职责，人员的能力，运行控制，程序，绩效数据和内部审核结果和结论。7.3.3二阶段审核完成后编制审核报告，包括一阶段和二阶段的审核发现。二阶段发现的不符合项应在二阶段审核最后一天的90天内进行整改关闭。如果不符合(一阶段、二阶段、监督审核和再认证审核)在审核结束后的90天内没有关闭，应在90天期限结束后，最多15天内进行现场后续访问。7.3.4如果跟踪访问和不合格关闭未在上述期限内结束，审核被认为是无效的。不符合关闭后，最终审核报告应递交给客户。具有能力的POV做出认证决定。7.4不合规议题和紧急情况处理ISO37001反贿赂管理体系认证规则版本：A如果审核员发现或怀疑管理体系可能存在不符合相关法律/法规，这个信息应该清楚地传达给客户。审核员应确保任何适用的外部报告的要求。如果客户卷入任何可能危及系统认证的危机情况(例如：一宗丑闻、危机或卷入某种受贿罪的起诉，以及在发现任何可能涉及本组织成员的贿赂行为的情况下),必须尽快通知必维公司。必维直接通过认证组织或其他方式发现组织被牵连，项目经理和地方技术经理必须立即开始调查。在分析后，当地技术经理将采取适当的步骤，依据该公司所采取的对策的适当性作出决定，包括但不限于：决定是否需要进行额外的审核、维持、中止、暂停或撤消证书。8审核实现8.1首次会议应与客户的管理层举行一次正式的首次会议，如有必要应包括负责拟审核部门或过过程的人员，并应记录与会人员。首次会议应由审核小组组长主持，其目的是简单说明审核活动将如何开展，并应包括下列信息。说明的详细具程度视客户熟知的审核过程的程度而定。a)介绍参与人员，包括简介其角色；b)确认认证的范围；c)与客户确认审核计划(包括审核的类型和范围、目标和依据)、任何变化以及其他相关安排，如末次会议的日期和时间、审核小组和客户管理层之间的临时会议；d)确认审核小组和客户之间的正式沟通渠道；e)确认具备审核小组所需的资源和设施；f)确认保密相关问题；g)确认审核小组的相关工作安全、紧急及安全事项；h)确认陪同人员和观察员，其角色和职责；i)报告方式，包括对审核发现的分级；ISO37001反贿赂管理体系认证规则版本：Aj)审核可能提前终止的情况；k)审核组长及审核小组对审核负责，且应控制审核计划的执行，包括审核活动和1)如适用，确认前次审查或审核发现的状态；m)根据抽样进行审查所需使用的方法和过程；n)确认审核中使用的语言；o)确认在审核中，将会向客户及时通报审核进度及任何关注的问题；p)客户提问的机会。参加首次会议的关键人员有：总经理或相当人员、部门(审核相关)负责人、管理层代表。8.2观察员及陪同人员8.2.1观察员安排观察员出席现场审核及其理由应在实施审核前得到BVC和客户的认可和同意。审核小组应确保观察员不会影响或介入审核过程或审核结果。观察员可以是客户组织成员、顾问、见证认证机构人员、监管人员或其他合理的人员。8.2.2陪同人员：每位审核员均应由一名陪同人员陪伴，审核组长与客户另行同意的情况除外。陪同人员分配给审核小组协助审核。审核小组应确保陪同人员不会影响或介入审核过程或审核结果。陪同人员的职责包括：a)及时联系和安排访谈；b)安排访问站点或组织的具体部分；c)确保审核小组成员了解并遵守有关站点安全和保安过程制度；d)代表客户见证审核；ISO37001反贿赂管理体系认证规则版本：Ae)根据审核员的要求提供澄清或信息。8.3不符合项和审核发现8.3.1审核员应在审核报告中提出并记录不符合项出现的领域。客户将调查其根源，并向必维提出纠正措施建议。报告还应包含合理的反贿赂管理体系的改进机会。小组组长应与客户商定如何处理并关闭不符合项。8.3.2次要不符合项；可采用小组组长批准的纠正措施计划，将在下一次访问时验证纠正措施的实施。8.3.3主要不符合项；纠正和纠正措施在90天内关闭，通过文件审查验证，或如合适且经客户同意，通过在额外的跟踪访问验证。对于换发新证，将限制纠正和纠正措施的时间，以便在证书过期前实施措施。8.3.4提出改进机会时，小组组长应确保确实是改进机会而非下述定义中的不符合1)主要不符合项客户体系中没有提及解决标准的某一要求；频繁的或无故不遵循公司体系中的具体书面要求；未能达到系统要求的基本目的；客户管理体系未能达到法律或法规的要求*;标准或公司体系的同一要求出现多个次要不符合项；公司无故不纠正不符合项。*如客户已通过其内部审核及纠正措施过程识别出该问题，且具有纠正计划，并在实2)次要不符合项：所审核的体系未能满足书面要求，但不属于主要不符合项。ISO37001反贿赂管理体系认证规则版本：A3)改进机会：当前符合过程/活动/文件，但可以通过改进为客户带来利益。4)观察项：需要关注地方，过程、文件或活动目前符合要求，但如果不改进的话可能造成体系、过程或程序要求的不符合。8.4.1应与客户的管理层举行一次正式的末次会议，如有必要应包括被审核部门或过程的负责人员，并应记录与会人员。末次会议应由审核组长主持，其目的是陈述审核结论，包括发证相关建议。任何不符合项应以客户可以理解的方式进行陈述，并应就相应的回应时间安排达成一致。注意：“理解”并不一定意味着客户接受了不符合项。8.4.2末次会议还应包括下列信息。具体详细程度应与客户熟知的审核过程一致：a)告知客户，审核证据的收集是采用抽样方法，因此可能存在不确定性；b)报告的方法和时间安排，包括对审核发现的分级；c)认证机构处理不符合项的过程，包括任何与客户证书相关的结果；d)客户对审核中识别的任何不符合项提出纠正和纠正措施的时间安排；e)认证机构审核后的活动；f)投诉处理和上诉过程信息。8.4.3应给客户提问和澄清的机会。任何审核小组和客户对于审核发现或结论的不同意见均应得到讨论，并尽可能解决。无法解决的意见分歧应予记录，并尽快报告当地技术经理。末次会议的与会者一般应为首次会议的与会者。8.5.1每次审核(第一阶段和第二阶段、监督审核、跟踪审核及再认证),审核小组将撰写审核报告。ISO37001反贿赂管理体系认证规则版本：A8.5.2最终报告应由审核小组组长整合并总结。在初次审核中，第二阶段审核报告的总结部分应包括并总结第一阶段和第二阶段的发现。最终报告要提交给客户。8.5.4审核员的记录是审核报告的重要组成部分，因此应得到保留，可以是审核员最初的手写稿，也可以转换成电子最终报告。8.5.5所有审核报告中均应包含或参考下列信息：1)审核细节；2)客户管理体系手册的修改状态；3)审核客户的确认；4)确定审核小组组长和成员；5)现场审核活动开展的日期和地点；6)受审核方的代表名单；7)审核报告发放；8)审核的目标和范围，确定接受审核的组织和部门或过程以及时间；9)审核发现及改进建议，如在审核目的中有涉及；10)审核结论；11)管理体系在达成其方针和目标，以及体系持续改进方面的有效性；12)对客户的管理体系是否符合认证要求进行评价，清楚声明不符合项，适用时，包括任何与客户先前审核结果的比较；13)对组织的内部审核过程及管理评审过程(见下述注解)信赖程度的陈述。8.6发证和维持证书建议8.6.1第二阶段审核报告应包含授予或不授予证书的建议。注：审核结论对上述内容的评价是否正面至关重要，如说明组织已有效的安排并实施管理评审和内部审核，且将持续执行。ISO37001反贿赂管理体系认证规则版本：A8.6.2监督审核报告应包括任何可能导致证书暂停或撤销的问题。此类情况下，档案将提交技术经理进行审查或决定。8.6.3再认证审核报告应包括换发新证的建议。8.7跟踪审核8.7.1在认证周期的任何阶段(第二阶段、监督和再认证),如需要现场验证主要不符合项或多个次要不符合项的纠正措施结果，审核组长应告知客户需进行额外的跟踪8.7.2如果投诉不能远程解决或投诉的重要程度要求在下一次计划审核前解决，也可安排临时通知访问。临时通知访问也可在客户证书暂停后进行。这些审核的过程与任何一般审核相同，其范围将针对投诉调查或决定是否可以解除暂停。8.7.3.如果进行跟踪审核，必维办公室将与客户安排日期，同时与审核组长商定一位最适合进行现场跟踪审核的审核员。8.8不符合项的关闭8.8.1主任审核员应审核客户对不符合项响应的三部分内容：纠正、根本原因分析及纠正措施。在审查这三部分时，审核员要关注计划和计划得到实施的证据。审核员应在末次会议上向客户简要陈述处理不符合项的时间安排，以及强制步骤。8.8.2可接受的实施证据包括：a.提供充分的证据证明计划已经根据响应的描述(并根据时间安排)得到实施。b.关闭报告的不符合项不一定要全面证据；某些证据可能在未来审核中验证纠正措施时进行审查。ISO37001反贿赂管理体系认证规则版本：A9认证决定必维认证技术中心应按规定的程序对所有的审核资料和评估报告进行评审、批准，做出认证决定，并及时向申请人送达认证决定和审核报告。现场审核组成员不得参与该项目的认证决定。评审通过的，必维认证向申请人签发认证证书，证书有效期为3年。9.1证书内容所有证书都应使用必维的标准证书模版，至少应包含下列内容：1)被认证的管理体系客户的名称和地址，多现场的认证应明确总部和所有其它场所，每个现场可以在附件中列出，总部应列在证书的主页上；地址必须精确到可以区分其场所而不导致混淆；2)范围应指明客户提供的产品、服务和管理过程，当不同的现场涉及不同的过程和产品、服务时，应在证书上予以明确，每个场所范围的不同应在证书附件中体现；3)管理体系标准或相关的管理体系规范文件及其版本或发布年度(如ISO37001:4)适当的产品，服务和管理过程；5)日期，生效日期/批准日期-对于初次认证为认证决定日期，对于重新认证如重新认证工作在原证书失效前完成，则从前原证书到期日算起。证书失效日期；证书6)办公室地址：认证决定中心地址7)签字(非强制);证书号；认证周期内更改证书的版本号。9.2证书有效性ISO37001反贿赂管理体系认证规则版本：A9.2.1认证周期自认证决定之日起三年减一天。再认证的决定应该在三年周期内完成，应在现有证书的有效期之内做出。9.2.2如果再认证在原有证书到期前完成，则新的认证周期自原有证书失效日算起后延三年(原周期保持不变)。在当前认证证书到期后，如果认证机构能够在6个月内完成未尽的再认证活动，则可以恢复认证，否则应至少进行一次第二阶段审核才能恢复认证。认证证书的生效日期应不早于再认证决定日期，终止日期应基于上一个认证周期。9.2.3如果现有证书有效期短于三年，则不需要重发证书将有效期延长到三年。9.2.4审核周期：初次认证后第一次监督审核应在认证决定后12个月内进行，以后每日历年最少进行一次(再认证审核的年份除外)。9.2.5延期：证书期满后不允许延期。24Mar0614Jan099.3技术评审9.3.1认证决定由胜任该产品的技术经理完成，且不应是该认证项目的审核组成员。技术经理或其指定人员进行报告的技术评审，下列内容将被确认：●审核人天应按照规则计算确定，任何人天增加和减少都应清楚和书面地说明理由，并经申请评审员批准；ISO37001反贿赂管理体系认证规则版本：A●指定了正确的产品代码；●审核员的资格已经在最新的Siebel系统中，审核组中要有主任审核员、专业审核员或技术专家；●审核组没有利益冲突问题；●报告内容满足要求(初次认证审核分为2个阶段);●严重不符合项的纠正措施已执行、已关闭，没有待执行的措施；●轻微不符合项的纠正措施被审核组长接受；●实际不符合不能以改进机会提出；●必要的跟踪审核已经完成，审核结论由有资格的审核员完成；●再认证时，评审了以往的审核结果和客户的投诉。9.3.2技术经理应保持评审过程的记录并包括接受认证的理由，将其记录应在证9.4认证决定中心审核9.4.1所有的技术评审的要求都满足后，下列文件应被提交到认证决定中心进行最终的认证决定审核：●关闭妥当的不符合项报告；●再认证和转证审核中需要原有证书副本；●技术经理的评审记录。9.4.2认证决定中心依照评审准则做出最终的认证决定。9.5证书的发放证书只有在做出正面的认证决定后才能发放，证书可以以硬拷贝或者电子版进行ISO37001反贿赂管理体系认证规则版本：A发放。最终的证书副本应在认证决定中心存档。9.6监督审核报告的技术评审9.6.1监督审核报告的评审作为审核员年度表现评估的一部分。如果审核员提出可能导致证书暂停或撤销的问题时，监督审核报告由技术经理进行评审。9.6.2在重新再认证时，作为周期内管理体系的表现评审的一部分，应评审监督审报告，必要时应对再认证计划进行调整。在申请签署的时候提交监督审核报告的评9.7认证周期内的变更在认证周期内发生了范围和场所的变化的时候，应得到认证决定中心的批准才能发放新的证书。10证书的扩大、缩小、暂停、恢复和撤销如果客户卷入任何可能危及系统认证的危机情况(例如：一宗丑闻、危机或卷入某种受贿罪的起诉，以及在发现任何可能涉及本组织成员的贿赂行为的情况下),必须尽快通知必维认证；或者必维认证直接通过认证组织或其他方式发现组织被牵连，项目经理和地方技术经理必须立即开始调查。在分析后，当地技术经理将采取适当的步骤，依据该公司所采取的对策的适当性作出决定，包括但不限于：决定是否需要进行额外的审核、维持、中止、暂停或撤消证书。暂停：是指在一定时间内禁止客户使用必维的管理体系证书进行广告和推广。撤销：是指必维撤销客户的认证并要求客户返还其管理体系认证证书和认证标记，撤销通常是暂停之后客户不能提供有效的纠正措施，必维采取的处理方法。取消：是撤销客户的认证证书和认证标记并终止与客户的认证合同。取消应在合同中达成一致。ISO37001反贿赂管理体系认证规则版本：A10.1证书的暂停10.1.1证书的暂停期限一般为三个月，最多不能超过六个月，在暂停期间客户不能使用认证证书进行广告和宣传活动。客户针对必维在开具的书面不符合项不能采取有效的纠正措施时，必维必须对证书进行暂停处理。10.1.2下面是暂停的一些情况举例：1)在特别监督审核中开具了严重不符合项，该不符合项显示客户没有能针对以往的不符合项采取有效的纠正措施。2)或不能在规定的时间内接受监督审核。3)或被发现认证标记使用不当，且在被指出后没有采取有效的解决措施。10.1.3在暂停后应采取下列措施：1)如果客户由于管理体系变更或恶化而担心下次例行的监督审核将出现严重不符合项而申请暂停，必维应要求客户采取必要的纠正措施并继续实施计划的监督审核，以记录其实际情况。在拜访客户后，由最长90天的期限以纠正书面不符合项，并安排特殊监督。2)如果在规定的时间内客户没有能解决不符合项的问题，则必维办公室应由技术经理通知客户的高层领导，其证书必须被暂停，此流程的书面通知应被发送到客户处，并保留递送的证据。3)暂停期限一般不超过三个月，此后应安排特殊监督拜访以安排情况的评估。4)如果在后续的特殊监督中客户的管理体系能被证明符合要求，则审核组长应做出继续注册的推荐意见，技术经理将批准客户证书的有效性的恢复，并按照正常时间安排监督审核。5)如果审核员发现客户采取了纠正措施以解决不符合项的问题，但是还有部分措施没有得到实施，则审核组长可以推荐将暂停期延长三个月。6)如果在特殊监督审核中审核组长认为客户不愿或不能关闭不符合项，则应向技术经理推荐撤销证书。这一特殊监督的决定应由技术经理(或其指定的人员)验证。ISO37001反贿赂管理体系认证规则版本：A10.2证书的撤销10.2.1证书的撤销是非常严肃的举措，只有当正常的纠正措施流程，包括暂停，都无法成功地证明其满足管理体系认证地要求时，才能采用。当技术经理收到撤销证书地推荐意见时，应遵守下列程序：10.2.2必维办公室的技术经理应评审认证周期内全部的审核报告，并决定采取下列措施之一：1)允许最长延长暂停期三个月，并在到期后安排另一次特殊监督审核。注：同一客户在一个三年周期内只能延长一次暂停。2)或经认证经理批准撤销证书。10.2.3如果决定撤销证书，则需要完成下列步骤：1)技术经理应在下次认证委员会会议上报告此决定，并提供相应的支持文件；2)技术经理应通过书面的方式通知客户的最高管理者。应要求客户返还所有的与认证相关的证书和认证标记。3)技术经理应书面通知相关的监管机构。4)应通知客户所有申诉，投诉和辩论流程，并通知客户如果申诉应在通知发出后四周内提出。此活动的记录应保持。5)技术经理应通报给持有该客户证书认可资格的必维相关分支机构，该证书已被撤销。6)如果客户持有多体系证书，则应由必维办公室决定是否由于某一证书的撤销导致需要更新证书。10.3合同的取消10.3.1合同的取消可以由客户自行提出，也可以由必维撤销证书导致。10.3.2所有情况下，必维应采取所有合理的努力以保持和抱怨客户或没有满足要求但愿意采取纠正措施的客户的合同；ISO37001反贿赂管理体系认证规则版本：A10.3.3如果客户要求取消合同，相关的技术经理应以书面的形式通知客户返还认证证书和认证标记。10.3.4如果合同的取消是由于上述结果导致，应在通知客户撤销证书的同时通知客户的高层管理者；10.3.5在上述任何情况，客户都应被要求返还认证证书和标记。必维总部和相关的认证决定中心应得到通知，以更新其信息。10.3.6针对暂停和撤销认证的申诉：如果申述成功，并且证书被恢复，则其原有的认证周期和有效期保持不变。10.4扩大认证范围获证组织正式提交扩大认证范围的申请，如果正值下次监督审核之前，获证组织无需另外申请单独的审核，监督审核与扩大认证审核同时进行；如果提交申请是在两次监督审核之间，获证组织需另外申请单独的审核。获证组织需要与必维认证签订一份补充合同。经现场审核及认证决定中心评审，认为获证组织申请扩大的范围已满足认证要求，同意批准扩大认证范围，换发认证证书或附件，认证证书的注册号和有效期保持不变。10.5缩小认证范围获证组织正式提交缩小认证范围的申请和理由。经审核(必要时)及认证决定中心评审，认为获证组织符合缩小范围的要求，同意批准缩小认证范围，换发认证证书或附件，认证证书的注册号和有效期保持不变。10.6必维认证暂停、恢复、撤销及变更证书的消息将按规定程序和要求报国家ISO37001反贿赂管理体系认证规则版本：A11受理申诉和投诉11.1申诉是指对必维作出的决定或对必维作出的投诉有效性决定的申诉。投诉是指对必维提出的书面投诉。11.2所有申诉和投诉应当由必维的技术经理记录在案，技术经理应当联络相关部门，解决申诉或投诉问题。申诉或投诉由必维记录于CERIS中。申诉和投诉流程和时间限制应当告知申诉人和投诉人。11.3申诉流程接到申诉后，技术经理应当确定他/她自己是否与事件有关。如果是，指定一位合适合格且内部立场独立的人。如果不是，他/她可以进行调查。后续步骤包括：1)答复申诉人申诉已收到并将处理；2)通过审查申诉和关联文件(合同评审、核查报告、认证决定细节),调查申3)编写一份报告，并将报告同其他文件一起提交给认证委员会或ICC认证委员会。4)认证委员会审查案件，并根据技术经理提交的申诉和报告作出决定。5)认证委员会作出的决定应当告知申诉人。认证委员会作出的决定是权威性的、不可改变的。11.4投诉流程11.4.1接到投诉后，技术经理应当确定他/她自己是否与事件有关。如果是，指定内部一位合适合格且立场独立的人。如果不是，他/她可以进行调查。在某些案件中，可以启动一次审核来进行调查，但必须告知客户相关理由。接下来的步骤是按照必维集团门户网站主页上的参考文件进行。确认回执应当发送给投诉人，而且调查结11.4.2为了管理每年的投诉，可以使用投诉记录系统CERIS.12记录管理12.1目的和范围12.2责任12.3记录12.4标识，收集和索引12.4.1表2规定了用来证明与必维认证部程序一致性的最低要求。并非所有的/一个部门负责记录的收集和维护。本地控制同时还描述如何索引记录和描述在什么12.5查询ISO37001反贿赂管理体系认证规则版本：A12.6存档和储存记录以保护它们不被破坏和变质的方式存档。在每一个规定的保留期限内，在存档或处置之前，当前的工作文件应当以可以随时供检索和使用的方式储存。12.7维护和处置记录应当由合适的负责人来维护，就像在个人工作描述中的那样。记录应当如下表所述，在保留期限满后存档和最终处置也要确保处理的保密性。最少保留期限专有技术许可协议保持目前有些版本管理评审3年审核(核查)计划时间表3年内审(总部)3年内审(生产与认证中心)3年外审3年管理体系程序保持目前有些版本作废的程序和说明3年标准和法规保持目前有些版本人事记录直到离职，审核员，生产和销售加一个认人事主任加一年投诉(内部)3年投诉(外部)6年3年纠正和预防措施记录3年申诉6年吊扣和取消证书3年电脑系统保持目前有些版本ISO37001反贿赂管理体系认证规则版本：A客户(数据库)保持目前有些版本公正委员会6年6年一个认证周期加目前ISO37001反贿赂管理体系认证规则版本：A附录A反贿赂管理体系人天计算表(基于IAFMD)审核时间(天)审核时间(天)23456789注：1.有效人数，包括认证范围内涉及的所有全职人员，原则上以组织的社会保险登记证所附2.对非固定人员(包括季节性人员、临时人员和分包商人员)和兼职人员的有效人数核定，3.上述人天是基于客户的反贿赂管理体系的风险中等水平，如果客户的反贿赂管理体系为高风险或低风险，应依据本规则5.3.2审核人日计算的增减因素进行人天的增减。4.反贿赂管理体系的人天涉及多现场时，在初次审核、监督审核、再认证审核时，多现场的ISO37001反贿赂管理手册版本修订内容制/修日期依据ISO37001:2016标准编写/制定审核6策划8运行前言0.1总则贿赂是一种普遍现象，建立和实施反贿赂管理体系是公司的一项重要战略决策，通过有效地实施反贿赂管理体系能够减少营商成本，提高产品和服务的质量，营造一个公平、高效的运行环境。0.2引用文件ISO37000:2016《反贿赂管理体系要求》《中华人民共和国反不正当竞争法》0.3主题内容本手册是描述公司反贿赂管理体系的总规范，是公司建立和实施反贿赂管理体系的纲领性文件，它向外部展示了公司反贿赂管理体系的全貌和索引；●公司反贿赂管理体系的范围、反贿赂政策、反贿赂目标、组织架构、岗位、职责和权限；●反贿赂管理体系过程及其相互关系的描述；●ISO37001:2016标准所有条款的解释性说明；●ISO37001:2016标准要保持的文件和保留的记录；●ISO37001:2016标准部分条款(了解利益相关方的需求和期望)的具体规范；方便公司理解、培训、执行和应用标准的要求。0.4公司概况略(此处依据实际情况填写)本手册依据ISO37001:2016规定了反贿赂管理体系要求，用于证实公司具有持续、稳定提从通过公司反贿赂管理体系的有效运行和过程的改进，保证符合顾客3组织架(按照实际情况补充)略4组织环境4.1理解组织及其环境序号因素可能对反贿赂管理体系的影响类别1内部因素2外部因素3行政人员对外需要与政府相关部门接触内部因素4外部因素5财务部门负责人对外需要与银行工作人员接触内部因素6外部因素4.2了解利益相关方的需求和期望序号需求和期望强制非强制1公司内部业务人员▲2供应商希望公司多下订单、希望有问题的产品也能够放行、▲3工商行政部门▲4.4反贿赂管理体系及其过程4.5贿赂风险评估5领导5.1领导作用和承诺c)确保反贿赂管理体系有效运行所需的合适和充足资源得到分配；d)确保反贿赂管理体系得到建立、实施、维护、评审，以能充分地处置组织的贿赂风险；e)确保将反贿赂管理体系的要求融入到公司的业务过程中；f)在组织内传达有效反贿赂管理和满足反贿赂管理体系要求的重要性；j)确保反贿赂管理体系取得预期结果；k)支持其他相关管理岗位在其各自职责领域预防和发现贿赂；m)确保员工不因善意或基于合理相信举报违反或涉嫌违反组织反贿赂政策的行为或拒绝参与贿赂(组织可能因此丧失业务机会)(个人违反参与的除外)而遭受报复、歧视或纪律处分。5.2反贿赂政策5.2.1总经理制定、评审并维护的反贿赂政策，本公司的反贿赂政策相关内容详见《反贿赂政策》5.2.2对于具有中高度贿赂风险(超过低风险)的商业伙伴，公司将《反贿赂政策》以适当的形式进行传达。5.3组织岗位、职责和权限5.3.1岗位和职责a)总经理承担实施和遵守5.1.2中所述的反贿赂管理体系的总体职责，并确保相关岗位的职b)各级管理者应确保其部门或职责运用和遵守了反贿赂管理体系的要求。c)总经理和其他所有员工应理解、遵守和运用与其职位相关的反贿赂管理体系要求；5.3.2反贿赂合规职能b)向员工提供关于反贿赂管理体系以及贿赂相关问题的建议和指导；c)确保反贿赂管理体系符合ISO37001:2016的要求；d)向总经理和其他合规职能汇报反贿赂管理体系的绩效。汇报。5.3.3委托决策6策划6.1应对贿赂风险和机遇的行动6.2反贿赂目标及实现策划b)可测量化的(如果可操作的话);g)适用时可更新。7支持7.1资源7.2能力7.2.1总则a)确定在其控制下影响反贿赂绩效的工作人员所须的能力；b)确保这些人员在具备适合的教育背景、培训或经注：适用的措施包括，如：向员工和商业伙伴提供培训、指导，或重新分配，雇用或签约优秀人才或商业伙伴。7.2.2雇佣程序7.2.2.1对于所有的员工，组织应当执行以下程序：a)雇用条件中要求员工必须遵守反贿赂政策和反贿赂管理体系，并保留组织对违反纪律的员工进行处置的权利；b)在员工入职后一个月内进行反贿赂政策及与该政策相关的培训；c)违反反贿赂管理体系相关要求的人员，将依据《贿赂处理管理程序》进行纪律处分；d)在以下情况中，员工不会受到处罚(如降级、限制晋升、纪律处分、调岗或解雇、欺负或伤害):1)因为合理识别出活动的贿赂风险超出低风险水平且公司尚未管控到该风险而拒绝参与或2)善意或基于合理相信提出或汇报企图、实际或怀疑的贿赂或违反反贿赂政策或反贿赂管理体系的情况(不包括个人参与违法的情况)。7.2.2.2对于岗位为中高贿赂风险的员工和承担合规职能的所有员工，公司应当执行以下程序：a)在聘用、转岗或晋升之前应对其进行尽职调查，以确定雇用或调动他们是适当的且能够合理的相信他们会遵守反贿赂政策和反贿赂管理体系的要求；b)定期审查员工的绩效奖金、绩效目标和其它的薪资奖励因素，以确保有合理的措施防止c)此类员工、总经理必须根据已识别风险程度定期发布声明，表明其遵守反贿赂政策。7.3意识和培训公司为员工提供充分和适当的反贿赂意识及培训，此类培训在考虑贿赂风险评估结果的基础上妥善处理以下问题：a)组织的反贿赂政策、程序和反贿赂管理体系以及员工应遵守的责任；b)贿赂风险及贿赂可对员工和组织造成的伤害；c)与员工职能相关的可能发生贿赂的情形，以及如何识别这些情形；d)员工如何预防和避免贿赂，并识别关键贿赂风险指标；e)员工对反贿赂管理体系有效性的贡献，包括提升反贿赂绩效及汇报可疑贿赂所带来的效f)不遵守反贿赂管理体系的要求所带来的影响和潜在后果；h)可用的培训和资源信息。7.4沟通7.4.2公司向所有员工和商业伙伴公开其反贿赂政策，并向超出低贿赂风险的员工和商业伙伴进行直7.5文件信息7.5.1总则b)公司自行确定的为确保反贿赂管理体系有效性所需的其他成文信息，在公司的反贿赂管理7.5.2创建和更新公司建立《文件管理程序》,明确文件的分类、7.5.3文件与记录的控制文件应予以妥善存储和防护，保存在安全、干燥的地方，做8运行8.1运行策划和控制b)依照准则对过程进行控制；c)保留证实过程是按照策划实施的必要文件信息。这些过程应包括8.2至8.10中的具体管控措施。8.2尽职调查b)计划或持续与特定类型的商业伙伴建立业务关系；或8.3财务控制g)确保记账时款项的分类和描述准确、清晰；i)实施定期和独立的财务审核并定期变更实施审8.4非财务控制公司建立《合同或订单管理程序》以合理管理采购a)使用通过资格预审的分包商、供应商和顾问。在资格预审过程中，需要评估其参与贿赂的1)商业伙伴(顾客或客户除外)对组织提供服务的必要性和合法性；2)供应商的服务是否在适当提供；3)对商业伙伴提供服务的付款是否合乎情理或适当； c)如果条件允许和合理，合同应该在开展至少有三名竞标人参与的公平和透明的竞标活动后e)实施职责分离，使合同预算审批、合同预算需求、合同管理和合同审批的员工相互g)对潜在高贿赂风险交易实施更严格的管理监督；i)向员工提供合适的工具和模板(例如，实操指南、行为准则、审批层级、检查清单、8.5在受管控组织及商业伙伴中实施反贿赂管控措施a)实施组织的反贿赂管理体系，或在每一种情况下，只有考虑了4.5中实施的贿赂风险评估以及受管控组织面临的贿赂风险，以注：如果一个组织直接或间接地控制了另一个组织的管理层8.6反贿赂承诺商业伙伴(客户除外)的贿赂风险为中高度风险时，在合作前需与我司签署《反贿赂承诺书》8.7礼物、招待、捐赠和类似的好处公司制定《好处管理程序》,预防以贿赂或有理由被视为贿赂为目的的提供、准备或接受礼物、8.8对反贿赂控制措施不足的管理且公司不能或不愿实施额外或改善现有反贿赂控制措施或采取其他合适如果是已经开展的交易、项目、活动或业务关系，根据交易、项目、活动或关系的风险和性质采取合适的措施；如果可行的话，尽快地终止、停止、暂停或撤销b)如果是提议的新交易、项目、活动或业务关系，则可延迟或不再继续。8.9提出问题公司制定《举报及调查管理程序》,以规定：a)使员工能够向廉政部汇报意图、可疑和实际的贿赂或任何违反反贿赂管理体系行为或体系的不b)除需要进行调查或法律要求的外，公司对举报信息进行保密，以保护举报人或该举报中牵涉到的其他人员的身份信息。c)允许匿名汇报；d)保护员工在出于善意或基于合理相信提出或举报意图、可疑和实际的贿赂行为或实施反贿赂管理体系存在的问题后免受报复行为，并禁止这种报复行为；e)使员工在遇到一个可能涉及贿赂的问题或情况时能够从合适的人员那里得到咨询；f)鼓励员工进行举报。公司帮助确保所有员工知晓和能够使用举报程序，且了解该汇报程序赋予其的权利和保护渠道。8.10调查和处理贿赂组织应《举报及调查管理程序》《贿赂处理管理程序》对贿赂进行调查与处理：9绩效评价9.1监视、测量、分析和评价公司反贿赂管理体系的监视主要包括以下几点：a)培训的有效性；b)控制措施的有效性；c)满足合规义务的职责分配的有效性；d)处理已识别出的不合规项的有效性；e)内部合规审核未按计划执行的情况。合规绩效的监视可包括以下几点，例如：-不合规和未遂事件(没有负面影响的“事件”);-未履行合规义务的情况；-目标未完成的情况；-合规文化的现状。9.2内部审核公司制定《内部审核程序》并每年至少进行一次内部审核，以证实反贿赂管理体系是否符合ISO37001标准和公司内部的要求，是否得到有效实施和维护。9.3管理评审为了确保反贿赂管理体系能持续稳定、适宜和有效地运行，总经理依据《管理评审程序》每年对反贿赂管理体系进行评审。10改进10.1不符合和纠正措施当出现不符合时，公司应：a)及时应对不符合，适用时：1)采取控制措施和纠正不符合；2)应对后果。b)为使不符合不再发生或在其他地方发生，通过以下方式评价消除不符合原因所需的措施：1)评审不符合；2)确定不符合的原因；3)排查是否存在类似不符合或其发生的可能性。c)需要采取的任何措施；d)评审所采取的纠正措施的有效性；e)如果有必要，修改反贿赂管理体系。纠正措施与所遇到的不符合项的影响程度相适应。具体按《不符合及纠正措施控制程序》执行。10.2持续改进公司通管理评审不断提高反贿赂管理体系的适宜性、充分性和有效性。层别责任部门统计部门1公司级0受贿每月全公司廉政部2公司级0行贿每月全公司廉政部3部门级0行贿每月业务部廉政部4部门级0受贿每月采购部廉政部5部门级0受贿每月研发部廉政部6部门级0受贿每月工程部廉政部7部门级0受贿每月设备部8部门级每月品质部9部门级0行贿每月人力资源部部门级序号沟通类别沟通语言负责部门1内部沟通限前/适时相关部门流中文系部2内部沟通体系文件信息文件发布前/每年定期培训/适时各部门文件发布、培训、会议交流、中文文件发布部门3内部沟通划时各部门文件发布、培训、会议交流、中文文件发布部门4内部沟通新员工入职前、入职后商业伙伴网站、资料传递等中文所有可能对外的部门5内部沟通新员工入职前、入职后商业伙伴中文中高度贿赂风险的员工6内部沟通统计数据信息按文件要求相关部门流中文统计信息责任部门7内部沟通审核与评审方法审核与评审实施前及完成后各部门流中文体系部、总经办8内部沟通绩效信息按文件要求相关部门流中文绩效统计部门9内部沟通变更信息发布前相关部门流中文变更提出部门内部沟通其他信息适时或定期相关部门文件发布、资料传递等中文各部门外部沟通合作前、合用期间各部门中文人力资源部外部沟通合作前、合用期间商业伙伴中文中高度贿赂风险的商业伙伴外部沟通的培训政府相关部门网络信息平台/培训、会议等中文部外部沟通供方要求和期望信息理解调查分析/适时调查/面谈/文件资料传递/培训/技术交流中文外部沟通股东要求和期望等信息每年例行会议/适时股东中文人力资源部外部沟通行业协会要求和期望信息理解调查分析/适时行业协会中文总经办外部沟通其他信息适时或定期文件发布、资料传递等中文总经办反贿赂/反腐败承诺书为了保障ABC有限公司与个人的正当权益，谨此承诺：一：在职期间除严格遵守《中华人民共和国反不正当竟争》、《刑法》等有关禁止商业贿赂行为规定，遵循“守法、诚信、公正、科学”的原则，坚决拒绝商业贿赂、行贿及其他不正当之商业行为的馈赠。二：在职期间不准以公司或个人名义接受任何供应商、合作方、承包商等的任何馈赠，如：直接或间接索取或收受金钱、物品、有价证券及任何形式的馈赠礼金包括但不限于现金、支票、信用卡等。三：在职期间不准向任何供应商、合作方、承包商等报销应由个人支付的各种费用。四：在职期间不准利用赋予的权利和工作之便，向任何供应商、合作方、承包人等吃拿索要，以权谋私。五：在职期间不准参加任何供应商、合作方、承包人等的补贴和用公款支付的吃请玩乐，包括(营业性歌厅、舞厅、夜总会等娱乐活动)。六：在职期间不行安排、介绍亲朋好友到合作方、承包商等工程范围内承包工程或供应材料、成品、半成品和设备。七：本人将恪守以上承诺，如有违反，本人愿意接受公司任何处罚，并负责赔偿因此给公司造成的损失，同时承担由此引起的一切法律责任。八：此诺书一式贰份，双方各执一份。此承诺书自签字盖章之日起生效。承诺人(签名):年月日ISO37001-2016反贿赂管理体系认证1法律法规要求控制程序2信息交流沟通控制程序3相关方需求和期望程序4风险和机遇识别分析评价及应对处理控制程序5文件化信息及记录管理控制程序6贿赂风险管控措施计划和监视控制程序7贿赂行为的汇报和处理控制程序8尽职调查控制程序9资源管理控制程序人力资源管理控制程序财务控制程序非财务控制程序商业、合同和采购规范控制程序贿赂调查和处理控制程序监视测量分析和评价控制程序不符合和纠正措施控制程序内部审核控制程序管理评审控制程序改进控制程序有限公司文件性质：程序文件文件编号生效日期编制日期日期修订摘要页次版次变更登录者用来确定公司ISO37001:2016反贿赂管理体系要求及使用指南ISO37001-2016《反贿赂管理体系要求及使用指南》GB/T19000-2016《质量管理体系基础和术语》GB/T23694-2013《风险管理术语》GB/T27921-2011《风险管理风险评估技术》4.1公司总经办负责收集与本公司反贿赂管理体系有关的法律法规和4.2各部门负责将相关的法律法规和要求传达给员工并遵照执行。5.控制内容5.1收集范围a.国家和地方政府颁布的反贿赂管理体系法律、法规及其他要b.相关的国际公约；5.2获取方法和频率5.2.1公司相关部门要经常与相关部门保持联系，获取相关的国家，书店，报刊杂志，网上查询等多种渠道收集获取最新信息，确保公司得到最新文本。5.2.2.相关部门每年进行一次法律、法规及其他要求的获取工作，将结果通知公司办。5.3确认和分发5.3.1公司总经办根据以下条件确认所获得的法律法规的适用性：a.根据本公司的行业特点，确认反贿赂管理体系法律、法规及其他b.根据地区标准确定本公司反贿赂管理体系标准和适用性；c.是否为最新版本。5.3.2公司总经办根据确认结果制定《反贿赂相关法律法规和其他要求清单》,总经理审批后，由公司办发放到公司相关部门。5.3.3当上述外来文件更新时，公司相关部门应及时修正，将新的内容补发至其他部门，并对旧的原件做相应处理，按《文件化信息管理控制程序》执行。5.4执行法规及其他要求，并在体系运行中严格遵守。6.形成记录反贿赂相关法律法规和其他要求清单有限公司文件性质：程序文件文件编号生效日期编制日期日期修订摘要页次版次变更登录者识别会影响公司反贿赂管理的绩效的内外部相关方的要求，加强与相关方的交流合作，以确保公司反贿赂管理的能力和绩效不受影适用于与公司反贿赂管理体系有关的内外部相关方要求的识别、监视和评审活动。3.1相关方：可影响决策或活动，或被决策或活动所影响，或他自己感觉到被决策或活动所影响的个人或组织，如顾客、股东、银行、外部供应商、法律法规及监管机关、地方社区团体、公司管理层及公司员工等。4.1管理者代表：负责组织相关部门，收集有关数据和信息。4.2相关部门：及时向管理者代表回馈有关变化信息。5、工作程序5.1相关方需求和期望的识别：5.1.1常见的内外部相关方1)客户、经销商和最终用户2)供货商、承包商、外协加工商3)银行、政府质量监管部门、行业监管部门、行业协会、环保监4)非政府组织、地方小区团体、组织5)竞争对手、压力集团(利益集团)1)董事会、股东2)员工3)工会信息),讨论确定其中可能会影响公司反贿赂管理能力和绩效的外部和内部相关方，以及这些相关方的要求(需求和期望),结果记录于5.1.3《相关方需求和期望分析表》经总经理批准后，分发到各部门5.2相关方需求和期望的监视和评审：5.2.1当企业内部状况和外部条件(社会和相关方、法律法规和其它要求)发生变化时，相关部门应及时向管理者代表回馈有关变化信息，管理者代表负责组织实施相应的重新识别和评审活动，评审意见记录于《相关方需求和期望评审表》,对现有已识别的外部因素和内部因素予以补充或修订，连同《相关方需求和期望分析表》同时予以更新5.3.2管理者代表负责每年至少一次(通常安排在管理评审前)组织各部门代外部因素和内部因素予以重新识别和评审，评审意见记录于《相关方需求和期望评审表》,依据评审意见对现有已识别的外部因素和内部因素予以补充或修订，《相关方需求和期望评审表》同时予以更新并报总经理批准。6、相关文件无7、应用表单7.1相关方需求和期望分析表7.2相关方需求和期望评审表有限公司文件性质：程序文件文件编号生效日期编制日期日期修订摘要页次版次变更登录者规范本公司内各部门、各级别间以及公司与相关方之间的反贿赂管理运行方面信息的交流渠道、方式，以确保相关反贿赂管理信息的适用于所有本公司内部各部门之间以及外部相关方之间的反贿赂管3.定义：(无)4.1行政部4.1.1负责与经理反贿赂管理之间信息的交流，并确保所交流的反贿赂管理信息与反贿赂管理管理体系形成的信息一致且真实可信。4.1.2负责收集及评估外部主管部门的反贿赂管理信息资料(含反贿赂法律法规),必要时传达至相关部门。4.1.3负责统筹及处理公司内部反贿赂管理体系方面的信息。4.2各部门4.2.1负责部门内反贿赂管理信息的交流、反馈和传达。4.2.2负责落实有关反贿赂管理信息的处理。5.1内部信息交流的内容5.1.1公司在其各职能和层次间就反贿赂管理体系的相关信息进行内部信息交流信息交流内容包括且不局限于：a)反贿赂管理方针的传达、公布；b)反贿赂管理法律法规及其他要求以及执行情况；c)反贿赂管理职责和权限；d)反贿赂管理体系文件；e)反贿赂管理目标、方案及执行情况；f)反贿赂管理监测和测量结果；g)反贿赂管理不符合纠正情况；h)反贿赂管理体系内、外部审核的结果；i)反贿赂管理管理评审情况；j)反贿赂管理培训情况；k)相关方需求和期望的情况；1)反贿赂管理体系风险评估情况；m)反贿赂管理管理体系的变更等；5.1.2信息反馈公司按本程序的要求，向员工及商业伙伴公开和传达其反贿赂方针及反贿赂管理体系的其他要求。公司确保所有员工了解并遵守反贿赂相关要求，并保留相关记录5.1.2.1公司应对其反贿赂管理体系相关的信息交流做出响应，公司内所有员工发现反贿赂管理问题后，均有责任和义务以口头或书面的形式逐级向本部门负责人反馈。5.1.2.2各单位负责人接收到信息后，须进行必要的确认及处理，并视需要填写《反贿赂管理信息联络单》向相关部门及行政部反映。5.1.2.3部门和行政部接收到信息后，需对信息进行处理，不符合的情况应采取相应措施予以解决，并填到《信息接收、反向相关部门或责任人传达处理要求。5.1.3信息交流的方法：5.1.3.1行政部发出的反贿赂管理信息，通过网络、会议或文件发放等形式传达到公司各部门。5.1.3.2各部门可以通过会议、网络、电话、通知或进行培训等形式5.2外部信息的交流5.2.1外部信息交流的内容：a)反贿赂管理方针的公布b)法律法规的获取c)相关方的信息、要求d)组织体系运作情况5.2.2.1根据相关方的不同类别，外部信息的来源及相应的接收部门：a)管理者代表接收来自上级专门机构，集团公司等信息。b)业务部接收来自客户的信息。c)采购部接收来自供方的信息。5.2.3信息的接收及处理5.2.3.1当各相关方对公司的反贿赂管理体系提出查询或其他咨询时，接收部门应及时填写《信息接收、反馈记录表》向行政部反馈。5.2.3.2行政部接收到信息后，须对信息进行确认及做出处理决定，并填到《反贿赂管理信息接收、反馈记录表》上，向相关部门或责任人传达处理要求。5.2.4信息传达5.2.4.1反贿赂管理方针的对外公布当有需要时，各部门可以向相关方提供有本公司的反贿赂管理方针。5.3记录的保存按《记录控制程序》的要求进行保存。6.相关文件《记录控制程序》7.相关记录7.1《反贿赂管理信息联络单》7.2《反贿赂管理信息接收、反馈记录表》有限公司文件性质：程序文件文件编号生效日期编制日期日期修订摘要页次版次变更登录者1.0目的为建立风险和机遇的应对措施，明确包括风险应对措施风险规避、风险降低和风险接受在内的操作要求，建立全面的风险和机遇管理措施和内部控制的建设，增强抗风险能力，并为在反贿赂管理体系中纳入和应用这些措施及评价这些措施的有效性提供操作指导。2.0范围本程序适用于在公司反贿赂管理管理体系活动中应对风险和机遇的方法及要求的控制提供操作依据，这些活动包括：2.1组织内外部反贿赂管理过程存在的风险和机遇管理；2.2相关方的需求和愿望管理过程的风险和机遇管理；2.3反贿赂管理控制过程产生的风险和机遇管理；2.4法律法规遵守过程产生的风险和机遇管理；2.5反贿赂方针，目标管理过程产生的风险和机遇管理；2.6纠正措施的执行和验证过程的风险和机遇管理；2.7持续改进过程的风险和机遇管理；2.9当适用时，也可适用于对公司管理过程中应对风险和机遇的控制提供操作指南。3.0职责3.1行政部：负责风险管理所需资源的提供，包括人员资格、必要的3.2管理者代表：负责建立风险和机遇应对控制程序，并进行维护。跟进风险和机遇评估中所采取措施的完成情况并跟进落实措负责本部门的风险评估及应对风险的策划和应对风险措施的3.3各单位：负责本部门的风险和机遇评估，并制定相应的措施以规4.0定义4.1风险：在一定环境下和一定限期内客观存在的、影响企业目标实4.3风险评估：在风险事件发生之前或之后(但还没有结束),该事件给各个方面造成的影响和损失的可能性进行量化评估的工作。即，风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。4.4风险规避：风险规避是风险应对的一种方法，是指通过有计划的变更来消除风险或风险发生的条件，保护目标免受风险的影响。风险规避并不意味着完全消除风险，我们所要规避的是风险可能给我们造成的损失。一是要降低损失发生的机率，这主要是采取事先控制措施；二是要降低损失程度，这主要包括事先控制、事后补救两个方面。4.5风险降低：通过采取措施以达到降低风险的效果。一般情况下，若采取的措施能够有效的降低所遭受的风险，应将采取措施的记录进行保留或者写入档进行归档，以便后期重复发生时作为改善的依据。4.6风险接受：是指企业承担风险造成的损失。风险接受一般适用于那些造成损失较小、重复性较高的风险、最适合于自留的风险4.7内部风险：企业内部形成的风险，例如战略决策风险、环境风险、财务风险、管理风险、经营风险等。4.8外部风险：由外部影响因素导致的风险，例如政策风险、市场需求风险和业务风险等。4.9风险严重度：风险发生后其所产生的影响的严重程度。4.10风险发生频度：风险出现的频率或者概率。4.11风险系数：风险系数用于评定是否对已识别的风险采取措施，风险系数=风险严重度x风险发生频度。5.0工作内容5.1风险和机遇管理策划为全面识别、评价和应对各部门在生产和管理活动中存在的风险和机遇，各部门应建立识别和应对的方法，确认本部门存在的风险，并将评估的结果记录在《风险和机遇评估分析表》。在风险和机遇的识别和应对过程中，责任部门应对可能存在风险的车间、生产过程和人员存在的风险进行逐一的筛选识别，风险识别过程中应识别包括但不限于以下方面的风险：a.与反贿赂管理因素有关的法律法规、客户要求的变更造成的风险；b.反贿赂管理管理过程中的环境风险；c.管理过程失效的风险。5.2建立风险/机遇管理团队5.2.1建立分风险和机遇评估小组风险识别活动的开展应是一次团体的活动，各部门在进行风险识别和评估过程中应通过集思广益和有效的分析判断下进行的，在此之前应建立一个“风险和机遇评估小组”,管理部应通过授权，赋予该“风险和机遇评估小组”以下的职责：a.组织实施风险和机遇分析和评估；b.制定风险和机遇应对措施并落实执行；c.编制风险管理计划；d.组织实施风险应对措施的实施效果验证；e.在“风险和机遇评估小组”中，管理部应指派一名人员作为该小组的组长，负责规划和安排风险和机遇的识别和应对的控制，并赋予评f.策划并实施风险和机遇的管理，并编制《风险与机遇评价与应对策划表》。5.2.2风险管理团队人员的任职要求为确保参与风险和机遇识别和评估的人员，其人员资质符合要求，能够胜任并且参与本部门的风险和机遇的识别和制定应对相应的应对措施，风险和机遇评估小组人员应具备以下的能力：a.熟悉其所在部门的所有流程；b.有一定的组织协调能力；c.熟悉本标准的要求，并依据本标准内容策划风险分析和评估。评估小组组长应组织策划风险管理计划并编制《风险与机遇评价与应对策划表》,指导操作风险识别和风险评估，以及对风险的可接受性准则规定，编制《风险与机遇评价与应对策划表》时，应包含但a.策划的范围，判定和描述适用于经营各阶段；b.职责和权限的分配；c.风险管理活动的评审要求；d.风险的可接受性准则，包括危害概率不能估计时的可接受风险准e.验证活动；f.有关反贿赂管理后信息收集和评审的活动。5.4风险评估对已识别的风险的严重度和发生频度进行评价，其评价的要求应依据本程序所规定的评价准则进行评价确认，风险的严重度和发生频度的确认用以确定风险系数，之后根据风险系数确定对风险应采取的5.4.1风险的严重程度评价准则风险严重度用于评价潜在风险可能造成的损害程度，根据对潜在风险的评估量化，若潜在风险发生后，其会导致的各方面的影响以及危害程度，以下包括但不限于风险产生后会导致的危害：a.法律法规、服务及客户要求；b.风险发生时导致的人身伤害；c.财产损失的多少；d.是否会影响正常运行；e.对企业形象的损害程度。注：在对风险进行严重程度判定时，推荐扩大分析风险所带来的危害层面，以便于更有效的对潜在的风险采取措施，以达到减少或部分消除风险乃至完全消除的目的。为便于识别风险所带来的危害程度，对风险的严重程度进行区分，风险严重度分为以下五类：a.非常严重b.严重c.较严重下表为依据定义的风险影响和影响程度的多少进行量化，在对风险的严重程度进行评价时，下表作为评价风险严重度的准则：严重程度严重等级法律法规、服务财产损失(万元)企业形象非常严重违反法律法规、国家标准刑事责任财产损失≥不可恢复重大国际、国内影响5严重违反法律法规、国家标准及客户标准民事责任10<财产损失≥5需较长时间调整后才可恢复省内、行业影响4重后需短时间可以恢复5<财产损失间歇性恢复地区性影响3一般企业标准后很容易恢复财产损失<可短时恢复企业及周边范围2不违反无影响无损失没有停工不影响1严重度判定过程中，当多个因素的判定其严重程度不一致时，应遵循从严原则进行判定，即当多个因素中仅其中一个或部分因素其严重度级别更高时，依据严重级别高的因素作为风险严重度进行判定。根据上表内容确定风险的严重度后，将严重等级数字填入《风险与机遇评价与应对策划表》中。5.4.2风险的发生频率评价准则风险的发生频率是指潜在风险出现的频率，为便于识别和定义，将风险频度定义为5级，如下所示：a.极少发生；b.很少发生；c.偶尔发生；d.有时发生；e.经常发生；通过对上述的不确定因素进行评价风险发生的频度，风险的发生频率的评价以其可能发生的频率进行量化确认作为风险的发生频率的评价准则：发生频度定义等级极少发生1很少发生0.001%<发生概率≤0.1%2偶尔发生3有时发生1%<发生概率≤10%4经常发生5发生频度判定过程中，当一个或多个因素在判定过程中其发生频度不一致时，应遵循从严原则进行判定，即当多个因素中仅其中一个或部分因素其发生较为频繁时，依据发生频率较高的因素作为风险发生度进行判定。根据上表内容确定风险的严重度后，将等级数字填入《风险与机遇评价与应对策划表》中。5.4.3产品风险探测度评价准则：失效发生的可能性可能的失效率等级极低：失效不可能发生≤0.01次/100010.5次/1000≤发生概率≤1次/10002中等：偶然性发生1次/1000<发生概率≤5次/10003高：经常性发生10次/1000≤发生概率≤50次/10004很高：持续性发生发生概率≥100次/10005根据上表内容确定风险的探测度后，将等级数字填入《风险与机遇评价与应对策划表》中。5.4.4风险的可接受准则风险可接受准则是通过计算得出的风险系数来判定风险是否可接受，通过对风险的严重度和风险的发生频率评价后，通过计算风险系数确定是否对风险采取措施。风险系数的计算如下公式：风险系数(RPN)=风险严重度等级(S)*风险频度等级(0)*风险可探测度等级(D)系数风险等级及应采取的措施风险等级风险措施高风险一般风险需采取措施降低风险风险较低，当采取措施消除风险引起的成本比风险本身引起的损失较大时，接受风险风险的应对方式应根据实际情况进行筛选，当潜在的风险可有效的采取规避措施进行规避风险时，应制定风险规避方案，确认风险规避措施并予以执行，直至部分消除或完全消除风险。当尚无可行方案进行规避风险时，应采取有效的风险降低措施，降低潜在风险所带来的影响。下表为识别风险系数后，对风险等级的判定应急应采取的风发生频度严重度非常少发生很少发生偶尔发生有时发生经常发生非常严重一般风险一般风险高风险高风险高风险严重一般风险一般风险高风险高风险一般风险一般风险一般风险高风险一般一般风险一般风险一般风险一般风险在进行风险分析和风险应对过程中，应保持风险措施的方案和实施结果的跟进应记录，记录的保持依据《记录控制程序》执行，风险分析和风险应对措施的详细内容应记录在《风险与机遇评价与应对策划表》中，便于后续的查阅和跟进。5.5风险应对各实施部门应对所识别的风险进行评估，根据评估的结果对风险采取措施，从而达到降低或消除风险的目的，风险应对的方法包括：a.风险接受；b.风险降低；c